En el mundo del comercio electrónico, la protección de datos es un pilar fundamental para generar confianza y seguridad en los clientes. Cualquier transacción online genera incertidumbre, y esta incertidumbre es el principal obstáculo para la venta online. Internet ha transformado la forma de relacionarnos con nuestros clientes, dándole mucho más poder al consumidor sobre sus decisiones de compra. El consumidor hoy investiga, compara, se informa y busca elementos que respalden sus decisiones, como las opiniones de otros usuarios y las condiciones que ofrecen los vendedores.
Es crucial que los eCommerce hagan una gestión legal y segura de los datos de los usuarios que visitan su web. Cumplir con la Ley de Protección de Datos no solo es una obligación, sino también una cuestión de supervivencia.
Cómo Funciona una Tienda Online 🚛📦 Logística para e-Commerce
Normativa Clave en Protección de Datos
Para empezar, es fundamental conocer las normativas que rigen la protección de datos en el ámbito del comercio electrónico:
- El RGPD (Reglamento General de Protección de Datos): Es el marco jurídico europeo que regula el uso y protección de datos para las entidades que operan dentro de la UE y del Espacio Económico Europeo (EEE).
- La LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales): Es la normativa española sobre protección de datos; en la práctica recoge lo establecido en el RGPD, con alguna ampliación.
- La LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico): Es la principal norma que regula las actividades comerciales a través de internet y el uso de cookies.
Estas normativas tienen como objetivo intensificar la transparencia, la claridad y la accesibilidad relativa a la información que debe suministrarse al interesado respecto al tratamiento de la información personal que le concierne. A nivel e-commerce, se exige además suministrar información vinculada al contrato o información precontractual, que debe estar a disposición de tus usuarios antes de formalizar la compra.
Elementos Clave para un eCommerce Legal
A continuación, se presenta un ejemplo de la información que debe aparecer en cualquier e-commerce legal:
1. Consentimiento Expreso
Siempre debes recabar el consentimiento expreso de tus usuarios para poder realizar cualquier tratamiento de datos personales. El consentimiento debe ser específico, requiriendo que cada contacto realice una acción para dar su consentimiento con una finalidad previamente informada.
2. Información sobre Cookies
Como las cookies son un elemento que puede servir para la identificación de nuestros usuarios, la norma obliga a ofrecer más información sobre ellas y a mejorar las opciones de los usuarios de nuestra tienda. Se han de modificar los avisos sobre cookies básicos que se usaban hasta este momento, para incluir dos opciones: el consentimiento expreso o la posibilidad de rechazar las cookies que no sean estrictamente necesarias y acceder al sitio.
Tenemos que indicar qué cookies se usarán en la tienda y cuál es la finalidad, pudiendo hacerlo en la página de política de privacidad o en una página específica sobre cookies. Al igual que todas las acciones que impliquen consentimiento de los usuarios, tenemos que llevar un registro sobre el consentimiento de cookies. El consentimiento del usuario se tiene que renovar cada doce meses y se le debe ofrecer la posibilidad de retirarlo en cualquier momento.
3. Actualización de la Página de Política de Privacidad
Conviene crear o revisar la página que recoge la política de privacidad de nuestro ecommerce para adaptarla a las reglas del RGPD. La norma obliga a dar visibilidad a esta información, por lo que es aconsejable incluirla en el menú de pie de página, el menú del footer, y que así sea fácilmente accesible.
La página de política de privacidad de nuestra tienda online tendrá que incluir:
- Mencionar expresamente el sometimiento al RGPD.
- Detallar toda la información que se recoge de los usuarios. Puede ser el propietario del ecommerce o una persona en la que se haya delegado esta función.
- Informar del derecho de los usuarios a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación o a su oposición de su tratamiento. Los usuarios también tendrán derecho a solicitar la portabilidad de sus datos.
- Se debe exponer claramente la finalidad o finalidades que se van a dar a los datos recogidos, y durante qué plazo van a ser conservados.
- Si existe algún proceso automatizado a partir de esos datos, por ejemplo la segmentación de los clientes en base a las acciones realizadas en la tienda online, se debe explicar de forma clara en esta página.
4. Facilitar los Derechos del Usuario
El RGPD indica que se ha de facilitar a los usuarios la gestión de los derechos sobre sus datos, mediante la admisión de solicitudes por medios electrónicos. Para adaptar nuestro ecommerce, es muy recomendable crear un formulario específico en nuestra tienda que permita a los usuarios el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos.
La nueva regulación del RGPD obliga a recoger el consentimiento para estas acciones mediante un sistema doble que asegure expresamente la voluntad del usuario para recibir estos contenidos, sistema que se conoce como doble “opt-in”. Todas estas interacciones han de quedar registradas, se trata de evitar la publicidad no deseada asociada a una simple compra. En caso de que ya estemos utilizando datos que no se hayan recogido con este sistema, tendremos que realizar un envío específico para este fin de confirmar el consentimiento.
5. Contratos con Encargados de Tratamiento de Datos
Generalmente, una tienda online tendrá que compartir datos de sus clientes con el proveedor del hosting que los almacena o con la empresa de logística que realiza los envíos. Se debe actuar un contrato sobre la cesión de datos con cualquier empresa con la que nuestro comercio online comparta datos. El objetivo es fijar la finalidad concreta que se va a dar los datos de nuestros clientes.
Estos contratos deben recoger:
- Instrucciones para el tercero en cuanto al uso que debe dar a los datos
- Deber de confidencialidad del tercero respecto a los datos
- La obligación del tercero de adoptar medidas de seguridad para la custodia de los datos
- Auditorías de seguridad
6. El Derecho a Desistimiento Comercial
Es imprescindible incluir este apartado. Tienes 14 días naturales (incluidos festivos) para que el usuario pueda ejercer su derecho al desistimiento de la compra. De no existir información expresa sobre este derecho, el usuario no tendrá que hacer frente a los gastos asociados a la devolución de su compra y será la empresa la responsable. Por tanto, si la tienda online no informa correctamente sobre el plazo de desestimiento, la Ley le castiga poniéndoselo más difícil: el plazo se amplía a 12 meses. ¡Cuidado con no informar!
7. Ley de IVA en Comercio Electrónico
El IVA en compras online dentro de la Unión Europea se aplicará en función del lugar donde el consumidor tenga su domicilio o residencia habitual.
8. Confirmación del Pedido
El e-commerce debe facilitar de forma gratuita al consumidor la confirmación del pedido, sus características esenciales y las condiciones generales del contrato en un soporte duradero (papel, memorias USB, DVD, tarjetas de memoria, correos electrónicos, SMS…).
9. Plataforma Europea para la Resolución de Conflictos
La Comisión Europea ha creado la primera plataforma europea para la resolución de conflictos en el comercio “online” amparada en la última ley del consumidor.
10. Segmentación de Clientes
Si piensas segmentar o categorizar clientes para campañas de marketing, a partir de la información personal y comercial que consta en la web se informará claramente de esta circunstancia al usuario en el momento de recabar sus datos y deberás requerir un consentimiento explícito con esta finalidad.
11. Protocolos de Seguridad
En todo e-commerce siempre se recomienda utilizar protocolos de seguridad como Secure Sockets Layer (SSL) para la autenticación web y la protección de datos. La mejor recomendación de seguridad para un e-commerce legal es la adopción de medidas que eviten que la información circule por la red de forma intangible y, por tanto, susceptible de ser conocida o manipulada por terceros.
12. Servicio de Atención al Cliente
Es importante contar con un servicio de atención al cliente. Si pones a disposición del consumidor un número de teléfono para resolver dudas o tramitar incidencias en relación con un contrato, el coste de la llamada no puede ser superior a la tarifa básica. Es decir, dicha tarifa no puede incorporar un importe adicional en beneficio del vendedor.
Medidas de Seguridad Adicionales
Existen diversas medidas de seguridad, tanto técnicas como organizativas, que pueden ponerse en práctica para salvaguardar la privacidad y datos en internet:
- Uso de contraseñas seguras y diferentes para cada cuenta.
- Cifrado de la información.
- Mantenerse actualizado sobre ciberamenazas.
- Mantener actualizados dispositivos y programas.
- Implementar una solución de seguridad en dispositivos (firewalls, antivirus, bloqueadores de rastreadores, etc.).
- Navegar solo por páginas seguras y de confianza.
- Establecer políticas de protección de datos y protocolos para la prevención de fugas de información.
- Control de acceso.
- Hacer copias de seguridad periódicas de la información crítica y guardar una de esas copias de forma local y no conectada a la Red.
- Migración a servidor seguro: La norma no obliga a que nuestro comercio electrónico disponga de conexión cifrada y servidor seguro bajo protocolo HTTPS. Sin embargo, es muy aconsejable utilizar estas características en nuestro negocio online. El tráfico seguro ofrece mayor confianza a nuestros clientes, mejorará nuestro SEO y puede hacer que nuestra tienda sea más rápida.
Consecuencias de una Vulneración de Datos
Para las entidades, sufrir una vulneración de la protección de datos en internet tiene consecuencias tanto operacionales como legales y reputacionales. Las sanciones pueden ser:
- Leves
- Graves
- Muy graves
Además, a estas sanciones podría haber que sumar una indemnización por vulneración de datos.
Registro de Actividades de Tratamiento
El registro de actividades de tratamiento solo es obligatorio para empresas u organizaciones con más de 250 empleados o cuando se tratan datos personales a gran escala y/o de manera sistemática o se tratan datos personales de categorías especiales. Si cumples con esos requisitos, deberás llevar este registro.
Debemos considerar siempre que cualquier tratamiento de datos personales puede conllevar riesgos para los derechos y libertades de los interesados; la recogida, el almacenamiento, el uso, la modificación o incluso la destrucción de datos personales, están expuestos a amenazas que pueden afectar a la integridad, disponibilidad y seguridad de los datos.
Cualquier cesión de datos personales de clientes, usuarios o empleados que se realice a terceros, debe hacerse bajo un acuerdo de encargo de tratamiento, donde el responsable del tratamiento establecerá el tipo de datos que cede, el tratamiento y su finalidad, el plazo de conservación y lo que hacer con los datos finalizado el mismo.
Empresas y organizaciones cada vez realizan más procesos en o a través de internet (por ejemplo, cuando emplean servicios de almacenamiento y gestión en la nube), gestionan aplicaciones o tienen perfiles corporativos en redes sociales.
Auditorías de Seguridad
El nuevo reglamento obliga a informar a las autoridades de cualquier brecha de seguridad que afecte a los datos personales de nuestro comercio en menos de 72 horas. Llevar a cabo una auditoria de seguridad que nos ayude a prevenir estos riesgos puede ser una inversión muy rentable en nuestro negocio. Además de detectar posibles puntos de intrusión, conviene fijar una buena política de copias de seguridad, de buenas prácticas en la operativa del negocio y unas normas de actuación a seguir en caso de producirse una filtración de datos.
En resumen, si estás haciendo negocio en la red, el cumplimiento del RGPD para e-commerce es una obligación fundamental que cuenta con sanciones. También es muy importante tener en cuenta que tus clientes son cada vez más conscientes del valor de sus datos y van a exigir un tratamiento profesional de esta información.