Protección de Datos en tiendas online: adaptar tu tienda online al RGPD

Cada vez hay más tiendas físicas que deciden dar el salto y abrir una tienda online, lo que conlleva cumplir con una serie de normativas que afectan a cualquier forma de comercio electrónico, entre ellas la de protección de datos. En este artículo veremos cuáles son las principales obligaciones y requisitos en la protección de datos en tiendas online, para adaptar tu tienda online al RGPD y la LOPDGDD.

¿Deben cumplir el RGPD los eCommerce?

Cumplir el RGPD en los eCommerce es obligatorio, ya que como responsable de una tienda online, tratarás datos personales de tus visitantes y clientes, como el nombre y los apellidos, la dirección de email o la dirección postal. Da igual si los usuarios solo están de paso y no llegan a registrarse o hacer alguna compra, hay aspectos de la normativa de protección de datos que tu e-commerce debe cumplir como parte de los requisitos legales básicos para negocios online.

Dado el avance que ha experimentado el comercio electrónico en los últimos años, con muchas empresas o tiendas de autónomos dando el salto a la venta online, puede que estés pensando que al tener ya una tienda física y cumplir con la normativa de protección de datos, no necesites hacer nada más al abrir tu tienda online, pero lo cierto es que, como veremos en los siguientes puntos, tendrás que cumplir con algunas obligaciones más para asegurarte de que tu negocio está dentro de la legalidad.

¿Qué normativas regulan la protección de datos en la tienda online?

Comenzamos por repasar cuáles son las normativas que debemos tener en cuenta para cumplir con la protección de datos en una tienda online:

• Reglamento General de Protección de Datos (RGPD); se trata del marco europeo en materia de protección de datos y es de obligado cumplimiento para todas las entidades que residan en la UE o el EEE (Espacio Económico Europeo), así como aquellas entidades fuera de estos que traten con datos personales de residentes comunitarios.
• Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD); es la normativa española que introduce el RGPD en el ordenamiento jurídico español. Cumplir con ella es cumplir con el RGPD en una tienda online.
• Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI-CE); esta normativa regula las transacciones realizadas a través del comercio electrónico y cómo deben efectuarse las comunicaciones comerciales digitales. También regula y garantiza los derechos de los consumidores y usuarios en las transacciones electrónicas.
• Ley General para la Defensa de los Consumidores y Usuarios (LGDCU); esta ley regula los derechos de los consumidores y usuarios, así como los de las asociaciones de consumidores y usuarios. Regula también el régimen sancionador en materia de consumo, así como los procedimientos judiciales y extrajudiciales, entre otros, y recoge algunos de los delitos contra el mercado y los consumidores perseguidos por la justicia.

Las principales novedades que introdujeron estas normativas tienen que ver con la obtención de consentimiento expreso para tratar datos personales de los usuarios y clientes, y la necesidad de ofrecer al consumidor información más clara y explícita acerca de las condiciones del servicio y sobre los datos que recoge la tienda online y con qué finalidad.

El objetivo es adaptar la tienda online al RGPD y la LOPDGDD, así como a la LSSI, para poder afrontar los desafíos del entorno digital con garantías para la privacidad de tus clientes y visitantes, bajo una normativa unificada en el marco de la Unión Europea.

¿Qué aspectos legales debe tener en cuenta un eCommerce?

Como decíamos, aparte de las obligaciones que cualquier tienda física debe cumplir respecto a protección de datos, cualquier tienda online o e-commerce debe contemplar también una serie de requisitos exigidos por la ley de protección de datos para tiendas online (y cualquier otro tipo de página web, en realidad). Nos referimos a la inclusión de los textos legales en la tienda online, es decir, el aviso legal, la política de privacidad, la política de cookies y las condiciones generales de venta o contratación.

Aviso Legal

La normativa de protección de datos en comercio electrónico exige que siempre que una web obtenga ingresos directos por las actividades de comercio electrónico que se realicen, o indirectos por publicidad, debe cumplir la ley.

Uno de los requisitos de la protección de datos en tiendas online es incluir un Aviso Legal web en un lugar independiente, claramente visible de la página y fácilmente accesible.

Los datos que debe contener dicho aviso son:

• Nombre o denominación social y datos de contacto, como el domicilio, dirección de correo electrónico, teléfono o fax.
• Si la empresa está registrada en el registro mercantil, deberá indicar el número de inscripción.
• NIF o CIF
• Si la actividad requiere una autorización administrativa previa, se deberá comunicar los datos relativos a la misma y la identificación del órgano de supervisión.
• Si se desempeña una profesión reglada, se deberá notificar los datos del colegio provisional, el número de colegiado, el título académico, y el estado de la UE donde se obtuvo.
• Otros apartados diferentes: también se puede advertir a los usuarios sobre distintos temas como: cláusulas de propiedad industrial, responsabilidad, condiciones de uso de la web …, aunque estos temas no son obligatorios.

Política de privacidad

Otra de las obligaciones para cumplir con la protección de datos en un eCommerce es incluir la Política de Privacidad.

La política de privacidad o protección de datos personales, avisa a los usuarios sobre el procedimiento que la organización sigue para recabar los datos personales, posibilitando que estos vean para qué se van a usar, y las alternativas que tienen las organizaciones en cuanto a su recogida.

Los datos personales recabados en las webs se deberán gestionar según lo dispuesto en la LOPDGDD 3/2018, y deberán ser tratados de manera confidencial.

Los usuarios y clientes pueden ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, así como la revocación de su consentimiento al uso de sus datos personales.

Para cumplir la protección de datos en tiendas online, es necesario que el usuario acepte las condiciones que normalmente suelen incluirse en la política de privacidad. Por ello, en todos los formularios que podemos encontrar en la red, debe incorporarse un checkbox donde podamos marcar que hemos “leído y aceptado la política de privacidad”. Esta casilla o checkbox debe estar desmarcada siempre e incluir un enlace que conduzca a la política de privacidad de la tienda online.

Además, los formularios mostrarán una primera capa de información respecto a la política de privacidad (identificación del responsable del tratamiento y finalidad del tratamiento).

Política de cookies

La principal finalidad de las cookies es identificar al usuario a través del almacenamiento de su historial de navegación en una web específica para presentarle el contenido más apropiado según sus gustos.

La política de cookies de una tienda online ha de cumplir una serie de requisitos:

• Deber de información de las cookies: debe proporcionarse a los usuarios información precisa e íntegra sobre el uso de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre la finalidad del tratamiento de los datos. Así mismo la información sobre cómo anular el consentimiento y suprimir las cookies deberá de estar a su disposición de forma accesible y continua.
• Obtención del consentimiento: para la instalación y uso de cookies, el RGPD exige en todo caso el consentimiento explícito del usuario Este consentimiento podrá obtenerse mediante fórmulas expresas, utilizando para ello el denominado “aviso de cookies”, un pop-up que aparecerá al entrar en la web de la tienda online por primera vez (o cuando se hayan borrado las cookies), que informará sobre el uso de cookies, contendrá un enlace hacia la política de cookies y contará con casillas o botones de “acepto” el uso de cookies, permitiendo al usuario su configuración. Además, la instalación de cookies se bloqueará hasta que el usuario dé su consentimiento para su uso.

No podemos decir que se cumple el RGPD en un eCommerce si este no tiene habilitados y accesibles todos sus textos legales, tal y como establece la normativa, ya que no se estaría cumpliendo con el principio de transparencia ni el deber de informar a los interesados sobre el tratamiento de sus datos.

Condiciones generales de venta o contratación

Las condiciones generales de venta o contratación se han de indicar con anterioridad al inicio del proceso de compra, de manera que el usuario pueda leerlas antes de hacer ninguna compra o contratación de servicio.

Obligaciones:

• Información clara y específica de los precios de compra o contratación, con indicación expresa de si incluyen los impuestos correspondientes y gastos de envío. De no ser así se deberá decir a cuánto ascienden estos.
• Explicación del proceso de compra o contratación.
• Obligaciones tanto para el vendedor como para el comprador.
• Requisitos de la compra o contratación, cuáles son los plazos, la forma de entrega, la forma de pago, etc.
• Soluciones en supuestos de pedidos defectuosos.
• Idioma en el que se gestionará el contrato.

Toda esta información debe recogerse en una página o subpágina independiente, accesible desde cualquier lugar de la tienda online y enlazarse en el proceso de finalización de compra o contratación, junto a un check box desmarcado con el texto “acepto la condiciones de venta” o similar.

La LSSI-CE también obliga a confirmar al comprador que se ha realizado la operación, esto puede realizarse a través de dos vías:

• Mediante correo electrónico enviado en un máximo de 24 horas tras la realización de la compra.
• A través de una pantalla de confirmación que surja al finalizar el proceso de compra.

Estos son los términos y condiciones generales de una tienda online. Un poco más abajo te explicamos cómo adaptar tu tienda online al RGPD y la LOPDGDD para cumplir con la normativa.

Consecuencias por no cumplir la protección de datos en mi tienda online

Si una tienda online no cumple con la normativa de protección de datos, puede ser sancionada por ello por la AEPD y, en el caso de no cumplir con las obligaciones legales de la LSSI-CE o LGDCU, estar cometiendo un delito tipificado en el código penal, lo que puede conllevar no solo una multa, sino también penas de prisión y, en el caso de empresas, incluso responsabilidad penal para ellas como entidades jurídicas.

Respecto a las sanciones en materia de protección de datos para tiendas online, la cuantía de las multas depende de la gravedad de la infracción (artículos 72, 73 y 74 de la LOPDGDD), pero pueden alcanzar hasta los 20 millones en los casos más graves (o el 4% de la facturación anual, la cuantía que sea superior), pero incluso una sanción por infracción leve puede alcanzar hasta los 40.000 euros, por lo que no cumplir con la normativa vigente puede salir caro.

¿Cómo adaptar mi tienda online al RGPD? Pasos para cumplir con la normativa

Para cumplir el RGPD en una tienda online es necesario llevar a cabo una serie de acciones. Te lo resumimos en estos 10 pasos:

1. Incluir los textos legales. Es decir, aviso legal, política de privacidad, política de cookies y condiciones de contratación y venta.
2. Aplicaciones externas. Si están utilizando aplicaciones de terceros para respaldar la tienda, asegúrate de que también cumplen la normativa de protección de datos.
3. Nombrar un Delegado de Protección de Datos. Será obligatorio si tu empresa trata datos masivos de forma sistemática o datos personales sensibles.
4. Realizar un análisis de riesgos. Antes de realizar cualquier tipo de tratamiento de datos personales (como por ejemplo, crear un registro de usuarios), se deberá hacer un análisis de riesgos para determinar qué medidas de seguridad son necesarias implementar en la tienda online para garantizar la protección de datos.
   • Las tiendas online que traten categorías de datos especiales o datos a gran escala y que puedan suponer un riesgo para los derechos y libertades de los usuarios, deberán, además, realizar una evaluación de impacto en protección de datos.
5. Obtener consentimiento expreso. Con la anterior ley LOPD, ya era obligatorio pedir el consentimiento, pero las exigencias son ahora más exhaustivas. Ya no sirve el consentimiento tácito, ahora ha de ser explícito.
6. Derechos de los clientes. Es imprescindible informar al usuario o consumidor sobre las vías para ejercer sus derechos de Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición.
7. Notificar brechas de seguridad. Debe notificarse cualquier suceso que origine la destrucción, pérdida o modificación (accidental o ilícita) de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
8. Derecho al olvido. Recuerda que el cliente tiene derecho a que se cancelen o supriman todos aquellos datos referentes a su persona que sean inexactos, estén desfasados o ya no sean necesarios para la finalidad para la que fueron recogidos.
9. Deber de informar. Se debe informar a los interesados sobre las características de las transferencias internacionales, el periodo de conservación de los datos, los datos de contacto del Delegado de Protección de Datos, la base legal del tratamiento o su derecho para acudir a las Autoridades de Protección de Datos si consideran que sus datos se están tratando de forma desproporcionada.
10. Datos de menores. Respecto al consentimiento de los menores de edad, será lícito prestarlo sin tutores cuando estos tengan 16 años, aunque el RGPD deja abierta la posibilidad a cada Estado miembro de establecer otros límites siempre que no sean inferiores a los 13 años. En España esa edad es 14 años.

Siguiendo estos consejos podrás adaptar tu tienda online al RGPD. Pero si quieres ahorrar tiempo y asegurar que todo se hace de la forma correcta, necesitarás la ayuda de expertos en protección de datos online.

Ahora puedes contar con un servicio especializado de RGPD, LOPD-GDD, LSSI-CE y LGDCU para tu eCommerce

¿Necesitas adaptar tu tienda online al RGPD? En Grupo Atico34 ofrecemos un servicio especializado con el que podrás ahorrar tiempo, esfuerzo, dinero y, sobre todo, evitarás muchas preocupaciones.

Contamos con un equipo de expertos en protección de datos para tiendas online, que te ofrecerán el mejor soporte para cumplir las exigencias del RGPD y la LOPDGDD. Actualízate, cumple la normativa vigente y evita sanciones.