Entre los aspectos legales que las tiendas online deben considerar y cumplir, encontramos aquellos derivados de la LSSI y LOPD; en las siguientes líneas repasaremos los más importantes.
En este artículo hablamos de:
Aspectos fundamentales de LSSI y LOPD para tiendas online
Si eres el titular de una tienda online o estás a punto de abrir un ecommerce, hay varios aspectos legales que debes tener en cuenta; más allá de la normativa fiscal o del comercio minorista, también debes aplicar y cumplir aquellas obligaciones legales que establecen tanto la LSSI (o LSSI-CE, Ley de Servicios de la Sociedad de la Información y Comercio Electrónico) como la LOPD (o LOPDGDD, Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales).
La LSSI tiene como fin proteger a los consumidores de servicios electrónicos, entre los que se incluye el comercio electrónico o las tiendas online. Mientras que la LOPD debe aplicarse siempre que se traten datos personales (como lo son los de tus clientes o usuarios cuando estos son personas físicas).
De manera que los principales aspectos legales derivados de la LSSI y la LOPD que debes contemplar en tu tienda online son los siguientes:
Aspectos legales fundamentales a tener en cuenta de la Lssi y Lopd para tiendas online
Informar a los usuarios
Entre los requisitos legales para ecommerce está el deber de informar; una obligación tanto de la LOPD como de la LSSI.
En la LOPD este deber informar implica que debes informar a tus usuarios de todo lo relativo al tratamiento de datos que vas a realizar:
- Identidad y datos de contacto del responsable del tratamiento (el titular de la web, sea una persona física o jurídica)
- Finalidad del tratamiento
- Base legitimadora para el tratamiento
- Categorías de datos
- Plazo de conservación de los datos
- Si vas a ceder los datos a terceros (encargados de tratamiento) e identidad de los mismos
- Uso de cookies
- Cómo y a través de qué vía ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
En el caso de la LSSI, debes informar de quién es el titular de la tienda online y otra información relativa al mismo, de las cookies que emplea tu web y de las condiciones generales de venta y/o contratación, que incluyen, entre otros, precios, información de productos o servicios, política de devoluciones, derecho de desistimiento, responsabilidades del titular, derechos de los consumidores, etc.
Todo esto se recoge en los denominados textos legales web, que son:
- La política de privacidad, para todo lo referente a la protección de datos
- La política de cookies, en la que se informa del tipo de cookies, titularidad de las mismas y duración, y también incluye el banner o aviso de cookies, que tiene como principal función bloquear las cookies hasta que el usuario no da su consentimiento para su uso
- El aviso legal, con toda la información relativa al titular de la web
- Las condiciones generales de venta y/o contratación
Deben estar redactados de forma clara y comprensible y ser accesibles desde cualquier sección de la web, motivo por el cual casi siempre los encontraremos enlazados en el footer (la parte inferior de la página).
Recabar el consentimiento
El consentimiento expreso es otro aspecto legal fundamental que debes tener en cuenta.
La LOPD establece que la principal base legitimadora para tratar datos personales es el consentimiento expreso del interesado, que debe recabarse de manera que este lleve a cabo una acción afirmativa, como marcar la casilla de «Acepto la política de privacidad» o aceptar el uso de las cookies de la web. El consentimiento expreso es el único válido y al recabarlo, por ejemplo, a través de formularios web, estos deben contar con una primera capa informativa sobre los aspectos básicos de la política de privacidad y un enlace que lleve a esta.
El consentimiento expreso en la LSSI tiene que ver con las comunicaciones comerciales, el interesado (cliente o usuario) debe aceptar mediante una acción afirmativa el envío de comunicaciones comerciales (a su email, móvil, etc.). Este consentimiento se debe recabar a través de casillas desmarcadas en formularios de suscripción o de pago, por ejemplo.
En ambos casos, el consentimiento es granular, es decir, debe recabarse un consentimiento diferente para cada actividad diferente (por ejemplo, al realizar una cuenta de usuario, el formulario debe tener una casilla para aceptar la política de privacidad y otra para el envío de comunicaciones comerciales).
También debe ser fácilmente revocable, facilitando la información a los clientes o usuarios de cómo revocar dicho consentimiento en las comunicaciones comerciales que se le envíen o en la política de privacidad en una tienda online.
Confirmación del pedido
Independientemente de que vendas productos físicos o digitales, siempre que se realice una compra, debes enviar un email de confirmación de pedido al cliente, en el que se detalle la compra realizada y las condiciones generales de la venta o, en su caso, del contrato realizado.
Registro de actividades de tratamiento
Si en tu tienda online tratas datos personales a gran escala, de manera habitual y sistemática, deberás llevar un registro de actividades de tratamiento. Este registro sirve para documentar los tratamientos de datos personales que se realizan e información relacionada con los mismos.
Se debe llevar por escrito (puede ser en formato electrónico) y, aunque no es necesario inscribirlo en ningún sitio, sí debes ponerlo a disposición de la AEPD si esta lo solicita.
El contenido del RAT es, como mínimo, el siguiente:
- Identificación del responsable del tratamiento
- Finalidad del tratamiento
- Descripción de categorías de interesados y datos
- Categorías de destinatarios existentes o previstos
- Transferencias internacionales de datos y sus garantías
- Descripción de las medidas seguridad
- Plazos para la supresión de los datos
Análisis de riesgos
Antes de realizar ningún tratamiento de datos personales, la LOPD exige la realización de un análisis de riesgos, para determinar los posibles riesgos y amenazas para los derechos y libertades de los interesados derivados de dicho tratamiento (por ejemplo, si tienes una base de datos de clientes almacenada en tu ordenador, qué riesgo hay de que un tercero no autorizado pudiera tener acceso a ella).
De las conclusiones del análisis de riesgos, se podrán diseñar e implementar las medidas de seguridad necesarias para garantizar la protección de datos (siguiendo con el ejemplo, una medida de seguridad adecuada sería el cifrado de la base de datos de clientes).
Firma de contrato de encargo de tratamiento
Si al contratar con un proveedor una prestación de un servicio, este tiene acceso a los datos personales de tus clientes o usuarios, deberás firmar con él un contrato de encargo de tratamiento, en el que le especificarás al encargado del tratamiento las obligaciones, medidas de seguridad, responsabilidades y qué hacer con los datos una vez finalizada la prestación, entre otros aspectos.
Es el caso, por ejemplo, de si contratas una plataforma de email marketing para enviar newsletters a tus suscriptores.
Supresión de datos
Debes suprimir aquellos datos cuyo plazo de conservación haya finalizado, así como los datos de aquellos usuarios que hayas podido recabar en un proceso de contratación online, pero que finalmente no haya sido cerrado.
Si tienes intención de conservar los datos de tus clientes o usuarios por más tiempo, o de aquellos que no hayan formalizado un contrato o una venta, deberás comunicárselo y recabar el consentimiento para ello, especificando la finalidad y el nuevo plazo de conservación.
Notificación de brechas de seguridad
Si se produce un incidente de seguridad que pueda exponer los datos personales de tus clientes o usuarios, cuyas consecuencias puedan afectar a sus derechos y libertades o crearles algún perjuicio, debes notificarlo tanto a los propios interesados afectados como la AEPD (Agencia Española de Protección de Datos), en un plazo no superior a 72 horas desde que detectaste la brecha de seguridad.
También deberás tomar las medidas correspondientes para solucionar el problema y evitar que vuelva a producirse en el futuro.
¿Necesitas ayuda para cumplir con la LSSI y la LOPD en tu tienda online? Grupo Atico34 puede ayudarte
Como ves, no son pocos los aspectos legales de la LSSI y la LOPD que debes tener en cuenta a la hora de abrir una tienda online, incluso si no se trata de un ecommerce, tu página web o blog obtiene algún beneficio económico por publicidad (ya que en estos casos también se aplican estas leyes). Algunas de estas obligaciones no solo requieren tiempo para cumplirlas de manera adecuada, sino también de cierto grado de conocimientos, que puedes no tener.
Por ello, antes de recurrir a unos insuficientes textos legales para tienda online gratis, o (peor) copiarlos de otro ecommerce, o tratar de cumplir con la normativa por tu cuenta y hacerlo de manera insuficiente (que podría derivar en sanciones, tanto de la LOPD como la de LSSI), contrata los servicios de una consultoría especializada en protección de datos y aplicación de la LSSI, como es Grupo Atico34.
Nuestro equipo de profesionales no solo te ayuda a cumplir con todos los aspectos legales de la LSSI y la LOPD de manera totalmente personalizada y adaptada a las necesidades de tu negocio, sino que también te ayudará a resolver cualquier duda que te pueda surgir en cualquier momento, incluida la gestión de derechos de los usuarios.