¡Pide presupuesto en 2 min! ✓
ProfesionalesSectores

Protección de Datos en tiendas online

11 Mins read

proteccion de datos tienda online

Hace unos meses la AEPD imponía una sanción de 3.000 € a una tienda online por instalar cookies ( dispositivos de almacenamiento y recuperación de datos) sin información y autorización previa y expresa, así como por la falta de identificación del titular de las mismas y la falta de política de privacidad. La AEPD considera que se ha vulnerado el art. 22 de la LSSI que establece:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de datos y Garantía de derechos digitales. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”.

Y es que cumplir con lo establecido en la normativa que regula las comunicaciones comerciales es más importante de lo que pensamos.

¿Necesito adaptarme a la LOPDGDD?

El e-commerce ha avanzado en los últimos años y ya está presente en multitud de ámbitos. Ahora cualquier empresa puede crear de forma rápida y sencilla su portal de venta online. Pero debemos tener claros los requisitos legales que tenemos que cumplir.

¿Por qué debo proteger mi tienda online?

Nuestra web o nuestra tienda online es el escaparate virtual de nuestro negocio. Nuestra imagen está en juego si tenemos algún problema que afecte a nuestros clientes o que no nos permita ofrecer el servicio/producto.

nueva ley de proteccion de datos tienda online

Además de querer aprovecharse de nuestros recursos (sistemas) para lanzar ataques, las tiendas online y páginas con usuarios son muy atractivas para los ciberdelincuentes porque manejan datos muy cotizados en el mercado negro.

¿Por qué querrían atacar nuestra tienda online?

  • Para robar datos de clientes, sus contraseñas, datos de pago, correos electrónicos, … y utilizarlos, publicarlos o venderlos.
  • Utilizar nuestro servidor web para simular ser otro negocio fraudulento o instalar publicidad engañosa.
  • Dejar fuera de servicio nuestra web para desprestigiarnos.
  • Utilizar nuestro servidor web para reivindicar ideas políticas, sociales,…
  • Robar nuestras contraseñas de acceso a otros sistemas, acceder y utilizarlos para fines maliciosos (spam, distribución de malware, lanzar ataques de denegación de servicio …)

¿Cómo nos pueden atacar?

Las amenazas a nuestra tienda online utilizan bien el factor humano bien el fallo tecnológico o una combinación de ambos.

  • En cuanto al factor humano, se aprovechan de la ingenuidad o de la buena disposición de las personas para conseguir lo que quieren.
  • En cuanto a los fallos tecnológicos (del software o de su configuración), son en muchos casos fallos conocidos, que no están parcheados o no se protegen correctamente.

Para cumplir con la normativa de la LOPDGDD a la hora de abrir una tienda online no basta solo con tener un texto con la política de privacidad.

Cada  vez que recogemos datos personales de alguien, debemos informar a esa persona acerca de la entidad que los recoge, la finalidad de los datos, si serán cedidos a terceros, etc… Esta información se equipara con las políticas de privacidad que solemos encontrarnos en los formularios de páginas web.

Otra clave son las medidas de seguridad para la protección de datos. Las medidas de seguridad para datos especialmente sensibles se dividen en tres niveles de seguridad que son el básico, medio y alto. El nivel básico contiene datos de carácter personal. El nivel medio además contendrá datos de hacienda, servicios financieros, penales o administrativos. El nivel alto contendrá datos acerca de la orientación sexual, ideología, salud o datos que de conocerse puedan dañar principios fundamentales.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




¿Dónde se regula el comercio electrónico?

Cuando nos disponemos a poner en marcha la creación de un proyecto de sitio web, tenemos que tener en cuenta una serie de normas que nos obligan a informar a los usuarios.

Las particularidades del comercio por vía electrónica hacen precisa la existencia de una ley específica que lo regule. Se trata de la Ley LSSI 34/2002 de Servicios de la Sociedad de la información y de Comercio electrónico, de 11 de Julio,  , que regula específicamente la materia: cómo mostrar y comprar productos y servicios a través de Internet, incorporando todas las gestiones anteriores, simultáneas y posteriores al contrato, como por ejemplo la entrega de catálogos, la remisión de comunicaciones comerciales, el deber de información del prestador de servicios o comerciante, etc.

En esta actividad comercial actúa la regla de libre prestación de servicios, con las únicas limitaciones de salvaguarda del orden público, investigación penal, seguridad pública y defensa nacional, protección de la salud y de los consumidores, respeto a la dignidad de la persona y al derecho de no discriminación por cuestiones de raza, sexo, religión, etc., salvaguarda de la juventud y de la infancia.

Asimismo se aplicará la normativa general de protección del consumidor, Ley General para la Defensa de los Consumidores y Usuarios, Ley 26/1984 de 19 de Julio.

Y, por supuesto, se aplica la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de derechos digitales. Esta ley obliga a todas las personas, empresas y entidades, tanto privadas como públicas que traten datos personales a cumplir una serie de requisitos y aplicar determinadas medidas de seguridad en función del tipo de datos que posean.

El Aviso Legal

Las empresas que se dediquen al comercio electrónico deben exhibir, en su página web, cierta información sobre ellas mismas que debe mantenerse allí de forma permanente y accesible de manera sencilla.

¿Dónde debe incluirse?

No es obligatorio para todas las páginas web tener un aviso legal, pero si es necesario tenerlo en:

  • Páginas web de empresas y blogs corporativos.
  • Blogs y webs personales que tienen enlaces a web de publicidad o cualquier otra web en la que exista información relacionada con la temática del blog o web personal.
  • Webs de comercio electrónico, en las que se muestran bienes y servicios propios.

Siempre que de esa web se obtengan ingresos directos, por las actividades de comercio electrónico que se realicen, o indirectos, por la publicidad en su sitio web; debe cumplir la ley.

La LSSI exige indicar en un sitio visible y accesible una serie de datos. Esta información se denomina Aviso Legal, y se sitúa al pie de la página o en una página exclusiva para ella, ya que así es visible.

Contenido del Aviso legal

Los datos que debe contener dicho aviso son:

  • Su nombre o denominación social y datos de contacto, como el domicilio, dirección de correo electrónico, teléfono o fax.
  • Si la empresa está registrada en el registro mercantil, deberá indicar el número de inscripción.
  • Su NIF o CIF
  • Si la actividad requiere una autorización administrativa previa, se deberá comunicar los datos relativos a la misma y la identificación del órgano de supervisión.
  • Si se desempeña una profesión reglada, se deberá notificar los datos del colegio provisional, el número de colegiado, el título académico, y el estado de la UE donde se obtuvo.
  • Política de privacidad: es obligatorio avisar a los usuarios el tratamiento de los datos personales. También hay que informarles de sus derechos.
  • Otros apartados diferentes: también se puede advertir a los usuarios sobre distintos temas como: cláusulas de propiedad industrial, responsabilidad, condiciones de uso de la web …, aunque estos temas no son obligatorios.

Política de privacidad

La política de privacidad o protección de datos personales, avisa a los usuarios sobre procedimiento que la organización sigue para recabar los datos personales, posibilitando que éstos vean para qué se van a usar, y las alternativas que tienen las organizaciones en cuanto a su recogida.

Los datos personales recabados en las webs se deberán gestionar según lo dispuesto en la LOPDGDD 3/2018, y deberán ser tratados de manera confidencial.

Los usuarios pueden ejercitar los derechos de oposición, acceso e información, rectificación, cancelación y revocación de su consentimiento al uso de sus datos personales.

Esta recogida de datos es general puesto que en la mayoría de las páginas web a las que se accede actualmente se recogen los datos referidos al usuario, ya que los datos personales se consideran imprescindibles para efectuar cualquier gestión. Por ello se elaboró la LOPD, con el objetivo de regular el tratamiento de estos datos personales.

Dicha ley exige que se informe sobre el tratamiento de éstos y los fines por los que la empresa los solicita. Esta información se indica en los textos donde se recoge la política de privacidad. Además la ley también obliga a que se pida el consentimiento para las cesiones de datos efectuadas entre las empresas.

En el ámbito de las páginas web, para que el usuario otorgue su consentimiento, es necesario que acepte las condiciones que normalmente suelen incluirse en la política de privacidad. Por ello, en todos los formularios que podemos encontrar en la red, debe incorporarse un check donde podamos marcar que hemos leído y aceptado la política de privacidad.

Condiciones generales de venta o condiciones de contratación

Se deberán indicar, si es posible con anterioridad al inicio del proceso de compra, las condiciones generales de venta. De esta forma, el usuario antes de comprar ha leído ese contenido.

Contenido

  • Información clara y específica de los precios de compra, con indicación expresa de si incluyen los impuestos correspondientes y gastos de envío. De no ser así se deberá decir a cuánto ascienden estos.
  • Explicación del proceso de compra.
  • Obligaciones tanto para el vendedor y el comprador.
  • Requisitos de la compra, cuales son los plazos, la forma de entrega, la forma de pago, etc.
  • Soluciones en supuestos de pedidos defectuosos.
  • Idioma en el que se gestionará el contrato.

Información posterior a la compra

La LSSI obliga a confirmar al comprador que se ha realizado la operación, esto puede realizarse a través de dos vías:

  • Mediante correo electrónico enviado en un máximo de 24 horas tras la realización de la compra.
  • A través de una pantalla de confirmación que surja al finalizar el proceso de compra.

Política de cookies

La AEPD ha elaborado una Guía sobre el uso de cookies en la que se indica que “Dadas las múltiples complejidades que plantea el uso de las cookies, las instrucciones recogidas en el documento conjunto no persiguen ofrecer una solución genérica y común para el cumplimiento de la normativa sino que serán una guía para que las entidades afectadas deliberen y decidan sobre la solución más acorde a sus intereses y tipo de negocio. La AEPD aconseja a las entidades que utilicen cookies realizar una revisión de las que se utilizan, tanto internamente como con el asesoramiento de asociaciones u organismos especializados. Las entidades podrán averiguar así qué cookies se utilizan y para qué finalidad, desechando así las innecesarias.”

¿Qué son y para qué se utilizan las cookies?

Una cookie puede definirse como un archivo confeccionado por un sitio web que incorpora pequeñas cantidades de datos y que se envían entre un emisor y un receptor. En Internet el emisor es el servidor donde se aloja la página web y el receptor es el navegador que se utiliza para visitar cualquier página web.

La principal finalidad de las cookies es identificar al usuario a través del almacenamiento de su historial de navegación en una web específica para presentarle el contenido más apropiado según sus gustos.

Obligaciones en el uso de cookies

  • Deber de información de las cookies: debe proporcionarse a los usuarios información precisa e íntegra sobre el uso de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre la finalidad del tratamiento de los datos. Así mismo la información sobre cómo anular el consentimiento y suprimir las cookies deberá de estar a su disposición de forma accesible y contínua.
  • Obtención del consentimiento: para la instalación y uso de las cookies se exige en todo caso conseguir el consentimiento del usuario. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. También podrá obtenerse deduciéndolo de una determinada acción que el usuario realice, en un contexto en que se le haya proporcionado información clara y comprensible sobre las finalidades de las cookies y sobre si van a utilizarse por el mismo editor y/o por terceros, de forma que sea posible deducir que el usuario acepta que se instalen cookies. En todo caso la simple inactividad del usuario no supone la prestación del consentimiento por sí misma.

Criterio de la AEPD

La “Guía sobre el uso de cookies”, establece indicaciones al respecto, planteando un sistema de información por capas. De forma que la segunda capa complemente a la primera.

En la primera capa debe presentarse la información fundamental sobre la existencia de cookies, si son propias o de terceros y las finalidades de las cookies utilizadas, así como los modos de otorgar el consentimiento.

Respecto a la información mostrada en la segunda capa, dicha información adicional y complementaria de la primera, debería aludir a qué son y para qué se utilizan las cookies, los tipos de cookies utilizadas y su finalidad, así como la manera de desactivar o eliminar la cookies enunciadas a través de las prácticas permitidas por el editor, las herramientas proporcionadas por el navegador o el terminal o a través de las plataformas comunes que pudieran existir, para esta finalidad o en su caso, la forma de anulación del consentimiento ya otorgado. En esta segunda capa también se facilitará información sobre la identificación de quien utiliza las cookies, es decir, si la información conseguida por las cookies es tratada solo por el editor y/o también por terceros.

Comercio electrónico y RGPD

El Reglamento europeo de Protección de Datos, aplicable a partir del 25 de mayo, afecta a cualquier empresa, entidad, organización que trate datos de carácter personal.

Por lo tanto el comercio electrónico se verá afectado por esta nueva normativa.

Principales novedades

Las principales novedades que debemos tener en cuenta para adaptar nuestro e-commerce al nuevo RGPD son:

Incorporar la figura del Delegado de Protección de Datos

Es la persona encargada de asesorar al Responsable o Encargado del Tratamiento de las obligaciones que les incumben en relación al RGPD o de cualquier legislación vigente relacionada con la protección de datos.

Notificación de las brechas de seguridad

Debe notificarse todo percance que origine la destrucción, pérdida o modificación (accidental o ilícita) de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Nuevos derechos de los usuarios

Derecho a la portabilidad, el derecho al olvido integrado en el derecho a la cancelación o la supresión de datos.

Consentimiento del usuario

El envío masivo de e-mails es una parte esencial en las campañas de marketing por lo que devén adaptar el comercio electrónico a las novedades del RGPD en este ámbito.

Según el RGPD el consentimiento debe de ser libre, específico, informado e inequívoco, además de fácil de retirar.

Deber de información

Debe informarse a los interesados específicamente sobre:

  • las características de las transferencias internacionales
  • el periodo de conservación de los datos
  • los datos de contacto del Delegado de Protección de Datos (en caso de que la empresa haya designado a uno)
  • base legal del tratamiento
  • derecho que asiste a los interesados para dirigir sus reclamaciones a las Autoridades de Protección de Datos si consideran que sus datos se están tratando de forma desproporcionada.

Datos de menores

Respecto al consentimiento de los menores de edad, será licito prestarlo sin tutores cuando éstos tengan 16 años, aunque el RGPD deja abierta la posibilidad a cada esta miembro de establecer otros límites siempre que no sean inferiores a los 13 años.

Espero haber resuelto tus dudas para que tu tienda online cumpla con los requisitos exigidos por la nueva normativa.

No obstante, si tienes alguna pregunta en particular, no dudes en ponerte en contacto con nosotros en el Tlf 91 489 64 19 o en el correo lopd@atico34.com, el departamento jurídico de Grupo Ático34 está ahí para ayudarte.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.