Directiva de Privacidad Electrónica y Protección de Datos en el Comercio Electrónico

by on

En el mundo digital actual, millones de personas introducen diariamente sus datos personales y bancarios en tiendas online para adquirir productos o servicios. Esta acción, aparentemente sencilla, conlleva un riesgo inherente: la exposición de información personal a posibles vulneraciones de seguridad. Por ello, la protección de datos en el comercio electrónico no es solo una obligación legal, sino también un pilar fundamental para construir la confianza entre empresas y consumidores.

Las normas comunes de la UE garantizan un alto nivel de protección de los datos personales en toda la Unión Europea. La Directiva de Privacidad Electrónica (ePD) es una directiva europea sobre privacidad y protección de datos que regula el uso de cookies, la minimización de datos y el marketing por correo electrónico.

La Directiva ePrivacy: La "Ley de Cookies" y su Alcance

La Directiva de Privacidad y Comunicaciones Electrónicas, conocida como Directiva ePrivacy (o ePD), es una normativa de la Unión Europea que regula la privacidad en las telecomunicaciones y el uso de tecnologías de seguimiento, como las cookies. Aunque el RGPD (de 2018) establece los principios generales sobre la protección de datos, la Directiva ePrivacy se centra en aspectos más específicos relacionados con las comunicaciones electrónicas. Su nombre oficial completo es "Directiva sobre la privacidad y las comunicaciones electrónicas 2002/58/CE." Se aprobó en 2002 y se modificó en 2009.

Diferencia entre Directiva y Reglamento

Es importante destacar que la diferencia entre una Directiva y un Reglamento es que un Reglamento es directamente aplicable a todos los países, mientras que la Directiva debe transponerse con una ley nacional. Por eso, el RGPD se aplica directamente a todos los Estados, mientras que la ePrivacy se plasma en cada país con sus leyes específicas (aunque los objetivos sean los mismos).

Como directiva, no es jurídicamente vinculante a nivel de la UE, sino un conjunto de directrices no vinculantes emitidas a nivel de la UE para animar a los Estados miembros a elaborar sus propias leyes nacionales para abordar las preocupaciones en torno a la privacidad de datos y las comunicaciones electrónicas. Un ejemplo es la CNIL de Francia, el organismo regulador de la privacidad de datos, que ha actuado con firmeza en la persecución y sanción de quienes incumplen la normativa de privacidad de datos.

Desde 2017, la Directiva ePrivacy está en proceso de ser sustituida por el futuro Reglamento ePrivacy, que se espera armonice las normas en todos los países de la UE y refuerce la protección de la privacidad digital. Sin embargo, este reglamento ha sufrido múltiples retrasos y aún no ha sido aprobado definitivamente.

¿Qué exige la Directiva ePrivacy?

Si tu página web utiliza cookies, realiza envíos de correos electrónicos promocionales o tiene elementos de tracking, debes cumplir con esta normativa. La Directiva ePrivacy establece que, salvo algunas excepciones, las cookies solo pueden ser almacenadas en el dispositivo del usuario con su consentimiento previo y explícito. La Directiva ePrivacy también regula el marketing directo a través de correo electrónico, SMS o llamadas telefónicas. Las organizaciones que se adhieren al RGPD deberían actuar con prudencia en la protección de la privacidad del usuario, pero es importante destacar que la Directiva de Privacidad Electrónica tiene como objetivo:

  • Prevenir la captura e interacciones ilegales de datos: No está permitido interceptar, almacenar, monitorear, escanear o vigilar las comunicaciones electrónicas, a menos que se cuente con el consentimiento.
  • Seguimiento solo con consentimiento explícito: Seguimiento mediante diversas tecnologías para fines no necesarios sin el consentimiento explícito y específico del usuario.
  • Obtener el consentimiento para el acceso a los datos: Acceder a la información almacenada en los dispositivos de un usuario sin su consentimiento.
  • Prevenir comunicaciones no solicitadas: No está permitido enviar correos electrónicos no solicitados, mensajes de texto, llamadas automatizadas u otras comunicaciones electrónicas "spam".
  • Evite el procesamiento no consentido de metadatos: Los metadatos de las comunicaciones electrónicas, como los datos de ubicación o los datos del destinatario, no pueden procesarse sin el consentimiento o el derecho legal para hacerlo.

¿Quién debe cumplir la Directiva ePrivacy?

La directiva se aplica a cualquier organización que procese datos personales de residentes de la UE o preste servicios de comunicaciones digitales. Esto podría incluir:

  • Cualquier empresa (a nivel mundial) que procese datos personales de residentes de la UE, que se dedique al marketing digital, al seguimiento basado en cookies o a cualquier otro método de seguimiento para recopilar datos personales de los usuarios.
  • Terceros que utilizan tecnologías de seguimiento.
  • Propietarios y operadores de sitios web que utilizan tecnologías de seguimiento.
  • Proveedores de servicios de comunicaciones, como compañías de internet, operadores telefónicos, etc., que permiten la recopilación de datos personales.

Derechos de los consumidores según la Directiva sobre privacidad electrónica

La Directiva sobre privacidad electrónica, al cruzarse con el RGPD, otorga una serie de derechos similares en materia de privacidad de datos a los consumidores, entre ellos:

  • Derecho a la información: Los consumidores pueden esperar ser informados sobre qué datos se recopilan, por qué y quién los recopila, generalmente en forma de banners de cookies y avisos de privacidad.
  • Derecho al consentimiento: Los consumidores deben dar su consentimiento informado y explícito antes de que se utilicen cookies no esenciales o tecnologías de seguimiento similares.
  • Derecho a retirar el consentimiento: Los consumidores pueden rechazar o retirar el consentimiento en cualquier momento.
  • Derecho a la privacidad en las comunicaciones: Los consumidores tienen derecho a la confidencialidad de las comunicaciones, incluida la protección contra la interceptación o vigilancia de las comunicaciones o la retención no autorizada de datos.
  • Derecho a controlar el almacenamiento y acceso al dispositivo: Los consumidores tienen control sobre cualquier intento de almacenar información o acceder a información en sus dispositivos, como cookies, almacenamiento local o píxeles de seguimiento.
  • Derecho a la protección contra comunicaciones no solicitadas: Los consumidores tienen derecho a no recibir comunicaciones de marketing no solicitadas, como correos electrónicos, SMS, etc.

La Directiva sobre la privacidad electrónica exige a las organizaciones que borren o anonimicen los datos que ya no sean necesarios, a menos que deban conservarse para la facturación. Además, la directiva exige que todos los datos de localización sean anónimos. También prohíbe la vigilancia de los canales de comunicación, excepto para "salvaguardar la seguridad nacional," investigar delitos penales y otros casos especiales.

Desarrollo de propuestas comerciales en marketing digital

El Reglamento General de Protección de Datos (RGPD) y el Comercio Electrónico

El Reglamento General de Protección de Datos (RGPD) es una ley integral sobre privacidad de datos que se aplica a los datos de los residentes de la UE. Entró en vigor en 2018. El RGPD complementa la Directiva sobre la privacidad electrónica y amplía algunos de sus requisitos, pero la directiva sigue siendo válida. Este reglamento es obligatorio y el máximo responsable de cumplir con la normativa es la persona a cargo de la tienda online.

Las tiendas online deben proporcionar información clara sobre la identidad del vendedor, características esenciales de los productos o servicios, precios totales, gastos adicionales y condiciones de entrega. Los productos digitales, imágenes, descripciones y contenidos utilizados en la web deben respetar los derechos de autor y marcas registradas. La normativa exige implementar medidas técnicas y organizativas adecuadas para proteger los datos personales frente a accesos no autorizados, pérdidas o filtraciones.

Obligaciones legales de una tienda online respecto a los datos personales

Las obligaciones legales que debe cumplir una tienda online respecto a los datos personales son las siguientes:

  • Información clara al usuario: La tienda online debe informar de forma transparente sobre quién trata los datos, con qué finalidad y durante cuánto tiempo los conservará. Esta información suele aparecer en la política de privacidad.
  • Consentimiento expreso: El usuario debe dar su consentimiento de manera libre, específica e informada antes de que se utilicen sus datos.
  • Encargados del tratamiento: Si la empresa contrata a terceros que gestionen parte de la información debe firmar con ellos un contrato que garantice el cumplimiento del RGPD.
  • Seguridad en los datos: La tienda online debe implantar medidas técnicas y organizativas para evitar el acceso no autorizado, la pérdida o el robo de datos personales. Esto incluye el uso de protocolos HTTPS, contraseñas seguras y sistemas de cifrado.
  • Derechos de los usuarios: Los usuarios y consumidores tienen derecho a acceder, rectificar, suprimir o limitar el uso de sus datos. Además, pueden retirar su consentimiento en cualquier momento.

¿Qué ocurre si se produce una brecha de seguridad?

Cualquier empresa está expuesta a sufrir un ataque informático o un fallo técnico. En estos casos, el RGPD obliga al responsable del tratamiento a notificar la brecha a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. Además, si el incidente puede afectar gravemente a los derechos o libertades de las personas, también debe informar directamente a los afectados.

En caso de no hacerlo, puede dar lugar a sanciones económicas muy elevadas que pueden alcanzar hasta los 20 millones de euros o el 4 % de la facturación anual, según la gravedad del incumplimiento.

Claves para el Cumplimiento de la Directiva ePrivacy y el RGPD

1. Revisar las prácticas de datos

Obtener el consentimiento previo y explícito para las cookies y el seguimiento. Para los propietarios de sitios web, puede llegar a ser difícil obtener información sobre el comportamiento de los usuarios sin cookies. Las cookies son un elemento que puede servir para la identificación de nuestros usuarios, la norma obliga a ofrecer más información sobre ellas y a mejorar las opciones de los usuarios de nuestra tienda. Se han de modificar los avisos sobre cookies básicos que se usaban hasta este momento, para incluir dos opciones: el consentimiento expreso o la posibilidad de rechazar las cookies que no sean estrictamente necesarias y acceder al sitio. Tenemos que indicar qué cookies se usarán en la tienda y cuál es la finalidad, pudiendo hacerlo en la página de política de privacidad o en una página específica sobre cookies. Al igual que todas las acciones que impliquen consentimiento de los usuarios, tenemos que llevar un registro sobre el consentimiento de cookies. El consentimiento del usuario se tiene que renovar cada doce meses y se le debe ofrecer la posibilidad de retirarlo en cualquier momento.

La Directiva de Privacidad Electrónica (ePrivacy) es una de las principales razones por las que aparecen banners de cookies en la mayoría de los sitios web, solicitando a los usuarios su consentimiento para aceptar o rechazar su uso. La directiva exige que los sitios web obtengan el consentimiento del usuario antes de almacenar cookies en su navegador, salvo que se trate de cookies estrictamente funcionales necesarias para el funcionamiento del sitio web. Esta práctica de obtención del consentimiento también exige que se informe a los usuarios sobre la(s) finalidad(es) de las cookies antes de consentir su uso.

Tipos de cookies y necesidad de consentimiento

La siguiente tabla muestra ejemplos de qué tipos de cookies se consideran técnicamente necesarias y cuáles no lo son:

Tipo de Cookie Descripción ¿Requiere consentimiento?
Estrictamente Necesarias Esenciales para el funcionamiento básico del sitio (ej. recordar inicio de sesión, carrito de compras). No
De Rendimiento/Análisis Recopilan información sobre cómo los usuarios interactúan con el sitio para mejorar su funcionamiento.
De Funcionalidad Permiten recordar las preferencias del usuario (ej. idioma, región).
De Publicidad/Marketing Utilizadas para mostrar anuncios relevantes para el usuario.

2. Respetar el derecho de consentimiento del usuario

Brindar a los usuarios la posibilidad de tomar decisiones granulares sobre la aceptación y el rechazo de cookies. Cualquier envío de comunicaciones comerciales por correo electrónico o mensajería electrónica requiere el consentimiento previo del usuario. La Directiva sobre la privacidad y las comunicaciones electrónicas especifica que las personas tienen que aceptar antes de que una empresa pueda enviarles comunicaciones. Esto no solo se aplica al marketing por correo electrónico, sino también a llamadas, textos y cualquier otra forma de comunicación electrónica. Además, los correos electrónicos tienen que proceder de una dirección legítima, y los remitentes de los correos electrónicos deben proporcionar a los destinatarios la opción de darse de baja ("la práctica de enviar correo electrónico con fines de marketing directo...").

Marketing por correo electrónico y el doble opt-in

Desde que el RGPD entró en vigor, las tiendas en línea están obligadas a utilizar un proceso de doble consentimiento para obtener el consentimiento del cliente para procesar sus datos (por ejemplo, cuando un cliente se suscribe a tu boletín). Esto significa que un cliente interesado en recibir información o publicidad tuya debe consentir en esto cuando te proporcionen su información de contacto (por ejemplo, marcando una casilla para indicar que desean recibir correos electrónicos publicitarios tuyos). Después, también debes enviarles un enlace de confirmación por correo electrónico, que deben hacer clic para completar el proceso de suscripción. Esto significa que otorgan su consentimiento dos veces para recibir futura información/ofertas de tu parte. Si no obtienes este doble consentimiento, no puedes enviar mensajes publicitarios o de marketing a la dirección de correo electrónico del cliente. Si el cliente no hace clic en el enlace de confirmación, no puedes usar ni almacenar su dirección de correo electrónico para fines de marketing.

3. Proporcionar información accesible

Explique qué datos se están recopilando, cómo se utilizarán y compartirán, y con quién. Todos los formularios que recojan datos personales deberán de contar con unos elementos básicos para mejorar la información de los usuarios. Es necesario informar en el mismo formulario de los aspectos básicos de nuestra política de privacidad: el responsable de los datos, con que finalidad los vamos a usar, la legitimación y destinatarios. Se requiere el consentimiento específico para cada fin, con un checkbox distinto para cada finalidad. Además, debemos incluir un enlace a una página donde se recoja de forma detallada nuestra política de privacidad.

Actualizar la página de Política de Privacidad

Conviene crear o revisar la página que recoge la política de privacidad de nuestro ecommerce para adaptarla a las reglas del RGPD. La norma obliga a dar visibilidad a esta información, por lo que es aconsejable incluirla en el menú de pie de página, el menú del footer, y que así sea fácilmente accesible. La página de política de privacidad de nuestra tienda online tendrá que incluir:

  • Mencionar expresamente el sometimiento al RGPD.
  • Detallar toda la información que se recoge de los usuarios.
  • Puede ser el propietario del ecommerce o una persona en la que se haya delegado esta función.
  • Informar del derecho de los usuarios a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación o a su oposición de su tratamiento. Los usuarios también tendrán derecho a solicitar la portabilidad de sus datos.
  • Se debe exponer claramente la finalidad o finalidades que se van a dar a los datos recogidos, y durante qué plazo van a ser conservados.
  • Si existe algún proceso automatizado a partir de esos datos, por ejemplo la segmentación de los clientes en base a las acciones realizadas en la tienda online, se debe explicar de forma clara en esta página.

4. Garantizar el cumplimiento de socios y terceros

Comprobar que terceros y socios también cumplen la directiva. La Directiva sobre el comercio electrónico exime a los intermediarios de responsabilidad por los contenidos que gestionan si cumplen determinadas condiciones. Los proveedores de servicios que alojan ilegalmente necesitan eliminarlo o deshabilitar el acceso a él lo más rápido posible una vez que son conscientes de la naturaleza ilegal del mismo. Generalmente, una tienda online tendrá que compartir datos de sus clientes con el proveedor del hosting que los almacena o con la empresa de logística que realiza los envíos. Se debe actuar un contrato sobre la cesión de datos con cualquier empresa con la que nuestro comercio online comparta datos. El objetivo es fijar la finalidad concreta que se va a dar los datos de nuestros clientes. Estos contratos deben recoger:

  • Instrucciones para el tercero en cuanto al uso que debe dar a los datos.
  • Deber de confidencialidad del tercero respecto a los datos.
  • La obligación del tercero de adoptar medidas de seguridad para la custodia de los datos.

5. Medidas técnicas y organizativas adicionales

Cifrado del sitio web

El Artículo 32.1.a del RGPD requiere que los operadores de tiendas aseguren que la transferencia de sus datos esté cifrada. Es una buena idea usar el protocolo HTTPS para asegurar las comunicaciones en tu sitio web. También puedes usar un certificado SSL para asegurar que:

  • … los socios de comunicación estén autorizados a través de un proceso de cifrado asimétrico.
  • … la transferencia de datos esté asegurada de extremo a extremo con un proceso de cifrado simétrico.
  • … la integridad de los datos transportados no se vea comprometida.

La norma no obliga a que nuestro comercio electrónico disponga de conexión cifrada y servidor seguro bajo protocolo HTTPS. Sin embargo, es muy aconsejable utilizar estas características en nuestro negocio online. El tráfico seguro ofrece mayor confianza a nuestros clientes, mejorará nuestro SEO y puede hacer que nuestra tienda sea más rápida.

Plugins de redes sociales

En el pasado, los plugins de redes sociales podían comenzar a recopilar datos del usuario en el momento en que un visitante llegaba a tu sitio. El RGPD cambió todo eso. Bajo las nuevas reglas, los plugins de redes sociales siempre deben estar inactivos por defecto cuando un usuario llega a un sitio. Cuando un plugin está correctamente incrustado en tu sitio, es un botón pasivo que solo se activa cuando el usuario hace clic en él. Al hacer clic en el botón, el usuario da su consentimiento para que sus datos sean transferidos a la plataforma de redes sociales para la cual es el plugin. Después de todo, si un usuario hace clic en el botón, es lógico suponer que desea usarlo (por ejemplo, para compartir contenido de tu sitio web a través de las redes sociales).

Los plugins de redes sociales son muy comunes en el comercio electrónico y generalmente aparecen en forma de botones Shariff. Además, puedes usar un principio de consentimiento de dos clics para los botones de redes sociales en tu sitio (similar al principio de doble consentimiento para boletines). Bajo el sistema de dos clics, el usuario primero hace clic en el botón de redes sociales que desea usar. Luego, tu tienda le pregunta explícitamente si consiente que transfieras sus datos a la plataforma de redes sociales.

Auditorías de seguridad

El nuevo reglamento obliga a informar a las autoridades de cualquier brecha de seguridad que afecte a los datos personales de nuestro comercio en menos de 72 horas. Llevar a cabo una auditoria de seguridad que nos ayude a prevenir estos riesgos puede ser una inversión muy rentable en nuestro negocio. Además de detectar posibles puntos de intrusión, conviene fijar una buena política de copias de seguridad, de buenas prácticas en la operativa del negocio y unas normas de actuación a seguir en caso de producirse una filtración de datos.

tags: #información #sobre #directiva #de #politica #de

Publicaciones populares: