Protección de Datos en el Comercio Electrónico: Una Guía Integral

El comercio electrónico ha transformado los hábitos de compra de gran parte de la población, gracias a sus beneficios como un mayor alcance de público objetivo, la evolución del negocio y la flexibilidad en los medios de pago. Hoy en día, muchas empresas obtienen gran parte de sus beneficios a través del comercio electrónico, por lo que ofrecer a sus clientes un entorno seguro para realizar sus compras online es imprescindible para ganarse su confianza.

Cualquier tienda online que persiga el éxito de su negocio debe proteger a sus clientes, garantizando la seguridad de sus datos personales y, por lo tanto, generar confianza. La seguridad de la tienda online es un factor clave para evitar que los ciberdelincuentes puedan llevar a cabo sus fraudes, que afectarán tanto a sus clientes como a la tienda y su reputación.

Además, hay que considerar que las tiendas online no son inmunes a los fraudes y que pueden afectar tanto a la propia tienda como a sus consumidores. Los ciberdelincuentes pueden aprovechar cualquier debilidad en el proceso de compra para realizar transacciones fraudulentas o atacar el gestor de contenidos para robar información confidencial de los clientes, entre otros.

Los ciberdelincuentes tienen muchas vías para llevar a cabo sus fraudes, por lo que conocerlos será clave para evitarlos.

Las empresas que venden productos o servicios por Internet deben tener en cuenta una serie de consideraciones para garantizar la seguridad y privacidad tanto de los clientes como de la propia empresa. Llevar a cabo una planificación previa sobre los aspectos de seguridad claves que se deben implementar, permitirá a la empresa poner en marcha su tienda online de manera segura.

Otro de los aspectos fundamentales de una tienda online son los métodos de pago, ya que ofrecer diferentes medios de pago seguros genera confianza entre los potenciales clientes y mejora el volumen de ventas.

¿Qué encontrarás en esta guía?

Esta guía está orientada a describir los pasos a seguir para dotar a una tienda virtual de un nivel de ciberseguridad que proteja tanto al propietario como al cliente, y abarca los siguientes apartados:

• Qué es el comercio electrónico y las principales motivaciones de los ciberdelincuentes.
• Ciberamenazas a las que están expuestas las tiendas virtuales.
• Medidas de protección específicas contra el fraude.
• Seguridad en las operaciones de comercio electrónico.

Sea cual sea el sector de tu empresa o su tamaño, esta guía es para ti.

El RGPD: Clave para la Protección de Datos en Tiendas Online

El RGPD es clave para la protección de datos en tiendas online. Aprende a cumplir la normativa, garantizar derechos y optimizar la confianza de tus clientes. La normativa europea del Reglamento General de Protección de Datos (RGPD) es una de las legislaciones más importantes en materia de privacidad y protección de datos en el mundo digital.

El RGPD regula el tratamiento de datos personales para proteger los derechos de los ciudadanos europeos. El RGPD busca equilibrar esta realidad, proporcionando derechos a los ciudadanos mientras obliga a las empresas a asumir su responsabilidad.

Las tiendas online recopilan datos de los usuarios constantemente, ya sea durante el registro, la compra o la navegación.

El RGPD otorga a los ciudadanos europeos mayor control sobre sus datos personales. Cumplir con el RGPD requiere ajustes en varios aspectos de tu tienda online.

Implementar el RGPD no tiene por qué ser complicado. Si eres un emprendedor o propietario de una tienda online pequeña, cumplir con el RGPD puede parecer abrumador. Muchos negocios temen que las medidas del RGPD reduzcan las tasas de conversión al agregar pasos adicionales en el proceso de registro.

Un informe de confianza digital demostró que los usuarios están más dispuestos a compartir sus datos cuando se sienten seguros. Adaptar una tienda online al RGPD requiere planificación y ajustes técnicos. Si estás iniciando tu negocio o rediseñando tu tienda, considera la ayuda de expertos en diseño y desarrollo web.

El RGPD regula no solo cómo se manejan los datos dentro de la Unión Europea, sino también cómo se transfieren a países terceros. Si tu tienda online utiliza servicios que procesan datos personales fuera del Espacio Económico Europeo (EEE), debes asegurarte de que estos países o proveedores cumplan con el RGPD.

Dependiendo de las actividades de tu negocio, puede ser obligatorio designar un Delegado de Protección de Datos (DPO, por sus siglas en inglés). El Delegado de Protección de Datos supervisa el cumplimiento del RGPD, capacita a los empleados en materia de protección de datos y actúa como punto de contacto con las autoridades de supervisión.

Cumplir con el RGPD no solo afecta las operaciones internas de tu negocio, sino que también influye en la percepción que tienen los clientes de tu tienda online. Implementar formularios simplificados, explicaciones claras sobre el uso de datos y opciones de exclusión (opt-out) para correos electrónicos puede mejorar notablemente la experiencia del cliente.

Para gestionar el cumplimiento del RGPD sin complicaciones, considera automatizar ciertos procesos.

A pesar de cumplir con el RGPD, siempre existe el riesgo de que un cliente presente una queja sobre el uso de sus datos. Además de cumplir con el RGPD, tu tienda online debe ajustarse a otros requisitos legales que aseguren el correcto funcionamiento de tu negocio.

El RGPD es más que una normativa; es una oportunidad para construir relaciones sólidas con tus clientes. Cumplir con esta legislación no solo te protege de sanciones legales, sino que también te posiciona como un negocio responsable y profesional.

Para empezar, cualquier transacción online, siempre genera incertidumbre y es esa incertidumbre, es el principal obstáculo para la venta online.

Es obvio decir que Internet ha transformado la forma de relacionarnos con nuestros clientes y le ha dado mucho más poder al consumidor sobre sus decisiones de compra. El consumidor hoy investiga, compara, se informa y busca elementos que respalden sus decisiones, como las opiniones de otros usuarios y las condiciones que ofrecen los vendedores.

Quizás pienses erróneamente que vender infoproductos no es un e-commerce ni requiere nada de esto. El problema se produce cuando no están reguladas y expuestas las condiciones en las que se llevará a cabo el contrato, al no advertirlo, es el usuario quien tiene la sartén por el mango.

Estos nuevos requisitos tienen como objetivo intensificar la transparencia, la claridad y la accesibilidad relativa a la información que debe suministrarse al interesado respecto al tratamiento de la información personal que le concierne. Por otra parte, a nivel e-commerce se exige además suministrar información vinculada al contrato o información precontractual, que debe estar a disposición de tus usuarios antes de formalizar la compra.

Para cumplir ambos requisitos se está planteando incluso el desarrollo de iconos estandarizados que permitan una visión ágil y sencilla de los aspectos más relevantes del tratamiento. En su diseño ya está trabajando la Comisión Europea.

Todo e-commerce debe revisar la forma en la que obtienen y registran el consentimiento. Por otra parte, el RGPD introduce la necesidad de poder acreditar el consentimiento: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento”.

El e-commerce debe facilitar de forma gratuita al consumidor la confirmación del pedido, sus características esenciales y las condiciones generales del contrato en un soporte duradero (papel, memorias USB, DVD, tarjetas de memoria, correos electrónicos, SMS…).

La comisión Europea ha creado la primera plataforma europea para la resolución de conflictos en el comercio “online” amparada en la última ley del consumidor. Si piensas segmentar o categorizar clientes para campañas de marketing, a partir de la información personal y comercial que consta en la web se informará claramente de esta circunstancia al usuario en el momento de recabar sus datos y deberás requerir un consentimiento explícito con esta finalidad.

En todo e-commerce siempre se recomienda utilizar protocolos de seguridad como Secure Sockets Layer (SSL) para la autenticación web y la protección de datos.

La mejor recomendación de seguridad para un e-commerce legal es la adopción de medidas que eviten que la información circule por la red de forma intangible y, por tanto, susceptible de ser conocida o manipulada por terceros.

Es importante contar con un servicio de atención al cliente. Si pones a disposición del consumidor un número de teléfono para resolver dudas o tramitar incidencias en relación con un contrato, el coste de la llamada no puede ser superior a la tarifa básica. Es decir, dicha tarifa no puede incorporar un importe adicional en beneficio del vendedor.

A menudo, en el ámbito del eCommerce, donde a diario se llevan a cabo numerosas transacciones, los proveedores necesitan los datos de sus clientes, pero a muchos usuarios les preocupa revelar sus datos de carácter personal y con razón, pues se abusa con demasiada frecuencia de datos sensibles, se utilizan ilegalmente para fines publicitarios o incluso se entregan a terceros.

Tanto en lo que respecta a los clientes como para evitar consecuencias legales, las empresas deben prestar atención a la protección de datos en el comercio electrónico. Perder la perspectiva en cuanto a la protección de datos personales significa correr el riesgo de infringir la normativa vigente y llegar a pagar multas elevadas.

Objetivo de la política de protección de datos

En el sector del eCommerce en España, las empresas deben actuar de acuerdo a lo reglamento establecido, que viene recogido en la Ley de servicios de la sociedad de la información y de comercio electrónico o en la Ley de Protección de Datos de Carácter Personal.

El artículo 3 de dicha ley orgánica define los datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”. Respetar la normativa de protección de datos es igual de importante tanto para instituciones públicas como no públicas.

Además, tal y como indica la Ley de servicios de la sociedad de la información y de comercio electrónico en el Artículo 1, en el que se recoge el objeto de la misma: “Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información”.

El nuevo Reglamento General de Protección de Datos, que es aplicable desde el 25 de mayo de 2018 en todo el territorio europeo, plantea cuestiones que deben ser complementadas con normas nacionales. En España, esto se traduce en la elaboración de una nueva Ley Orgánica de Protección de Datos que sustituirá a la actual, que data de 1999. Esta nueva ley se encuentra en la fase de consultas, modificaciones e información pública, antes de ser aprobada.

En concreto, la nueva ley orgánica regulará aspectos como:

• Las formas adecuadas para otorgar y solicitar consentimiento en el uso de datos
• Cuál es la edad mínima para prestar consentimiento
• Qué ocurre con los datos de personas fallecidas
• Información de carácter crediticio
• Protección de datos personales y de otros tipos de datos

Datos Personales vs. Datos No Personales

A los datos personales pertenecen todos aquellos que encierran información sobre circunstancias personales u objetivas de las personas. De acuerdo con lo previsto en el nuevo RGPD, se consideran datos personales toda información relativa a una persona física viva identificada o identificable.

Así mismo, aquellas datos recopilados que puedan llevar a que se identifique a una determinada persona también constituyen datos de carácter personal. Entre ellos destacan:

• Nombre, fecha de nacimiento, dirección, nacionalidad
• Número de asegurado
• Datos bancarios
• Dirección IP, cookies, datos del GPS
• Sexo, color de piel, ojos y pelo
• Propiedades
• Datos de cliente online
• Formación o títulos profesionales

Los datos de carácter personal ofrecen información sobre personas particulares y, a este respecto, la asignación del nombre se convierte en un criterio de identificación decisivo. Los datos no personales son, por el contrario, aquellos que se recogen de manera anónima y no actúan como datos identificativos.

Con la aplicación del nuevo RGPD ha entrado en juego un nuevo concepto conocido como “seudonimización”. Este concepto hace referencia a un proceso en el que los datos se someten a encriptación o hashing para garantizar que estos ya no están vinculados directamente a una persona.

El Reglamento considera que estos datos seudonimizados siguen siendo datos personales y, en consecuencia, requieren legitimación para su tratamiento. En el sector del comercio electrónico no se suele hablar tanto de datos de carácter personal, sino más bien de datos de inventario o de datos de usuario, que se pueden recopilar por medio de los llamados servicios de telecomunicación como tiendas online, publicidad por correo o buscadores de Internet.

¿Están las direcciones IP consideradas como datos de carácter personal?

Con respecto a la cuestión de si las direcciones IP se consideran datos de carácter personal, una sentencia dictada el 3 de octubre de 2014 por la Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo y que, a su vez, se basa en una sentencia del Tribunal Superior de Justicia de la Unión Europea, considera que las direcciones IP tienen el carácter de datos personales. En definitiva, el aporte de la sentencia anteriormente mencionadaa, es que el concepto de dato personal debe interpretarse de forma amplia.

Las personas físicas pueden ser asociadas a identificadores online facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia.

"El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta."

Normas para la Recogida de Datos de Carácter Personal

Los gestores de tiendas online necesitan, sin lugar a dudas, los datos personales de sus clientes para procesar los pedidos, pero también en el marketing online son muy populares los análisis de datos, ya que con su ayuda se puede adaptar la publicidad y el emplazamiento de los productos de forma precisa a los usuarios. El Reglamento General para la Protección de Datos mencionado anteriormente deja patente la importancia que tiene contar con el consentimiento por parte de los usuarios para la utilización de sus datos personales. A este respecto, las empresas deben informarse bien sobre las condiciones a las que tienen que atenerse a la hora de recopilar y utilizar dichos datos.

Estos son algunos de los aspectos que se deben tener en cuenta:

Limitación de los Fines

En la protección de datos resulta esencial respetar la limitación de los fines, es decir, que la recopilación y utilización de los datos personales o de los datos de los usuarios solo se autoriza en aquellos casos derivados de la relación contractual. En cuanto se termine el contrato o el proceso de utilización, como empresa se tiene la obligación de eliminar todos los datos de carácter personal de forma inmediata e íntegra. Solo puede autorizarse la prórroga del período de conservación en caso de que los datos sean necesarios para la facturación.

Queda prohibida la transmisión de datos de carácter personal a terceros. Como excepción, las autoridades policiales pueden hacer uso de los mismos a efectos de facturación o de acciones penales.

Evitar la Recogida Superflua de Datos

A este respecto, se debe intentar actuar con moderación y recabar la menor cantidad de datos posible. A los clientes se les debe exigir los datos obligatorios (por ejemplo a la hora de cumplimentar un formulario de contacto) que sean estrictamente necesarios para la utilización del servicio.

La información relativa a la normativa de protección de datos al utilizar dicha información debe especificarse en una política de protección de datos aparte.

Transparencia y Obligación de Informar

Entre las máximas más importantes del derecho de protección de datos personales se encuentra el principio de la transparencia. Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.

Es esencial aquí contar con el consentimiento explícito del usuario para poder almacenar y procesar los datos que ha facilitado conforme al principio de la limitación de los fines. Existe el deber de información en caso de que se quieran almacenar datos fuera de la UE. Ofrece la política de privacidad por separado. Recuerda que esta ha de referirse a las diferentes formas de usar los datos de los clientes.

Google Analytics y la Protección de Datos Personales

Google Analytics, la herramienta de análisis de páginas web, ha creado una gran controversia en términos de protección de datos en el comercio electrónico. Esta herramienta gratuita facilita, entre otros, datos sobre la procedencia del visitante, sobre el tiempo de permanencia del mismo en las páginas web y sobre el tipo de páginas más visitadas. Los datos de carácter personal, como, por ejemplo, la dirección IP, el tipo de navegador o la fecha y hora en la que se visitan las páginas web, no solo se recopilan sin el consentimiento previo de los usuarios, sino que Google también los almacena. Por lo tanto, la empresa estadounidense puede crear perfiles de usuario completos sobre personas determinadas.

Ahora que en Europa se aplica el Reglamento General de Protección de Datos, existen una serie de novedades que los usuarios de Google Analytics deben tener en cuenta si no quieren infringir la normativa:

• Los datos de los usuarios se borrarán de forma automática tras un determinado período de tiempo.
• El usuario será informado del tiempo que durará el almacenamiento de sus datos y una vez expirado este, se liminarán sus datos.
• Herramienta para borrar datos de usuario en Analytics. Se trata de una herramienta que te permite borrar los datos almacenados de un usuario individual, de forma inmediata y estará basada en la cookie standard, en el user ID o en la app instance ID.

Google actúa como un procesador de datos y como la normativa es para usuarios europeos, los controladores de datos que operan desde estados que no son miembros de la unión, pueden revisar y aceptar estos nuevos términos desde su cuenta. Los usuarios de Google Analytics deben cumplir, a su vez, con las políticas de consentimiento explícito.

Derechos y Sanciones en Caso de Infringir la Política de Protección de Datos

Con el nuevo Reglamento General para la Protección de Datos se endurece el régimen sancionador, dispuesto hasta ahora en la Ley de servicios de la sociedad de la información y de comercio electrónico. Hasta ahora, muchas empresas consiguieron registros para sus bases de datos a través de tácticas que hoy en día no son legales. Esto supone que si la organización en cuestión no puede demostrar que dispone del consentimiento expreso del titular de dichos datos puede enfrentarse a sanciones y multas millonarias.

El artículo 83.2 del RGPD estable los criterios que serán atendidos a la hora de imponer las sanciones correspondientes. Entre otras, se observarán las siguientes circunstancias:

• La gravedad de la infracción cometida: cantidad de personas afectadas, nivel de daños y perjuicios ocasionados.
• Intencionalidad o negligencia de la infracción.
• Medidas adoptadas
• El grado de responsabilidad del encargado del tratamiento.
• Infracciones anteriores.
• La categoría de los datos de carácter personal que se han visto afectados por la infracción.

Las sanciones impuestas por esta nueva norma se dividen en dos grupos: sanciones graves y sanciones muy graves. Las consecuencias derivadas del uso de dichos datos por parte de la empresa sin ajustarse a los criterios de legalidad es una multa que puede ascender al 4 % de su facturación global anual o a 20 millones de euros, dependiendo de qué opción resulte más gravosa para la empresa infractora en cuestión.

Corresponde a los Estados miembros elaborar normas en materia de sanciones penales por las infracciones del RGPD. Además las leyes de cada país, deberán regular aspectos que aparecen redactados de forma muy genérica en el nuevo reglamento como, por ejemplo, cómo se gradúuan realmente las sanciones, cuándo prescriben, etc.

Sin embargo, ¿sabes si tu eCommerce hace una gestión legal y segura de los datos de los usuarios que visitan tu web? Es posible que cumplir con la Ley de Protección de Datos no haya estado entre las prioridades de tu eCommerce, pero créeme que debería estarlo. No exagero al decirte que se trata de una cuestión de supervivencia. Lo sabes tan bien como yo: la desconfianza.

El RGPD: El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y (Reglamento general de protección de datos). Éstas pueden venir generadas por denuncias y reclamaciones de usuarios.

Otro aspecto clave es el que afecta al consentimiento. Debe ser Específico: requiere que cada contacto realice una acción para dar su consentimiento con una finalidad previamente informada.

La aceptación por scroll, ya no es válida.