Facebook Linkedin X-twitter Youtube Spotify Soundcloud
Buscar
Cerrar este cuadro de búsqueda.

Claves a tener en cuenta por las tiendas online para cumplir con la LOPD

La puesta en marcha de un proyecto de ecommerce, implica el cumplimiento de diversos  aspectos legales que, a pesar de su importancia, muchos emprendedores relegan por desconocimiento a un segundo plano, cuando no lo obvian directamente.

En el caso que ilustra este post, basado en la experiencia real de una consultoría que realicé en una empresa que daba el salto al ecommerce, el escenario era el típico de este tipo de proyectos. La organización había puesto todo su esfuerzo en la elección y personalización de una adecuada plataforma web, había adaptado el catálogo para poder presentarlo y las consideraciones legales correspondientes a garantías, devoluciones y otros aspectos relacionados con el hecho de la venta como tal, estaban bien cubiertos.

A pesar de eso, todo lo relacionado con la adecuación del ecommerce al cumplimiento de la normativa en materia de protección de datos (Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre, LOPD) y la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSICE 34/2002 de 11 julio), se había dejado de lado.

La causa de este olvido muy común: obviar que la LOPD obliga a todos aquellas entidades que manejen datos personales, como en el caso que nos ocupa, a desarrollar las medidas de seguridad suficientes para garantizar la privacidad de estos mismos datos y garantizar, así mismo, el cumplimiento de los derechos que la norma dispone para los propietarios de los datos. La norma no hace pues, distingos entre tipos de entidad: ni por tamaño, ni tipo de razón social, etc.

El trabajo de consultoría consistió verificar y subsanar las deficiencias encontradas en la gestión de datos personales del nuevo proyecto de ecommerce, que no olvidemos, no son independientes de la gestión de estos mismos datos en el resto de estructura de la empresa. Las incidencias más importantes que aparecieron durante el proyecto, son las siguientes:

  • Incompleto registro ante la Agencia de Protección de datos, de los tratamientos de datos que la empresa iba a gestionar: Si bien la entidad disponía de tratamientos previamente declarados ante la Agencia de Española de Protección de Datos, éstos no recogían la nueva actividad y no preveían cómo se iban a gestionar los datos de los clientes que se recogieran vía online. No olvidemos que con la recogida de un nombre y un correo electrónico para la gestión de un boletín de noticias, ya estamos ante un tratamiento de datos y por tanto con la obligación de garantizar todos los aspectos que la norma define. No hay que olvidar que, además de la obligatoriedad de figurar en el registro, la consulta a este mismo es libre y gratuito por parte de cualquier usuario. Así que hay que hacérsela siguiente pregunta: ¿si no cumple con la norma y presenta tratamientos de datos registrados, puedo fiarme de un ecommerce?
  • La recogida de datos en formularios de contacto y otros, no cumplía con lo previsto en la norma: Esta recogida, según lo previsto en el artículo 5 de la LOPD, tiene que venir precedida de una información donde se reflejen aspectos como quién es el responsable de fichero, para que se recogen los datos y que uso se va a hacer de ellos. Para que esta información sea válida y además la recogida se efectúe de forma adecuada, el usuario tiene que indicar de forma explicita su consentimiento al tratamiento de datos que se va a efectuar de sus datos personales.
  • En ningún momento se recogía en el sitio web, información sobre aspectos puramente legales de la web ni de condiciones de uso de la misma: Es fundamental que aparezca claramente identificada la Política de Privacidad, donde determinemos que medidas de seguridad se ponen a disposición de los usuarios y otros datos relacionados con el tratamiento de sus datos personales. Esta política de seguridad, será siempre diferente para cada proyecto, aunque pertenezcan a un mismo sector. Cada empresa es diferente en su gestión y por tanto sus necesidades serán distintas.
  • No estaba existía un Documento de Seguridad adecuado en la entidad: Si los datos que recogemos (como es el caso que nos ocupa), son datos de nivel medio o alto, la norma indica la obligación de desarrollar un Documento de Seguridad. Fundamentalmente se trata de un manual de procedimientos donde se detallan las medidas de seguridad concretas, tanto a nivel técnico como las procedimentales, puestas en marcha para llevar a cabo la gestión de los datos personales.
  • En este caso concreto, los datos de las ventas, se envían a una gestoría que se encargará de tramitar los apuntes contables y generar los impuestos correspondientes. Igualmente, la misma asesoría realiza las labores de gestión de recursos humanos para el personal de la empresa. Por tanto, nos encontramos ante la figura de Encargado de Tratamiento y será necesaria su regulación.

No olvidemos también que la LSSICE (Ley de Servicios de la Sociedad de la Información  y el Comercio Electrónico, 34/2002 de 11 de julio) determina otras obligaciones importantes a la hora de gestionar nuestro ecommerce. Entre ellas, las siguientes:

  • La instalación de cookies en el navegador del usuario, tiene que venir precedida de información y además es necesario recabar su consentimiento para tal fin.
  • Es obligatoria la identificación concreta del prestador del servicio. Es decir, de la sociedad (en la forma que fuera) que está tras el proyecto de ecommerce o si estamos en el caso de una persona física, del responsable del mismo.
  • Se deben informar de plazos de entregas, garantías, precios e impuestos, etc.
  • Es un punto fundamental a la hora de realizar labores de promoción de nuestro negocio, obtener el consentimiento para poder enviar comunicaciones comerciales. En el caso que nos ocupa, se hizo una criba de la base de datos eliminando completamente, todas aquellas direcciones de correo electrónico de las que nos e tuviera constancia de tener un consentimiento expreso y claro.

Con estas principales carencias subsanadas, el proyecto puede iniciar su andadura con mayores garantías para todas las partes: para su propietarios, por el cumplimiento de  unas normativas tan exigentes como la LOPD y la LSSICE y para los clientes, pues ven garantizados sus datos y los derechos que les son propios.

www.josemanuelsanz.es 

Consultor/Formador

QUIERO RECIBIR EL NEWSLETTER DE ECOMMERCE NEWS
Picture of Pedro Pablo Merino

Pedro Pablo Merino

Periodista licenciado en Ciencias de la Información, Socio Director y Co-fundador de Ecommerce News, el mayor medio de comunicación de España y Latinoamérica especializado en información sobre comercio electrónico, marketing online y economía digital. Con más de 130.000 usuarios únicos mensuales, está dirigido a todos aquellos profesionales con intereses en el comercio electrónico, marketing online, mobile commerce…Los usuarios pueden encontrar en Ecommerce News un portal de noticias, diversas revistas digitales y en papel, canal de TV, eventos, aplicaciones, etc.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

ÚLTIMOS POSTS

ÚLTIMOS POSTS

PUEDE INTERESARTE

El gran desafío de los profesionales de marketing y el Customer Intelligence como clave de la estrategia de Marketing Online Relacional

¿CONECTAMOS?

POSTS MÁS COMENTADOS

Scroll al inicio
Email:*
Nombre:*
Apellidos:*
Empresa:*
Cargo:
Sector:
Teléfono:
Dirección postal:

Rellenar si se quiere recibir la revista física.
Acepto recibir la newsletter y comunicaciones de Ecommerce News conforme a la Política de Privacidad:
Acepto recibir comunicaciones comerciales de terceros: