RGPD para e-commerce: ¿Cómo aplicarlo?
En este artículo hablaremos para LOPDGDD y RGPD para ecommerce y los retos ante la normativa regula la protección de datos en toda Europa. Reflexionaremos sobre todo lo que tienen que saber las ecommerce de venta nacionales e internacionales y la imposición del RGPD y la LOPDGDD y ofreceremos consejos legales de Letslaw para evitar sanciones y multas.
El antiguo sistema de venta off-line ha quedado atrás, obligando a estos operadores a dar el salto y abrir un canal de venta on-line. Sin embargo, hay que ser consciente de que, en este ámbito, hay riesgos legales relacionados con la protección de datos, el comercio electrónico, la publicidad, derecho de consumo, etc.
Los ecommerce de venta nacionales e internacionales
El nuevo Reglamento General de Protección de Datos (RGPD) es de aplicación desde el 25 de mayo de 2018 para todas las empresas de la Unión Europea que realicen un tratamiento de datos de ciudadanos europeos, así como para aquellas empresas establecidas fuera de la Unión Europea que tratan datos de ciudadanos europeos en relación con una oferta de productos o servicios ofrecidos a los mismos o con el análisis de sus comportamientos dentro de la UE; y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), que es de plena aplicación desde el 5 de diciembre de 2018 y que es vinculante dentro del territorio español
El antiguo sistema de venta off-line ha quedado atrás, obligando a estos operadores a dar el salto y abrir un canal de venta on-line. Sin embargo, hay que ser consciente de que, en este ámbito, hay riesgos legales relacionados con la protección de datos, el comercio electrónico, la publicidad, derecho de consumo, etc.
Imposición de LOPDGDD y RGPD para ecommerce
A continuación, os indicamos algunas de las novedades que introducen estas normativas y que deberá tener en cuenta todo ecommerce:
1. Deber de informar a los usuarios sobre el tratamiento de sus datos personales
Esta normativa amplía la obligación respecto al deber de informar a los usuarios y exige que las empresas proporcionen información concisa, transparente, inteligible y de fácil acceso; con un lenguaje claro y sencillo.
El RGPD y la LOPDGDD amplían el contenido de la información que las empresas deben facilitar a los usuarios. Por ejemplo, se deberá explicar la base legal para el tratamiento de los datos, indicar el período de conservación de los mismos, facilitar los datos de contacto del DPO o Data Protection Officer o del DPD o Delegado de Protección de Datos (en caso de que la empresa haya designado a uno), e informar sobre el derecho que asiste a los usuarios para dirigir sus reclamaciones a las autoridades de protección de datos.
2. Consentimiento por parte del usuario
El RGPD y la LOPDGDD mantienen el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la antigua LOPD:
- Consentimiento
- Relación contractual
- Intereses vitales del interesado o de otras personas
- Obligación legal para el responsable
- Interés público o ejercicio de poderes públicos
- Intereses legítimos
El RGPD y la LOPDGDD establecen que el consentimiento de los usuarios al tratamiento de sus datos personales debe ser libre, informado, específico e inequívoco.
Se entenderá que el consentimiento es inequívoco cuando el usuario realice una acción afirmativa para consentir el tratamiento de sus datos personales (por ejemplo, haciendo click en una casilla que no esté marcada por defecto) y evitando frases formuladas en negativo como “No quiero recibir comunicaciones comerciales”.
El consentimiento, además de inequívoco, ha de ser explícito en el caso de tratamiento de, entre otros:
- Datos sensibles
- Adopción de decisiones automatizadas
- Transferencias internacionales
Por todo ello, aquellos consentimientos que se den por omisión o sean tácitos, serán contrarios a al RGPD y la LOPDGDD
3. Nueva figura del Delegado de Protección de Datos (DPD) o Data Protection Officer
La nueva figura del Delegado de Protección de Datos (DPO) se encargará de garantizar el cumplimiento de la normativa RGPD para ecommerce en determinados supuestos. Entre las principales funciones del DPO se encuentran asesorar a las empresas y sus trabajadores sobre el cumplimiento normativo y actuar como punto de contacto entre estos y la Agencia Española de Protección de Datos, en caso de consultas en materia de protección de datos.
Esta figura será obligatoria para aquellas empresas que realicen tratamientos que requieran una observación habitual y sistemática de los usuarios a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos sensibles.
Además, la nueva LOPDGDD obliga a diversas entidades contenidas en su artículo 34 a tener un Delegado de Protección de datos como, por ejemplo:
- Los centros docentes.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las empresas de seguridad privada.
4. Obligación de notificación de las brechas de seguridad
Se exige que las empresas notifiquen a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los usuarios.
5. Nuevos derechos para los usuarios recogidos por el RGPD para ecommerce
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos. Los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Entre otras cosas, se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.
El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, en los que el responsable podrá cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar (el canon no podrá implicar un ingreso adicional para el responsable, sino que deberá corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud).
Además de los derechos de Acceso, Rectificación, Supresión y Oposición, la RGPD y la LOPDGDD introducen nuevos derechos para los usuarios:
- Derecho al olvido: Los usuarios pueden solicitar a las empresas que sus datos personales sean suprimidos cuando, por ejemplo, éstos ya no sean necesarios para cumplir con las finalidades con las que fueron recabados o se haya retirado el consentimiento.
- Derecho a la portabilidad de los datos: Este derecho supone que el usuario puede solicitar la recuperación de sus datos al responsable de tratamiento para su posterior transmisión a otra entidad.
- Derecho de limitación del tratamiento: Con este derecho los usuarios pueden solicitar que no se apliquen a sus datos personales las operaciones de tratamiento que en cada caso correspondan.
Además, la nueva LOPDGDD recoge en su Título X nuevos derechos para los interesados que habrá que tener en cuenta a la hora de operar en el mercado, como por ejemplo:
- El Derecho a la desconexión digital en el ámbito laboral.
- El Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
6. Evaluaciones de impacto sobre protección de datos
Los responsables del tratamiento deberán realizar una Evaluación de impacto sobre la Protección de Datos antes de iniciar los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los interesados.
En concreto será obligatoria en la evaluación sistemática y exhaustiva de aspectos personales, como la elaboración de perfiles y sobre cuya base se toman decisiones y en el tratamiento a gran escala de las categorías especiales de datos.
Además, el pasado 7 de mayo de 2019, la AEPD ha publicado una lista orientativa sobre aquellos tipos de tratamiento que requieren una evaluación de impacto relativa a la protección de datos, de acuerdo con el artículo 35.4 del RGPD.
En la mismas se concluye que requerirán de evaluación de impacto, entre otros:
- Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
7. Firma de contrato con Encargados de Tratamiento
Suele ser habitual que los e-commerce trabajen con empresas de hosting que lleven a cabo el almacenamiento de los datos personales de usuarios o con empresas de logística que realicen las entregas de los productos en los domicilios de los usuarios
Dado que estas empresas tienen que acceder a los datos personales de los usuarios para la prestación de los servicios contratados, los e-commerce deben formalizar un contrato con cada una de estas empresas como encargadas de tratamiento.
A través de este contrato, el encargado de tratamiento se comprometerá a utilizar los datos personales de los usuarios conforme las finalidades que el e-commerce indique y a no aplicarlos o utilizarlos con un fin distinto al que figure en dicho contrato.
En cuanto respecta al contenido mínimo de los contratos de encargo de tratamiento, el RGPD y la LOPDGDD destacan que se deben tener en cuenta las siguientes cuestiones:
- Instrucciones del responsable del tratamiento: Se debe determinar de forma precisa las instrucciones respecto del encargo realizado, así como las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.
- Deber de confidencialidad: Hay que establecer la manera en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad. Esta obligación debe quedar documentada y a disposición del responsable.
- Las medidas de seguridad: Establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias. Asimismo, el responsable y el encargado determinarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.
8. Mayores multas
El RGPD y la LOPDGDD aplican un régimen sancionador mucho más estricto, aumentando de forma considerable las sanciones. En concreto, el importe de las sanciones podrá llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.
Si aún no has adaptado tu e-commerce al RGPD y la LOPDGDD puedes contactar con los Abogados de Protección de Datos de Letslaw, un despacho de abogados especializado en protección de datos y derecho digital.