Ecommerce y cumplimiento normativo

Temas

La contratación por vía electrónica -o ecommerce-  está a la orden del día. ¿Quién no se ha comprado el último libro de su autor favorito por Amazon? O tú, empresa, ¿no te has planteado dar el salto al mundo online y poder ofertar tus productos a un mercado que no conoce de fronteras ni distancias? Pero para llevar a cabo esta práctica comercial tenemos que respetar y cumplir las normas que aplican. ¿Sabes cuáles son? Ahora te las cuento.

En este artículo te voy a hablar, en particular, de qué es lo que necesitas para poder tratar los datos personales de las personas que contraten algún servicio a través de tu página web.

Seguro que te suena eso de que hay que tener una política de privacidad, esos textos interminables -y en algunos casos un poco farragosos-  donde se explica a los usuarios qué datos personales se van a tratar, por qué, para qué y en base a qué.

O las famosas cookies – que ahora parecen estar muy de moda-, que el usuario no sabe muy bien qué son pero que a nosotros, como empresa y a efectos de marketing y publicidad principalmente, nos benefician y mucho, instalándolas en los navegadores de los usuarios mediante mensajes o avisos incómodos -en el mejor de los casos-, que informan en un primer vistazo y de manera “sucinta” sobre el número indecente de cookies que se les van a instalar (ellos no saben que necesitamos sacar métricas y estadísticas sobre la usabilidad de la web, cuáles son las preferencias del usuario en cuanto a gustos, comportamiento de navegación, etc.). Sin embargo, el usuario medio acepta inconscientemente la instalación de esas cookies, ya que los banners informativos molestan la visibilidad y usabilidad de la web: no les permiten visionar el contenido y acceso a la información que han ido a buscar, y estando en un mundo donde la inmediatez es el leitmotiv de la sociedad, el gesto que la mayoría de usuarios hace cuando accede a un sitio web es pinchar en el botón “aceptar”.

No obstante, no todos los responsables del tratamiento incumplen la ley, ya que hay muchos sitios web que permiten rechazar todas las cookies o incluso de manera granular, es decir, por packs según las finalidades de aquellas. Pues bien, éstos últimos prestadores de la sociedad de la información sí estarían cumpliendo con las exigencias del art.22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI en adelante), es decir, no sólo hay que informar, sino también hay permitir al usuario aceptar o rechazar la instalación de cookies de forma granular. Así nos lo ha puesto de manifiesto la Agencia Española de Protección de Datos mediante su última Resolución en esta materia (R/00499/2019).

Por otro lado, el pasado 8 de octubre de 2019, la European Data Protection Board (EDPB en adelante), ha publicado la Guidelines 2/2019, sobre el procesamiento de datos personales bajo artículo 6.1.b) del GDPR (siglas en inglés del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales) en el contexto de la provisión en línea de servicios a interesados. En síntesis lo que nos viene a decir es que el art. 6.1.b. del GDPR sólo nos servirá como base legitimadora del contrato online si los datos procesados son exclusivamente los necesarios para la ejecución del contrato. En caso de que se vayan a procesar datos distintos, tendremos que basar el tratamiento en el consentimiento o interés legítimo, previo estudio y ponderación del caso en cuestión.

Para que se entienda mejor voy a poner un ejemplo práctico: una empresa que se dedica a la comercialización de ropa deportiva decide ampliar su mercado ofreciendo sus productos online. Así que habla con su diseñador web y le pide que adapte la página para ello, pero se olvida de consultar con un abogado o asesor jurídico especializado en la materia para incorporar todos los textos legales que sean necesarios. Así pues, no incorpora una correcta política de protección de datos, y  con los datos que recopila para poder emitir facturas a los clientes decide ponerse en contacto con una empresa que lleva a cabo campañas de email marketing y le pasa toda la base de datos de sus clientes para que les bombardeen a emails de prospección comercial. ¿Pueden hacerlo? La respuesta es sí, pero no han cumplido con el deber de información que el art. 11 de la Ley 3/2018, de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) impone, derivado del art. 13 del GDPR, ya que deberían haber informado al usuario y cliente que se le podrá remitir comunicaciones comerciales electrónicas en base al interés legítimo que le ampara -pero no en base a la ejecución contractual por la compra que realizó en su web-. Esta falta de información está sancionada con un multa administrativa correspondiente de 20.000.000.-€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.5 del GDPR). De ahí la importancia de estar bien asesorado.

Es primordial tener bien fundamentada la legitimidad con la que se van a tratar los datos personales, ya que se debe cumplir con el principio de transparencia y minimización de los datos, y por ello sólo se deberá tratar los datos que sean necesarios para el tratamiento en cuestión, e informar a los titulares de estos qué datos se van a tratar, por qué, para qué y en base a qué, debiendo tenerlo todo debidamente documentado y fundamentado para evitar futuros problemas con la AEPD y  los Juzgados y Tribunales.

Además, el prestador del servicio deberá cumplir con otra normativa que le afecta y aplica, como es la Ley General de Defensa de Consumidores y Usuarios, y si también ofrece sus servicios en países europeos ajenos a España, debe tener en cuenta las estipulaciones del Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, de 28 de febrero de 2018, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior, sobre el que escribí y puedes leer en este artículo del pasado 9 de enero de 2019.

Al margen de todo esto, también hay que tener en cuenta toda la normativa a nivel sectorial que puede afectar al comercio en particular, y que en todo caso, debe ser analizada y estudiada para ofrecer un correcto asesoramiento.

Conclusión

Toda persona física o jurídica que presta un servicio de la sociedad de la información, entendiéndose por servicio de la sociedad de la información como todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, comprendiendo también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios, y dicho prestador se ubique en España o en un país de la Unión Europea o Espacio Económico Europeo pero dirija sus servicios a residentes de España y afecten, entre otras materias, a consumidores y usuarios, deberá cumplir con las exigencias establecidas en la LSSI y la LOPDGDD.

Esquemáticamente se podría concluir de la siguiente manera:

  • Se necesitará recabar el consentimiento -como acción afirmativa- de los usuarios para instalar las cookies en sus navegadores, pero sólo respecto de aquellas que no sean las estrictamente necesarias para el funcionamiento de la web.
  • Además, si se recaban datos personales, se deberá fundamentar el tratamiento en una de las bases legitimadoras que estipula el art. 6 del GDPR.
  • Si se realizan contrataciones por vía electrónica, además, hay tener en cuenta lo siguiente:
    • En materia de tratamiento de datos personales: sólo se podrá usar como base legitimadora la ejecución contractual (art. 6.1.b. del RGPD), para los datos que sean estrictamente necesarios para la ejecución de ese contrato (por ejemplo, nombre y apellidos, DNI, fecha de nacimiento, domicilio y teléfono). Sin embargo, no podrás usar esos datos para realizar campañas de telemarketing de terceras empresas (ahí precisarás del consentimiento explícito del usuario), o para enviarle publicidad de tus productos (podrás pero la base de legitimación no será la ejecución del contrato, sino el interés legítimo).
    • Se tendrá que respetar y cumplir la Ley de Defensa de Consumidores y Usuarios.
    • Si además se ofrece los servicios a países de ajenos a España pertenecientes a la Unión Europea, se deberá cumplir con el Reglamento (UE) 2018/302, sobre bloqueo geográfico injustificado.
    • Se deberá cumplir con toda la normativa sectorial que afecte al comercio en particular.

Asesórate por un buen profesional, ganarás en tranquilidad y reputación empresarial. En Valmart Abogados te ayudamos a ello.

Comparte

Comparte en Facebook
Comparte en LinkedIn
Comparte en Twitter
Comparte por mail

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

   He leido y acepto la Política de Privacidad