08/09/2020

¿Qué es la Ley de Protección de Datos y cómo aplicarla en tu eCommerce?

¿Tienes un eCommerce y aún no eres consciente de si tu negocio cumple correctamente con la actual Ley de Protección de Datos?

Es posible que si ya tienes uno o estás pensando en crear tu propia tienda online, ya tengas resueltos muchos aspectos técnicos y funcionales.

Sin embargo, ¿sabes si tu eCommerce hace una gestión legal y segura de los datos de los usuarios que visitan tu web? ¿Es éste un espacio que genere confianza?

Es posible que cumplir con la Ley de Protección de Datos no haya estado entre las prioridades de tu eCommerce, pero créeme que debería estarlo. No exagero al decirte que se trata de una cuestión de supervivencia. Y no tardarás en darme la razón.

¿Cuál crees que es el principal freno de la compra digital?

Lo sabes tan bien como yo: la desconfianza. Descuidar la Ley de Protección de Datos y la legalidad en general en tu tienda online, es descuidar el principal factor de ventas, la confianza.

Los usuarios han transformado sus hábitos de consumo y la manera en la que se relacionan con una web, ya no basta con tener una buena web, si quieres vender, necesitas generar certezas en tus usuarios, y la única manera de conseguirlo es haciendo muy visible la legalidad de tu web, evidenciando  tus compromisos, tus garantias, tu responsabilidad con una adaptación correcta de políticas y mecanismos de obtención del consentimiento.

Tu tienda online es un espacio que se alimenta de información de usuarios y compradores y eso implica conocer sus derechos y las leyes que regulan las relaciones con ellos.

Hay varias leyes que afectan al comercio electrónico, pero solo dos destinadas a proteger la información de los que te confían sus datos, el RGPD (Reglamento Europeo de Protección de Datos) y la LOPD o Ley Orgánica de Protección de datos.

¿Sabes qué necesita tu eCommerce para que cumpla con la Ley de Protección de Datos, como aplicarla y porqué deberías cumplir?

Por si aún no conoces todo lo fundamental para cumplir con ella, en este post te lo contaré, aunque vamos a comenzar por definir este término, para que desde el principio, te quede claro y puedas aplicarlo en tu negocio.

¿Qué es la “Ley de Protección de Datos”?

No quiero aburrirte con jerga jurídica, lo que debes saber es que la Ley de Protección de Datos o LOPD es la regulación obligatoria encargada de defender el derecho de los ciudadanos sobre su propia información personal.

Como cualquier regulación, impone una serie de obligaciones a todos los que recojan, almacenen y gestionen información de carácter personal.

Actualmente, si tienes un eCommerce, hay dos regulaciones fundamentales en materia de protección de datos que tienes que conocer, porque afectan de lleno a tu tienda y por tanto, a su supervivencia:

  • El RGPD: El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y (Reglamento general de protección de datos). En este post te explico lo más relevante sobre el RGPD.
  • La nueva LOPD 3/2018 es la versión renovada de la antigua ley del 15/1999, se trata de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD).

Todas las regulaciones de los estados miembros en materia de protección de datos, están ahora mismo bajo el paraguas del RGPD.

Esto supone un cambio bastante significativo en la manera de entender la protección de datos.

¿Por qué deberías adecuar tu eCommerce a la Ley de Protección de Datos?

ley protection de datos para online

Cómo explicaba al principio, un eCommerce es un espacio en donde se recaba no poca información de carácter de personal, a través de diferentes sistemas de captura.

Los usuarios cada vez son más exigentes, recelosos y desconfiados, y saben que su información personal es algo que no pueden facilitar alegremente.

Necesitan por tanto, tener la certeza de que quien gestiona sus datos, no hará un uso fraudulento de ellos, que afecte a sus intereses y comprometa su seguridad.

Cumplir con la Ley de Protección de Datos en tu eCommerce es generar certezas en el usuario y las certezas generan confianza.

Por otra parte, el nuevo reglamento europeo otorga al usuario mucho más autogobierno respecto a su información personal, otorgándole mayores mecanismos para que pueda identificar a aquellos prestadores que hacen una gestión segura y cuales no.

Y para incentivar esa autogestión, les ofrece mayores herramientas de control y de reclamación, incluyendo el incentivo de la indemnización, es decir, que pueda requerir al prestador una indemnización si demuestra que sus derechos han sido vulnerados, incentivo a la denuncia que no estaba previsto en la LOPD.

Pero hay más motivos, aparte de la proyección de confianza, que deberías considerar para adecuar tu eCommerce a la Ley de Protección de Datos y al reglamento europeo (RGPD):

1) Generas mayor credibilidad

Al profesionalizar la gestión de la información e incorporar mecanismos garantistas en tu eCommerce,  ofrecerás mayores certezas al usuario para incentivar las compras.

2) Evitas sanciones y daños reputacionales

Éstas pueden venir generadas por denuncias y reclamaciones de usuarios. Recuerda que el coste reputacional puede resultar más costoso que el coste de una sanción.

3) Evitas disputas y reclamaciones

Tener condiciones claras y adaptadas a las particularidades de tu producto, evita reclamaciones infundadas, devoluciones y disputas.

Recuerda que tus políticas tienen como finalidad defender tus intereses y derechos como vendedor también, no disponer de condiciones de comercialización correctas o adaptadas, te deja completamente desamparado como vendedor, porque lo que establezcas tú en tus condiciones, juega a favor del comprador siempre.

4) Proteges el activo más valioso de tu eCommerce

La información de usuarios y compradores al incorporar protocolos de seguridad en la gestión de la información.

Garantizar la confidencialidad, la disponibilidad y la integridad de esa información debería ser tu mayor prioridad.

5) Aseguras la continuidad de tu eCommerce

La vulneración del derecho a la protección de datos, por ausencia de protocolos de seguridad, por desconocimiento de tus obligaciones o de los derechos de usuarios, por no tener contratos de encargo de tratamiento con quienes compartes datos de clientes, puede suponer el fin de tu eCommerce.

Es un riesgo que deberías evitar o al menos mitigar si quieres seguir creciendo.

¿Qué y cómo recaba información personal un eCommerce?

Empecemos por lo básico. Si tienes un eCommerce, sabes que lo normal es contar con varios sistemas de captura de información de carácter personal, analicemos los principales:

1. Formulario de contacto

Todo eCommerce necesita un formulario de contacto para que los usuarios o compradores puedan plantear dudas, quejas, comentarios o inquietudes relacionadas con el eCommerce, con la operativa, con el producto adquirido, etc.

Ese formulario como mínimo recaba un nombre y un correo electrónico, dos datos personales que están sujetos a la LOPD y al RGPD.

2. Formulario de venta

No existe eCommerce que no cuente con un formulario de venta, sería “el colmo”, vamos.

Normalmente, existe una opción de registro que implica un formulario bastante extenso donde la información de carácter personal que se requiere no es precisamente poca.

Pongamos de ejemplo el formulario de venta de 1&1, Partner de PrestaShop.

formulario de venta prestashop rgpd

política de protección de datos prestashop

Vemos que hay mucha información personal requerida.

Toda esta información debe ser tratada conforme a la LOPD y al RGPD en todo su ciclo de vida, desde la captación, hasta la eliminación.

3. Formulario de suscripción a contenidos

Digamos que un eCommerce sin un blog con contenidos, se queda bastante cojo.

Un blog con una buena estrategia de contenidos es fundamental para ganar visibilidad, posicionamiento, mejorar la conversión y fidelizar a su comunidad, tal como explica José Facchin en este post.

Cualquier formulario de suscripción cuenta con 2 campos básicos : nombre y correo electrónico o solo correo electrónico, como es el caso de PrestaShop:

formulario prestashop

Esos son datos que proporciona el usuario voluntariamente, hay más información personal que recaban, como la IP del ordenador que permiten localizar al usuario.

Quizás creas que incluir un check box en tus formularios puede disminuir la adquisición de leads, lo que puedo asegurarte es que sí aumenta la conversión desde el momento en que ese lead está asociado al permiso, y te lo explico con más detalle en este post.

4. Formulario de alta para comentarios del blog

Muchas tiendas online integran en su blog formulario para que los usuarios puedan comentar sus contenidos y ser moderados por los administradores.

Estos formularios, también recaban información personal, como un nombre y un correo electrónico.

¿Cuáles son las principales regulaciones que afectan a tu eCommerce?

Un eCommerce es un negocio online sometido a diferentes regulaciones que protegen al consumidor y usuario.

Teniendo claros todos los sistemas de captura de información personal presentes en tu eCommerce que acabamos de analizar, cumplir con la Ley de Protección de Datos no es una opción.

Pero no es la única, ya que hay más leyes que afectan directamente a la venta electrónica y que todo eCommerce debería cumplir sin fisuras:

1. Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico en España (LSSI-CE)

Esta Ley es la que regula aspectos jurídicos básicos para un eCommerce como la Contratación en línea, el envío de mails y los servicios de intermediación. 

Regula las transacciones económicas mediante medios electrónicos, o sea, impacta de lleno en un eCommerce.

Esta regulación afecta a todas las personas o empresas que realicen actividades electrónicas con fines económicos y exige transparencia y consentimiento en todos los mecanismos informativos.

La mal llamada Ley de Cookies es una de las disposiciones de esta ley.

2. Ley de Ordenación del Comercio Minorista para las ventas a distancia

Esta Ley regula las ventas que se hacen sin la presencia física simultánea del comprador y del vendedor, es decir, todas las celebradas por otros canales, como es el caso de los eCommerce.

3. Orden del IVA aplicado al Comercio Electrónico

Se trata de una legislación de la Unión Europea  que se aplica de forma directa a las ventas online.

Esta Ley, obliga a todo el que tenga un eCommerce aplicar el IVA correspondiente al  país del consumidor y no el IVA del país donde tiene su residencia fiscal el vendedor, por tanto, todos los productos que ofrezcas en tu eCommerce, si estás en  la UE, se consideran prestados en la ubicación del comprador

Todas esas regulaciones se van a plasmar en los diferentes textos legales de tu eCommerce.

¿Cómo puedes adecuar tu eCommerce a la Ley de Protección de Datos?

Como ves, la Ley de Protección de Datos no es la única regulación que debes conocer y aplicar en tu eCommerce, pero sí una regulación fundamental.

Esta ley garantiza a usuarios y compradores varios aspectos esenciales para merecer su confianza:

  • Garantizas haces un uso seguro y responsable de su información personal
  • Aseguras que no vas a utilizar la información que te facilitan con ninguna finalidad diferente a la informada.
  • Garantizas que aplicarás las medidas de seguridad adecuadas para proteger su información y que no caiga en manos equivocadas.
  • Garantizas que vas a respetar sus derechos a acceder, rectificar, oponerse, limitar o suprimir sus datos en cuanto estos derechos te sean requeridos por el usuario.
  • Y finalmente, les aseguras que no vas a ceder, transferir o compartir sus datos con ninguna empresa o persona sin contar con su autorización expresa.

Y ya sabes que la confianza es el factor clave de una venta online.

Los pasos necesarios para adecuar tu eCommerce a la Ley de Protección de Datos se resumen en:

1. Diagnóstico inicial

Análisis de la información que recaba tu eCommerce, los diferentes sistemas de captura que utiliza, las herramientas de tercero involucradas en el tratamiento y la documentación a adecuar.

Lo primero que deberías hacer es analizar todos los datos personales que recaba tu eCommerce, incluyendo los que recaban las cookies.

También deberías comprobar los diferentes formularios de recogida de datos de usuarios y compradores, como formularios de contacto, de venta, de suscripción, etc.

Deberás estudiar y analizar todos los focos de entrada/tratamiento de datos personales y las herramientas involucradas en ese tratamiento, como puede ser el servicio de hosting, el servicio de email marketing o la plataforma de venta que utilices.

Otro aspecto que analizar son las cookies de terceros que descarga tu eCommerce, deberían ser auditadas convenientemente y especificarlas en el mensaje de advertencia y el la correspondiente política de cookies.

También debes analizar los diferentes documentos que genera tu eCommerce, como:

  • Presupuestos.
  • Facturas.
  • Actividades promocionales como email marketing.
  • Correos de confirmación de compra.

Y, en general, cualquier documento en el que se traten datos personales de usuarios, clientes, prestadores de servicios, colaboradores y clientes, suscriptores o empleados, si los hubiere.

Toda esta información te servirá para saber todos los elementos que deben ser adecuados a la Ley de Protección de Datos y al RGPD.

2. Adecuación de todos los sistemas de captura, las cláusulas, avisos y textos necesarios de la web

El reglamento europeo exige que se preste al usuario información completa, específica y clara al usuario sobre todos los aspectos relacionados con el tratamiento de la información personal.

Hay textos imprescindibles que deben estar presenten en todo eCommerce.

Concretamente, necesitas disponer de:

textos imprescindibles legalidad ecommerce

Recuerda que estos textos deben estar adaptados a tu negocio, por tanto, lo del copia y pega es algo que deberías evitar siempre, puedes optar por contratar a un profesional especializado en negocios digitales o adquirir plantillas predefinidas que puedas personalizar y que integren todos los elementos informativos que exigen las diferentes legislaciones que te afectan, en mi web hay un KIT específico para eCommerce.

Por otra parte, el RGPD exige desarrollar cláusulas informativas específicas en cada formulario y hacerlo por capas.

Aquí tenemos la primera novedad que introduce el RGPD: la información por capas. 

¿Esto qué significa?

Significa que cada vez que requieras información a alguien, deberás informar en una primera instancia, los aspectos más relevantes que afecten a esa información.

El mecanismo de información por capas o multinivel es sin duda el que mayor inquietud está causando en todos los que tienen una web o un eCommerce, porque afecta de manera sustancial al diseño del propio eCommerce y toda la estrategia de captación y venta.

Para que lo veas de forma más clara y concreta, como deberías incorporar la información multinivel en tu blog, te voy a poner el ejemplo de la página de TécnicoRGPD:

información multinivel técnicorgpd

En el caso de los formularios de venta o contratación de tu eCommerce, deberás incluir la misma mecánica de consentimiento expreso.

También deberás revisar y adecuar las cláusulas a incorporar a los correos electrónicos, tus boletines, en los correos de confirmación de compra, en tus promociones, etc.

Si además quieres incorporar a tus clientes a tus boletines para mandarle ofertas periódicas, necesitas un consentimiento específico, mira el siguiente formulario:

consentimiento boletines clientes

Otro aspecto clave es el que afecta al consentimiento. El RGPD exige la legitimación del consentimiento.

Este es un aspecto decisivo en tu eCommerce, porque afecta no solo a los consentimientos que tengan lugar a partir de mayo del 2018, afecta a todos los registros que hayas obtenido hasta el momento.

Para cumplir la Ley de Protección de Datos, debes dar un protagonismo absoluto al consentimiento y asegurarte de que éste cumpla con algunas condiciones:

  • Debe ser Expreso: ya no valen las casillas de opt-in ya marcada o fórmulas en las que se presupone el consentimiento del tipo “al completar el formulario nos das tu permiso para mandarte publicidad propia y de terceros”
  • Debe ser Específico: requiere que cada contacto realice una acción para dar su consentimiento con una finalidad previamente informada. Como cada formulario requiere una información específica para una finalidad específica, habrá que informar de forma específica en cada caso.
  • Debe ser Verificable: debes ser capaz de acreditar que lo has obtenido conforme exige el RGPD, es decir, deberás llevar un registro de todos los consentimientos obtenidos.

Por tanto, todo formulario adecuado al RGPD debe:

1) Incluir una casilla de aceptación

2) Incluir un enlace hacia la política de privacidad.

3) Incluir una primera capa informativa con la coletilla legal del formulario según su tipología.

4) Registrar el consentimiento de manera que pueda ser verificable en cualquier momento.

3. Analizar tus colaboraciones

Es algo fundamental en la adecuación de tu eCommerce, asegurarte de que todas las empresas o profesionales con los que colaboras y sean consideradas como “encargados de tratamiento” cumplan también con el RGPD.

El RGPD exige diligencia en la contratación de colaboraciones, por tanto, es importante que analices tus relaciones con todos aquellos con quien compartas datos de clientes, suscriptores, empleados, como los proveedores informáticos, moderadores freelance, hosting, gestoría, etc.

De igual manera, a aquellos proveedores de servicios, como tu plataforma de email marketing, tu plataforma de eCommerce, etc.

Deberás tener firmados contratos específicos con las nuevas disposiciones del RGPD.

4. Establecer el procedimiento para dar satisfacción a los derechos del usuario  

Aparte de los derechos ARCO (acceso, rectificación, cancelación y oposición) el RGPD trae nuevos derechos a los que debe poder responder de forma satisfactoria, como es el derecho a la limitación de tratamiento, a la portabilidad o el famoso derecho al olvido.

5. No te olvides de la implantación Técnica

No todo son buenos textos, puedes tener los mejores, pero sin una buena implantación técnica, no habrá cumplimiento.

Por eso en Técnico RGPD decidimos preparar formaciones y cursos de RGPD, también para esos perfiles más técnicos que tienen que lidiar con las partes legales.

Un ejemplo claro es la adaptación de cookies: normalmente, se limitan a instalar el primer plugin del repositorio, no es su trabajo investigar si cumplen o no cumplen, si bloquean o no bloquean la carga.

Es preciso instalar un plugin que permita:

  • Aceptación explícita: no se descarga ninguna cookie hasta que el usuario las acepte.
  • Botón de rechazar: no es no. Y el usuario no acepta, no se ejecuta ninguna cookie.
  • Botón de reajustar: como siempre te puedes arrepentir, que exista la opción de poner un botón de ajustes, para que el usuario decida siempre qué hacer con sus cookies.

La aceptación por scroll, ya no es válida. Solo se considera válida la aceptación con un botón de aceptar.

Aviso de cookies en mi web:

aviso de cookies web rgpd

La agencia española de protección de datos ha actualizado su Guía sobre la gestión de cookies, no dejes de leerla si quieres cumplir en tu web.

Pero también veo otras cosas más complicadas de justificar en páginas de muchos consultores RGPD:

  • Políticas mal explicadas, con incongruencias
  • Desactualizadas
  • Farragosas, con un copy deplorable
  • Formularios sin adaptar

Por eso es necesario que busques profesionales (técnicos y normativos) que conozcan los negocios digitales y en especial, que estén muy familiarizados con eCommerces y con Prestashop.

2 Módulos recomendados por PrestaShop para aplicar esta Ley en tu tienda

Tanto si ya has creado tu tienda online en PrestaShop y aún no estabas aplicando la Ley de Protección de Datos en tu web, como si estás pensando en crearla y aún no la has diseñado, te propongo estos 2 módulos.

Sin duda, te ayudarán a adaptarte a ella y, sin duda, conseguirás en tus visitantes la confianza que buscas:

1. Módulo "Cumplimiento ley Protección de Datos"

Módulo "Cumplimiento ley Protección de Datos"

El addon "Cumplimiento ley Protección de Datos" de Prestashop te ayuda al cumplimiento de la Ley de protección de datos (LOPD) en la web de tu negocio, conforme a todos los factores anteriormente comentados.

Incluye otras funcionalidades extra, como: aceptación de condiciones de privacidad en el formulario de suscripción de tus newsletters, en el formulario de contacto de la tienda, en el formulario de registro y les permite a tus clientes que puedan eliminar su cuenta en tu eCommerce, en caso de que previamente te hayan dejado sus datos.

La gran ventaja de este sencillo pero eficaz módulo desarrollado por InnovaDeluxe es su adaptabilidad con cualquier tema de PrestaShop que tengas instalada y que además dispone de otras leyes necesarias en tu web, como la Ley de Cookies.

2. Módulo Cumplimiento Ley de protección de datos - LOPD

modulo lopd

Este módulo para tiendas PrestaShop incluye multitud de ventajas y funcionalidades, para ayudarte a cumplir con la Ley de Protección de Datos de carácter personal.

Entre los factores que debes tener en cuenta a la hora de valorar este Módulo Cumplimiento Ley de protección de datos, están las de adecuación de las condiciones de privacidad en:

  • El formulario de suscripción a tus newsletters.
  • Formulario de registro.

Conclusiones

La Ley de Protección de Datos y el Reglamento Europeo (RGPD) son regulaciones que no deberías descuidar, porque marcarán una línea roja muy clara para los usuarios de tu eCommerce que cada vez, exigen mayores garantías por parte de quienes gestionan su información.

El cumplimiento de estas regulaciones aporta mayores certezas a todos los consumidores que se acercan a tu eCommerce y te ahorra muchísimos dolores de cabeza derivados del incumplimiento.

Te recomiendo hacer de la transparencia una máxima, por ello, debes asegurarte de ofrecer a tus usuarios en una primera y segunda capa informativa, todos los aspectos que exige el RGPD.

Recuerda que el consentimiento no es más que un permiso reforzado y lo que marcará la diferencia entre los eCommerce que hacen una gestión legal de la información y los que no.

Es necesario que dediques esfuerzos a desarrollar tu política de privacidad, el aviso legal, la política de cookies y las cláusulas a pie de formulario en base a la operativa de trabajo y el tipo de gestión de datos personales que se realiza en tu eCommerce, incluyendo todas las comunicaciones que establezcas con tus usuarios y clientes.

¿Estás preparado para llevar tu eCommerce a una nueva dimensión de confianza?

Imágenes principales By Freepik.

Cada 2 semanas, nuestra newsletter e-commerce

Al enviar este formulario, acepto que PrestaShop S.A utilice los datos que he facilitado para el envío de boletines y ofertas promocionales. Puedes cancelar la suscripción en cualquier momento por medio del enlace que figura en los correos promocionales que recibes. Obtén más información sobre la gestión de tus datos y derechos.