Blog de E-Commerce

​RGPD para tiendas online y e-commerce: cómo cumplir la ley

​RGPD para tiendas online y e-commerce: cómo cumplir la ley

El Reglamento General de Protección de Datos (RGPD) ha entrado en vigor el 25 de mayo, tengo una tienda online y no sé bien qué hacer para cumplir con la legislación. ¿Tengo que hacer algo para adaptar mi tienda al RGPD?

Dado que somos una plataforma en constante movimiento y "viva" (cómo algunos clientes dicen), en Palbin hemos adaptado ya vuestras tiendas online para que te cueste lo menos posible cumplir el RGPD. Somos fieles a nuestro compromiso de extender estas mejoras a todos nuestros clientes de manera gratuita. Así que eres cliente nuestro, estás de enhorabuena. En este artículo te contamos lo qué tienes que hacer.

El RGPD es un reglamento aprobado a nivel de la Unión Europea y tiene por objetivo asegurar la protección de la información personal. A partir de ahora, todas las empresas tendrán que poner a disposición en su web una Política de Privacidad que explique cómo están tratando los datos que disponen, ya sea de clientes, asociados, empleados o simplemente interesados en recibir información comercial. Y, así mismo, tendrán que permitir a todos ellos ejercitar los derechos que le proporciona el RGPD. Puedes leer más sobre los contenidos teóricos del RGPD en nuestro artículo RGPD: Qué es el Nuevo Reglamento General de Protección de Datos. Realmente ya existía 2 leyes muy claras y extensas (la LOPD y LSSI) que velaban por los derechos de los usuarios al respecto de la protección de datos y el comercio electrónico, pero parece que ahora todo el mundo se alarma con la RGPD, así que "Keep Calm", si antes no te preocupabas por la LOPD estabas igual de expuesto que ahora, y si ya la cumplías pues es cuestión de adaptarse un poco. Más aún, a día de hoy (25 de mayo) hemos revisado las mejores y más grandes tiendas online de España, y casi ninguna está adaptada al 100% a la RGPD todavía, suponemos que se irán adaptando progresivamente.

¿Cómo cambia la forma de recoger información con el RGPD? Consentimiento

A partir del 25 de mayo, no va a ser posible recoger ningún tipo de información personal sin que haya un consentimiento explícito por parte del afectado. Por tanto, los formularios de suscripción a nuestra newsletter o los formularios de registro en nuestra tienda deberán ofrecer una casilla donde el usuario acepte expresamente la política de privacidad y entrega de datos.

Además, debajo del formulario, tiene que aparecer con claridad la Información Básica sobre Protección de Datos, es decir, los datos fundamentales para saber quién es el responsable del tratamiento, la finalidad, la legitimación, el destinatario y los derechos que tiene el usuario. Esta primera capa de información debe estar enlazada con la Política de Privacidad, que entrará en mayor detalle.

Si tienes una tienda con Palbin, ¿has de preocuparte por esto? En lo relativo a la parte técnica, NO. Nosotros ya nos hemos encargado de que la estructura de los formularios de tu tienda cumpla con la legislación. Además, dentro de tu Panel de Administración, en [Contenidos > Políticas Legales], tienes la opción de personalizar la Información Básica que hemos mencionado. Ahora te corresponde a ti editar estos textos conforme al tratamiento de datos que hagáis en tu negocio. Esa parte es responsabilidad tuya, no nuestra.

Pero (¡presta atención!), seguro que recoges información más allá de tu tienda con Palbin, con otras aplicaciones, en papel, por teléfono… Y, en esos casos, tú deberás preocuparte de que la recogida de la información cumpla los requisitos. Es fundamental saber que el RGPD no se limita a los datos en Internet, también afecta a la información que tengas en un ordenador o en papel en tu archivo, para tu tienda física, etc.

Por último, si hasta ahora no has recogido los datos conforme al nuevo RGPD, la recomendación que se hace es enviar un email a tus clientes y suscriptores preguntándoles si dan su consentimiento para que sigas teniendo su información. En caso de que no lo dieran, en principio deberías retirar su información de tu base de datos. Por lo que estamos viendo, algunas empresas lo están haciendo y otras no, y hay varias interpretaciones al respecto.

Si la información de mi tienda queda recogida en vuestra plataforma, ¿qué responsabilidad tiene Palbin sobre el tratamiento?

En el RGPD hay dos figuras legales para explicar la relación que hay entre tú y nosotros: la figura del responsable del tratamiento y la figura del encargado del tratamiento.

El responsable de tratamiento es la parte que utiliza la información almacenada para su beneficio. Esta parte serías tú como vendedor ya que utilizas nuestra plataforma para guardar los datos de los clientes, pedidos, suscriptores, comentarios en el blog, etc. y, gracias a ellos, vender. En cambio, nosotros no guardamos esos datos en nuestro beneficio, sino que los almacenamos para que vosotros los podáis utilizar y, gracias a ellos, vender. Por tanto, Palbin es el encargado del tratamiento, es decir, la parte que se encarga de que los datos se conserven de manera segura para que tanto vuestros clientes como vosotros estéis satisfechos.

Para garantizar que ofrecemos esta seguridad, hemos actualizado nuestra Política de Privacidad explicando detalladamente cómo realizamos el tratamiento de datos. Te recomendamos leerlo porque es tu responsabilidad que nosotros, como proveedores tuyos, te ofrezcamos todas las garantías del RGPD. La manera de certificar esa garantía que establece el RGPD es mediante el Contrato de Tratamiento de Datos. Puedes encontrar más información aquí.

Por supuesto, las mismas garantías que nos exiges a nosotros, tienes que exigirlas a cualquier otro proveedor o asociado tuyo que almacene información personal de tus clientes, asociados, empleados o suscriptores. El RGPD nos afecta a todos.

¿Cómo modifico la Política de Privacidad para cumplir el RGPD?

Tienes la posibilidad de modificar la Política de Privacidad de tu tienda desde tu Panel de Administración, en el apartado [Contenidos > Políticas Legales].

En estas Políticas de Privacidad debes detallar cómo realizas el tratamiento de datos en tu empresa. Es una ampliación de la Información Básica de los formularios (que hemos hablado antes), por lo que es fundamental que esté completa.

En concreto, debes desarrollar los puntos relativos al responsable del tratamiento, la finalidad, la legitimación, el destinatario y los derechos de los afectados.

  • Responsable. Debes especificar los datos de contacto con el responsable, la identidad y datos de contacto del representante y los datos de contacto del Delegado de Protección de Datos en caso de que hubiere.
  • Finalidad. Debes incluir una descripción ampliada de los fines del tratamiento, los plazos o criterios de conservación de los datos y las decisiones automatizadas, especificando su perfil y la lógica aplicada.
  • Legitimación. Debes detallar la base jurídica del tratamiento y la obligación o no de facilitar datos, incluyendo las consecuencias de no hacerlo.
  • Destinatarios. Debes indicar quiénes son los terceros destinatarios de la información y, en el caso de terceros ubicados en otros países, las decisiones de adecuación, garantías, normas corporativas o situaciones específicas aplicables.
  • Derechos. Debes especificar cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición al tratamiento.

Te recomendamos que para la elaboración de este texto cuentes con el asesoramiento de un experto legal o bien contrates nuestro nuevo servicio de RGPD que estaremos sacando a lo largo de la próxima semana (En función de la demanda, habrá que tener paciencia, pero se te permite estar en proceso de adecuación).

Evaluación de Impacto, un Registro de Actividades de Tratamiento y un Delegado de Protección de Datos, ¿qué debo hacer con eso?

Una de las novedades del RGPD es que se suprime la obligación de inscribir el fichero de protección de datos en la Agencia Española de Protección de Datos (AEPD). Esta obligación que ha existido durante tantos años, ahora desaparece. Por supuesto, esto no significa que no tuviera importancia. Hasta el día 25 era imprescindible tener el fichero inscrito.

Desde el día 25, la inscripción del fichero se sustituye por el Registro de Actividades de Tratamiento, que se puede elaborar en base al Documento de Seguridad que se creaba para cumplir la LOPD. De todas maneras, tener este registro no es obligatorio para todos los casos. Solo lo es para las empresas con más de 250 trabajadores, a menos que el tratamiento que se realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales y/o datos personales relativos a condenas e infracciones penales (literalmente sacado del RGPD). Por tanto, si no cumples algunas de estas características, no necesitas tener Registro de Actividades de Tratamiento.

Al igual que en el anterior punto, para ciertos casos, el RGPD habla de una Evaluación de Impacto en la Protección de Datos (EIPD), previa a elaborar las directrices de tratamiento y como forma de evaluación acerca de las medidas más óptimas para garantizar la seguridad. Según la ley, esta evaluación será obligatoria en ciertos casos concretos: “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

Otra novedad del RGPD es la creación de la figura del Delegado de Protección de Datos. Esta persona sería la responsable de que el RGPD se implantara en la empresa y posteriormente se aplicara, tutelando todo el cumplimiento de los derechos de cara a los usuarios.

La ley indica que una empresa debe tener Delegado de Protección de Datos en ciertos casos: “si el tratamiento lo lleve a cabo una autoridad u organismo público” (excepto los tribunales que actúen en ejercicio de su función judicial), si “las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala” o si “las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales”.

Como estás pudiendo ver, para muchas empresas no va a ser necesario hacer una Evaluación de Impacto, llevar un Registro de Actividades de Tratamiento o tener un Delegado de Protección de Datos, pero ante la mínima duda acerca de si lo necesitas, nuestra recomendación es que hables con un experto legal. (En cualquier caso, en el servicio de RGPD de Palbin.com incluiremos la adaptación del documento de seguridad (que ya veníamos haciendo con el servicio de LOPD) y que nos servirá de base como Registro de Actividades de tratamiento).

Algunos consejos de seguridad

Más allá de si necesitamos hacer algo para cumplir la RGPD, un mensaje nos debe quedar claro: la protección de los datos va a ser una preocupación de las autoridades españolas, europeas e internacionales a partir del 25 de mayo de 2018. Las sanciones que se han contemplado en el caso de incumplimiento son bastante altas y se pone el foco en evitar que los datos se utilicen sin el consentimiento del afectado.

Por ello es importante que tomemos el máximo de precauciones posibles para conservar los datos de manera segura y hacer que nuestra tienda cumpla la RGPD.

Una recomendación que desde Palbin hacemos es leer las guías elaboradas por el Instituto Nacional de Ciberseguridad (INCIBE), además de garantizar que el acceso a la información siempre se realiza mediante contraseña y haciendo uso de protocolos de cifrado.

Sobre esto último, queremos llamar la atención sobre la importancia que va a tener el certificado SSL para cumplir el RGPD. Una de las obligaciones del RGPD es que toda transmisión de la información sea cifrada, y sin SSL la navegación en nuestra tienda online no lo es. Así es que recomendamos a todas las tiendas online que instalen un certificado SSL de primer nivel, como el que nosotros ofrecemos a nuestros clientes.

Pasos a seguir para cumplir el RGPD: adaptación

Si tienes una tienda con Palbin, te facilitamos las cosas resumiendo la adaptación a la RGPD en estos 6 pasos:

  1. Modifica el texto legal de los formularios ("Información Básica de Protección de Datos") que aparecerá en todos los formularios de tu tienda. Lo puedes hacer de forma muy sencilla desde un único punto [Contenidos > Políticas Legales > RGPD Texto legal formularios]. Nosotros te hemos dejado ya una plantilla básica para que puedas tomarla como base.
  2. Asegúrate de adaptar la Política de Privacidad de tu tienda. Es importante que adaptes la política de privacidad de tu tienda a la nueva normativa RGPD, para ello cada caso es diferente, y no podemos establecer algo genérico. Sin embargo te facilitaremos este trabajo con el servicio de RGPD que podrás contratar desde la próxima semana.
  3. Instala un certificado SSL para tu tienda online: Es necesario tomar el máximo de precauciones posibles para garantizar que tratas la información personal de manera segura. Las multas por no garantizar la seguridad en todo el ciclo de vida de la información pueden ser altísimas. Si eres cliente de Palbin, puedes contratar con nosotros el certificado.
  4. [Opcional] Además, puedes enviar un email de renovación de consentimiento en caso que tengas dudas sobre si has recogido su información de manera correcta. (Este punto está siendo muy controvertido ya que se está generando gran cantidad de spam)
  5. Ten en regla el Contrato de Tratamiento de Datos, el cual te explicamos cómo solicitar en las Políticas de Privacidad. Pero recuerda que con este contrato no es suficiente para cumplir el RGPD.
  6. Por último no podemos olvidarnos que debes cumplir la LSSI: Debes cumplir con esta ley al respecto del comercio electrónico y el uso de cookies. Tienes más información sobre LSSI aquí.

RGPD para clientes palbin RGPD si no eres cliente Palbin

Básicamente, como en todas las leyes, existe un grado de interpretación de la misma, y en este caso es igual. Lo importante es hacer lo posible por estar adaptado a las normativas y leyes (al igual que venía siendo hasta ahora con la LOPD). Todos estos pasos entrarán dentro de nuestro nuevo servicio de adaptación RGPD que podrás contratar a partir de la próxima semana.

Disclaimer: Toda la información que hemos ofrecido en este artículo tiene únicamente carácter orientativo y no vinculante. Es tu responsabilidad estar adaptado legalmente a las normativas al respecto de protección de datos y comercio electrónico.

¿Quiéres mejorar tu negocio online?
x
Academia digital

Únete a nuestra Academia Digital y recibe los mejores trucos y consejos sobre Comercio Electrónico y Marketing Digital diréctamente en tu correo.

Recibirás un email para confirmar tu suscripción.

Deja un Comentario

Tu email no será publicado



©2020 Siokia SL | Palbin.com: Crea tu tienda en dos pasos, 1 y 2. Condiciones de uso y Política de privacidad

Agencia certificada de Google Partners
Certificado SSL Digicert
Usamos cookies de terceros para mejorar la experiencia de navegación, y obtener estadísticas anónimas. Si continúa navegando consideramos que acepta el uso de cookies. OK Más información