La protección de datos personales en el eCommerce

A menudo, en el ámbito del eCommerce, donde a diario se llevan a cabo numerosas transacciones, los proveedores necesitan los datos de sus clientes, pero a muchos usuarios les preocupa revelar sus datos de carácter personal y con razón, pues se abusa con demasiada frecuencia de datos sensibles, se utilizan ilegalmente para fines publicitarios o incluso se entregan a terceros. Tanto en lo que respecta a los clientes como para evitar consecuencias legales, las empresas deben prestar atención a la protección de datos en el comercio electrónico. Perder la perspectiva en cuanto a la protección de datos personales significa correr el riesgo de infringir la normativa vigente y llegar a pagar multas elevadas.

En el sector del eCommerce en España , las empresas deben actuar de acuerdo a lo l reglamento establecido , que viene recogido en la Ley de servicios de la sociedad de la información y de comercio electrónico o en la Ley de Protección de Datos de Carácter Personal. El artículo 3 de dicha ley orgánica define los datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”. Respetar la normativa de protección de datos es igual de importante tanto para instituciones públicas como no públicas. Además, tal y como indica la Ley de servicios de la sociedad de la información y de comercio electrónico en el Artículo 1, en el que se recoge el objeto de la misma:

1. “Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información”.

El nuevo Reglamento General de Protección de Datos,  que es aplicable desde el 25 de mayo de 2018 en todo el territorio europeo, plantea cuestiones que deben ser complementadas con normas nacionales. En España, esto se traduce en la elaboración de una nueva Ley Orgánica de Protección de Datos que sustituirá a la actual, que data de 1999. Esta nueva ley se encuentra en la fase de consultas, modificaciones e información pública, antes de ser aprobada. En concreto, la nueva LOley orgánica regulará aspectos como:

• Las formas adecuadas para otorgar y solicitar consentimiento en el uso de datos
• Cuál es la edad mínima para prestar consentimiento
• Qué ocurre con los datos de personas fallecidas
• Información de carácter crediticio

A los datos personales pertenecen todos aquellos que encierran información sobre circunstancias personales u objetivas de las personas. De acuerdo con lo previsto en el nuevo RGPD, se consideran datos personales toda información relativa a una persona física viva identificada o identificable. Así mismo, aquellas datos recopilados que puedan llevar a que se identifique a una determinada persona también constituyen datos de carácter personal. Entre ellos destacan:

• Nombre, fecha de nacimiento, dirección, nacionalidad
• Número de asegurado
• Datos bancarios
• Dirección IP, cookies, datos del GPS
• Sexo, color de piel, ojos y pelo
• Propiedades
• Datos de cliente online
• Formación o títulos profesionales

Los datos de carácter personal ofrecen información sobre personas particulares y, a este respecto, la asignación del nombre se convierte en un criterio de identificación decisivo. Los datos no personales son, por el contrario, aquellos que se recogen de manera anónima y no actúan como datos identificativos. Tal es el caso del género, de la información sobre las visitas a determinadas páginas web, etc., a los que no cubre la denominada política de protección de datos personales. En este sentido, las empresas o los profesionales del marketing pueden emplear este tipo de datos sin problemas para la compilación de estadísticas o para otros fines.

Con la aplicación del nuevo RGPD ha entrado en juego un nuevo concepto conocido como “seudonimización”. Este concepto hace referencia a un proceso en el que los datos se someten a encriptación o hashing para garantizar que estos ya no están vinculados directamente a una persona. El Reglamento considera que estos datos seudonimizados siguen siendo datos personales y, en consecuencia, requieren legitimación para su tratamiento. La Agencia Española de Protección de Datos (AEPD) dispone de una guía sobre las garantías en el proceso de anonimización de datos personales que puede ser muy útil.

En el sector del comercio electrónico no se suele hablar tanto de datos de carácter personal, sino más bien de datos de inventario o de datos de usuario, que se pueden recopilar por medio de los llamados servicios de telecomunicación como tiendas online, publicidad por correo o buscadores de Internet.

Con respecto a la cuestión de si las direcciones IP se consideran datos de carácter personal, una sentencia dictada el 3 de octubre de 2014 por la Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo y que, a su vez, se basa en una sentencia del Tribunal Superior de Justicia de la Unión Europea, considera que las direcciones IP tienen el carácter de datos personales. Por ello, la protección de las mismas se encuentra regulada en el RGPD y en la LOPD.

La condición de datos de carácter personal de las direcciones IP dinámicas aparece más detallado en el siguiente artículo, que pone de manifiesto que la razón por la que este tipo de secuencias numéricas son consideradas como tal radica en el hecho de que se asignan de manera individual a cada dispositivo en particular y que, por lo tanto, permiten identificar a los usuarios de los mismos.

En definitiva, el aporte de la sentencia anteriormente mencionadaa, es que el concepto de dato personal debe interpretarse de forma amplia. En este sentido, los datos que se recogen al navegar por Internet o al prestar servicios web, al combinarse con los datos obtenidos por el prestador del servicio,  pueden llegar a identificar a una persona y, por lo tanto, pasarán a considerarse datos personales.

A este respecto, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, pone de manifiesto en el apartado 30 que:

Las personas físicas pueden ser asociadas a identificadores online facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

Asimismo, dicha normativa también recoge cuál es el papel que desempeña el consentimiento al uso de los mismos por parte de los usuarios, como queda patente en su razón 32:

"El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta."

Los gestores de tiendas online necesitan, sin lugar a dudas, los datos personales de sus clientes para procesar los pedidos, pero también en el marketing online son muy populares los análisis de datos, ya que con su ayuda se puede adaptar la publicidad y el emplazamiento de los productos de forma precisa a los usuarios. El Reglamento General para la Protección de Datos mencionado anteriormente deja patente la importancia que tiene contar con el consentimiento por parte de los usuarios para la utilización de sus datos personales. Esto significa que antes de hacer uso de ellos se debe valorar si se cuenta con la autorización de los mismos.

A este respecto, las empresas deben informarse bien sobre las condiciones a las que tienen que atenerse a la hora de recopilar y utilizar dichos datos. Estos son algunos de los aspectos que se deben tener en cuenta:

En la protección de datos resulta esencial respetar la limitación de los fines, es decir, que la recopilación y utilización de los datos personales o de los datos de los usuarios solo se autoriza en aquellos casos derivados de la relación contractual. En cuanto se termine el contrato o el proceso de utilización, como empresa se tiene la obligación de eliminar todos los datos de carácter personal de forma inmediata e íntegra. Solo puede autorizarse la prórroga del período de conservación en caso de que los datos sean necesarios para la facturación. Queda prohibida la transmisión de datos de carácter personal a terceros. Como excepción, las autoridades policiales pueden hacer uso de los mismos a efectos de facturación o de acciones penales.

A este respecto, se debe intentar actuar con moderación y recabar la menor cantidad de datos posible. A los clientes se les debe exigir los datos obligatorios (por ejemplo a la hora de cumplimentar un formulario de contacto) que sean estrictamente necesarios para la utilización del servicio. La información relativa a la normativa de protección de datos al utilizar dicha información debe especificarse en una política de protección de datos aparte.

Entre las máximas más importantes del derecho de protección de datos personales se encuentra el principio de la transparencia. Tal y como indica el apartado 39 del Reglamento (UE) 2016/679:

Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. […]

Es esencial aquí contar con el consentimiento explícito del usuario para poder almacenar y procesar los datos que ha facilitado conforme al principio de la limitación de los fines. Como proveedor, no solo se tiene que protocolizar dicha autorización, sino también garantizar que el cliente pueda consultar en cualquier momento el contenido del consentimiento y también revocarlo.

Existe el deber de información en caso de que se quieran almacenar datos fuera de la UE.

Google Analytics, la herramienta de análisis de páginas web, ha creado una gran controversia en términos de protección de datos en el comercio electrónico. Esta herramienta gratuita facilita, entre otros, datos sobre la procedencia del visitante, sobre el tiempo de permanencia del mismo en las páginas web y sobre el tipo de páginas más visitadas. Los datos de carácter personal, como, por ejemplo, la dirección IP, el tipo de navegador o la fecha y hora en la que se visitan las páginas web, no solo se recopilan sin el consentimiento previo de los usuarios, sino que Google también los almacena. Por lo tanto, la empresa estadounidense puede crear perfiles de usuario completos sobre personas determinadas. El motivo para ello reside en el panorama legal de los Estados Unidos, donde la normativa sobre la protección de datos es menos estricta que en España.

Ahora que en Europa se aplica el Reglamento General de Protección de Datos, existen una serie de novedades que los usuarios de Google Analytics deben tener en cuenta si no quieren infringir la normativa:

1. Los datos de los usuarios se borrarán de forma automática tras un determinado período de tiempo. El usuario será informado del tiempo que durará el almacenamiento de sus datos y una vez expirado este, se liminarán sus datos.
2. Herramienta para borrar datos de usuario en Analytics. Se trata de una herramienta que te permite borrar los datos almacenados de un usuario individual, de forma inmediata  y estará basada en la cookie standard, en el user ID o en la app instance ID.
3. Google actúa como un procesador de datos y como la normativa es para usuarios europeos, los controladores de datos que operan desde estados que no son miembros de la unión , pueden revisar y aceptar estos nuevos términos desde su cuenta.
4. Necesidad de que exista consentimiento explícito. Los usuarios de Google Analytics deben cumplir, a su vez, con las políticas de consentimiento explícito.

Con el nuevo Reglamento General para la Protección de Datos se endurece el régimen sancionador, dispuesto hasta ahora en la Ley de servicios de la sociedad de la información y de comercio electrónico. En el artículo 77 de la mencionada norma se recoge que:

“todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.”

Hasta ahora, muchas empresas consiguieron registros para sus bases de datos a través de tácticas que hoy en día no son legales. Esto supone que si la organización en cuestión no puede demostrar que dispone del consentimiento expreso del titular de dichos datos puede enfrentarse a sanciones y multas millonarias. Por este motivo, muchos usuarios han recibido correos electrónicos con los que una empresa en cuestión les solicita que les autoricen expresamente para seguir usando sus datos de carácter personal.

El artículo 83.2 del RGPD estable los criterios que serán atendidos a la hora de imponer las sanciones correspondientes. Entre otras, se observarán las siguientes circunstancias:

1. La gravedad de la infracción cometida: cantidad de personas afectadas, nivel de daños y perjuicios ocasionados.
2. Intencionalidad o negligencia de la infracción.
3. Medidas adoptadas
4. El grado de responsabilidad del encargado del tratamiento.
5. Infracciones anteriores.
6. La categoría de los datos de carácter personal que se han visto afectados por la infracción.

Las sanciones impuestas por esta nueva norma se dividen en dos grupos: sanciones graves y sanciones muy graves. Las consecuencias derivadas del uso de dichos datos por parte de la empresa sin ajustarse a los criterios de legalidad es una multa que puede ascender al 4 % de su facturación global anual o a 20 millones de euros, dependiendo de qué opción resulte más gravosa para la empresa infractora en cuestión. Así mismo, el reglamento permite a los Estados miembros elaborar normas en materia de sanciones penales por las infracciones que se cometan frente al RGPD.

Corresponde a los Estados miembros elaborar normas en materia de sanciones penales por las infracciones del RGPD. Además las leyes de cada país , deberán regular aspectos que aparecen redactados de forma muy genérica en el nuevo reglamento como, por ejemplo, cómo se gradúuan realmente las sanciones, cuándo prescriben, etc.