¿Te ha gustado el artículo?
0
¿Te ha gustado el artículo?
0

La protección de datos personales en el eCommerce

A menudo, en el ámbito del eCommerce, donde a diario se llevan a cabo numerosas transacciones, los proveedores necesitan los datos de sus clientes, pero a muchos usuarios les preocupa revelar sus datos de carácter personal y con razón, pues se abusa con demasiada frecuencia de datos sensibles, se utilizan ilegalmente para fines publicitarios o incluso se entregan a terceros. Tanto en lo que respecta a los clientes como para evitar consecuencias legales, las empresas deben prestar atención a la protección de datos en el comercio electrónico. Perder la perspectiva en cuanto a la protección de datos personales significa correr el riesgo de infringir la normativa vigente y llegar a pagar multas elevadas.

Objetivo de la política de protección de datos

En el sector del eCommerce, las empresas deben actuar de acuerdo al reglamento establecido, que viene recogido en la Ley de servicios de la sociedad de la información y de comercio electrónico o en la Ley de Protección de Datos de Carácter Personal. El artículo 3 de dicha ley orgánica define los datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”. Respetar la normativa de protección de datos es igual de importante tanto para instituciones públicas como no públicas. Además, tal y como indica la Ley de servicios de la sociedad de la información y de comercio electrónico en el Artículo 1, en el que se recoge el objeto de la misma:

1. Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

Protección de datos personales y de otros tipos de datos

A los datos personales pertenecen todos aquellos que encierran información sobre circunstancias personales u objetivas de las personas. Entre ellos destacan:

Datos de carácter identificativo Datos relativos a circunstancias sociales y patrimoniales
Nombre Propiedades
Dirección Prestaciones
Ocupación Cuentas bancarias
Estado civil Ingresos
Nacionalidad Datos fiscales
Fecha de nacimiento Créditos e hipotecas

Los datos de carácter personal ofrecen información sobre personas particulares y, a este respecto, la asignación del nombre se convierte en un criterio de identificación decisivo. Los datos no personales son, por el contrario, aquellos que se recogen de manera anónima y no actúan como datos identificativos. Tal es el caso del género, de la información sobre las visitas a determinadas páginas web, etc., a los que no cubre la denominada política de protección de datos personales. En este sentido, las empresas o los profesionales del marketing pueden emplear este tipo de datos sin problemas para la compilación de estadísticas o para otros fines.

En el sector del comercio electrónico no se suele hablar tanto de datos de carácter personal, sino más bien de datos de inventario o de datos de usuario, que se pueden recopilar por medio de los llamados servicios de telecomunicación como tiendas online, publicidad por correo o buscadores de Internet.

En resumen
  1. Los datos de carácter personal hacen referencia a toda aquella información que determina la identidad de una persona. En España, el objeto de los mismos está recogido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

  2. Los datos no personales no son competencia de la normativa de protección de datos y pueden guardarse y procesarse de forma anónima.

  3. 3. En el eCommerce se recopilan datos de inventario y datos de usuario, que hacen referencia a los datos derivados de la relación contractual entre proveedor y usuario. Los datos de usuario son datos de carácter personal que facilitan la utilización de los servicios de telecomunicación.

¿Están las direcciones IP consideradas como datos de carácter personal?

Con respecto a la cuestión de si las direcciones IP se consideran datos de carácter personal, una sentencia dictada el 3 de octubre de 2014 por la Sección Sexta de la Sala de lo contencioso-administrativo del Tribunal Supremo y que, a su vez, se basa en una sentencia del Tribunal Superior de Justicia de la Unión Europea, considera que las direcciones IP tienen el carácter de datos personales. Por ello, la protección de las mismas recae bajo el reglamento de la LOPD.

La condición de datos de carácter personal de las direcciones IP dinámicas aparece más detallado en el siguiente artículo, que pone de manifiesto que la razón por la que este tipo de secuencias numéricas son consideradas como tal radica en el hecho de que se asignan de manera individual a cada dispositivo en particular y que, por lo tanto, permiten identificar a los usuarios de los mismos.

A este respecto, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, pone de manifiesto en el apartado 30 que:

Las personas físicas pueden ser asociadas a identificadores online facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

Asimismo, dicha normativa también recoge cuál es el papel que desempeña el consentimiento al uso de los mismos por parte de los usuarios, como queda patente en el apartado 32:

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Este proceso tan complejo llega a su fin con la sentencia del Tribunal de Justicia para el asunto entre Patrick Breyer y la República Federal de Alemania (Bundesrepublik Deutschland en el documento original) en materia de tratamiento de datos personales. Dicha sentencia otorga poder a los gestores de páginas web para almacenar las direcciones IP dinámicas para su propia seguridad. Sin embargo, todavía no se ha puesto de manifiesto hasta qué punto cuentan los gestores de páginas web con los medios legales necesarios para acceder a información adicional con el objetivo de identificar a los usuarios en cuestión.    

Información adicional

Sentencia del Tribunal de Justicia (Sala Segunda) de 19 de octubre de 2016

Normas para la recogida de datos de carácter personal

Los gestores de tiendas online necesitan, sin lugar a dudas, los datos personales de sus clientes para procesar los pedidos, pero también en el marketing online son muy populares los análisis de datos, ya que con su ayuda se puede adaptar la publicidad y el emplazamiento de los productos de forma precisa a los usuarios. El Reglamento (UE) 2016/679 mencionado anteriormente deja patente la importancia que tiene contar con el consentimiento por parte de los usuarios para la utilización de sus datos personales. Esto significa que antes de hacer uso de ellos se debe valorar si se cuenta con la autorización de los mismos.

A este respecto, las empresas deben informarse bien sobre las condiciones a las que tienen que atenerse a la hora de recopilar y utilizar dichos datos. Estos son algunos de los aspectos que se deben tener en cuenta:

Limitación de los fines

En la protección de datos resulta esencial respetar la limitación de los fines, es decir, que la recopilación y utilización de los datos personales o de los datos de los usuarios solo se autoriza en aquellos casos derivados de la relación contractual. En cuanto se termine el contrato o el proceso de utilización, como empresa se tiene la obligación de eliminar todos los datos de carácter personal de forma inmediata e íntegra. Solo puede autorizarse la prórroga del período de conservación en caso de que los datos sean necesarios para la facturación. Queda prohibida la transmisión de datos de carácter personal a terceros. Como excepción, las autoridades policiales pueden hacer uso de los mismos a efectos de facturación o de acciones penales.

Evitar la recogida superflua de datos

A este respecto, se debe intentar actuar con moderación y recabar la menor cantidad de datos posible. A los clientes se les debe exigir los datos obligatorios (por ejemplo a la hora de cumplimentar un formulario de contacto) que sean estrictamente necesarios para la utilización del servicio. La información relativa a la normativa de protección de datos al utilizar dicha información debe especificarse en una política de protección de datos aparte.

Transparencia y obligación de informar

Entre las máximas más importantes del derecho de protección de datos personales se encuentra el principio de la transparencia. Tal y como indica el apartado 39 del Reglamento (UE) 2016/679:

Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. […]

Es esencial aquí contar con el consentimiento explícito del usuario para poder almacenar y procesar los datos que ha facilitado conforme al principio de la limitación de los fines. Como proveedor, no solo se tiene que protocolizar dicha autorización, sino también garantizar que el cliente pueda consultar en cualquier momento el contenido del consentimiento y también revocarlo.

Existe el deber de información en caso de que se quieran almacenar datos fuera de la UE.

Consejo

ofrece la política de privacidad por separado. Recuerda que esta ha de referirse a las diferentes formas de usar los datos de los clientes.

Normativa de protección de datos para crear perfiles de usuario

La creación de perfiles de usuario es, hoy en día, un proceso muy popular en el marketing online y esta consiste en emplear el comportamiento de uso de los clientes extraído del análisis web para fines de marketing. En este sentido, el Reglamento (UE) 2016/679 también lo incluye en sus definiciones, de modo que se entiende por:

4)   «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física; […]

Asimismo, dicho texto legal también reconoce el término “seudonimización”:

5)   «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable; […]

En este sentido, no solo se puede hablar de perfiles seudonimizados, sino también de los llamados perfiles personales, que, tal y como su propio nombre indica, se basan en el procesamiento de datos de carácter personal y pueden crearse con el consentimiento explícito del usuario. A este respecto, entra en juego el factor de la transparencia, y es que se debe informar al usuario acerca de la recopilación de los datos que se obtienen de él y del tratamiento que se hace de los mismos. Además, el usuario debe dar su aprobación por separado, como ocurre, por ejemplo, en el caso de la casilla que suele aparecer a la hora de rellenar formularios (Double Opt in).

Como es lógico, el usuario tiene derecho a poder acceder al contenido de su consentimiento en cualquier momento o a revocarlo. Este tipo de perfiles resultan especialmente interesantes para el Email Marketing, ya que permiten llegar a los clientes mediante diferentes tipos de publicidad personalizada, como, por ejemplo, las newsletters.

De manera adicional, existe un tercer tipo de perfiles, los llamados perfiles anónimos, los cuales, mientras que no puedan asociarse con ninguna persona, no requieren ningún tipo de dato de carácter personal y, por lo tanto, no se ven afectados por la normativa de protección de datos. Si las empresas recopilan los datos de sus clientes de forma anónima, estas están autorizadas, aun sin el consentimiento previo o autorización legal por parte de estos, a crear perfiles anónimos. La mayor parte de los datos relevantes a nivel estadístico pueden almacenarse, editarse o transmitirse a terceros sin ningún tipo de problemas. La condición para ello es que debe hacerse uso del anonimato a la hora de recopilar los datos, como por ejemplo, al hacer clic.

En resumen, el Reglamento anterior deja claro en el artículo 22 sobre decisiones individuales automatizadas, incluida la elaboración de perfiles, que:

1.   Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Zusammenfassung

Hinsichtlich des Datenschutzes unterscheidet man drei Arten von Nutzungsprofilen.

  1. Anonyme Nutzungsprofile: Für diese greift man auf anonyme Daten zurück, die nicht-personenbezogen sind und keiner Person zugeordnet werden können. Sie sind rechtlich uneingeschränkt verwendbar.
  2. Pseudonyme Nutzungsprofile: Personenbezogene Daten werden bei ihnen durch ein Pseudonym ersetzt. Voraussetzungen: Hinweispflicht, kein Widerspruch seitens des Nutzers, kein Zusammenführen pseudonymer mit personenbezogenen Daten.
  3. Personenbezogene Nutzungsprofile: Zur Erstellung dieser Profile nutzt man gespeicherte, er personenbezogene Daten. Das ist nur mit der expliziten Einwilligung des Nutzers erlaubt.

Google Analytics y la protección de datos personales

Google Analytics, la herramienta de análisis de páginas web, ha creado una gran controversia en términos de protección de datos en el comercio electrónico. Esta herramienta gratuita facilita, entre otros, datos sobre la procedencia del visitante, sobre el tiempo de permanencia del mismo en las páginas web y sobre el tipo de páginas más visitadas. Los datos de carácter personal, como, por ejemplo, la dirección IP, el tipo de navegador o la fecha y hora en la que se visitan las páginas web, no solo se recopilan sin el consentimiento previo de los usuarios, sino que Google también los almacena. Por lo tanto, la empresa estadounidense puede crear perfiles de usuario completos sobre personas determinadas. El motivo para ello reside en el panorama legal de los Estados Unidos, donde la normativa sobre la protección de datos es menos estricta que en España.

Con todo ello y a pesar de las nuevas normativas que van surgiendo, la utilización de Google Analytics plantea todavía un panorama más polémico y, debido a las diferencias legales entre los Estados Unidos y Europa, el tema todavía no puede zanjarse. Sin embargo, hay alternativas que cumplen con la normativa de protección de datos como, por ejemplo, Piwik o Chartbeat, que se pueden aplicar al análisis web.

Derechos y sanciones en caso de infringir la política de protección de datos

La Ley de servicios de la sociedad de la información y de comercio electrónico recoge en el artículo 38 del título VII la información relativa a las infracciones y sanciones si se incumple la política de protección de datos. Las infracciones están clasificadas en tres niveles: en leves, graves o muy graves. Esta diferenciación viene motivada, por ejemplo, por:

[…] f) El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave al hablar de infracciones leves; […]

[…] b) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando éste no hubiera solicitado o autorizado su remisión para las infracciones graves

[…] b) El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11 en el caso de las infracciones muy graves.

Atendiendo a la naturaleza de las mismas, el artículo 39 del mismo título recoge las sanciones económicas que son de aplicación a cada una de ellas:

Artículo 39.

Sanciones.1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Estas cuantías varían en función de varios factores, como pueden ser la intencionalidad de las infracciones, los perjuicios causados, o los beneficios derivados de dichas infracciones, entre otros.

Tipp

nuestra guía no exime de la consulta a personas especializadas en el ámbito legal, a las que será necesario recurrir para obtener información con el objetivo de no infringir las normas jurídicas relativas tanto a la Ley de servicios de la sociedad de la información y de comercio electrónico como a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

E-Commerce Protección de Datos