Dropshipping y Comercio Electrónico
¿Cumples con el GDPR o Reglamento General de Protección de Datos?
Rodrigo Martinez, Fundador y CEO, Skill Domination

Entendiendo el GDPR.

El Reglamento General de Protección de Datos (GDPR) es para todos. 

El nuevo reglamento afecta a cualquier comerciante de Tiendas Online en Europa o que preste servicios a clientes europeos. Este reglamento entró en vigor el 5 de Mayo de 2018, y aunque muchas Tiendas Online cuentan con soporte inmediato de las plataformas de ecommerce ( WordPress y WooCommerce, Shopify, Prestashop, etc… ) es necesario que tomes ciertas acciones para asegurar que estas cumpliendo con estos requisitos.

En este artículo te incluyo preguntas que debes considerar para ayudarte a evaluar tus obligaciones y asegurarte de haber configurado tu tienda de una manera que cumplas con la ley.

El GDPR es un reglamento complicado, y se aplicará según el comerciante. Debes consultar a un abogado para averiguar exactamente qué debes hacer.

Para mayor orientación, los siguientes reguladores dentro de la Unión Europea han dado orientación específica sobre el GDPR:

El GDPR y lo que debes saber.

Recolección de datos personales

El GDPR protege los derechos fundamentales de las personas dentro de la Unión Europea en cuanto  al procesamiento de datos personales.

Ejemplos de datos personales incluyen:

  •  Nombre
  •  Dirección
  •  Dirección de correo electrónico
  •  Cuenta de redes sociales
  •  Identificador digital como una dirección IP o una ID de cookie.

Piensa en las siguientes preguntas:

  • ¿Estás recopilando datos personales de clientes en Europa? La mayoría de los sitios web están disponibles para los residentes de Europa, y estarán bajo el GDPR.
  • Si tu tienda usa aplicaciones o temas o plantillas externos, ¿estos recopilan y procesan datos según el GDPR? Para simplificar este proceso, muchas plataformas de ecommerce requieren que todas las aplicaciones publiquen una política de privacidad que detalle sus prácticas de manejo de datos, para que puedas evaluar si te sientes cómodo con las prácticas de datos de dicha aplicación.
  • ¿Los canales o pasarelas de pago que utilizas recopilan y procesan datos de acuerdo con el GDPR? Debes verificarlo con ellos para confirmar esta información.
  • ¿Tienes una lista de todos los tipos de datos personales que recopilas de tus clientes y todas las formas en que utilizas dicha información? El Artículo 30 del GDPR requiere que mantengas un mapa actualizado de tus prácticas de manejo de datos.

Aviso de Privacidad

El GDPR (y en particular sus artículos 12 a 14) requiere que proporciones información específica a las personas cuyos datos estás procesando, generalmente como un aviso de privacidad o política de privacidad.

Piensa en las siguientes preguntas:

  • ¿Tienes una política de privacidad en tu sitio web que incluya toda la información que debes proporcionar según el reglamento? Si no es así, debes asegurarte de cumplir con esto lo más rápido posible.
  • ¿Incluye información sobre cómo los clientes pueden contactarte en caso de tener inquietudes sobre el manejo de su privacidad y cómo los clientes pueden ejercer sus derechos, por ejemplo, los derechos de supresión (borrado) o rectificación (modificación o corrección) de sus datos y su derecho para acceder a la misma?

Designa un Responsable de Protección de Datos

Un Responsable de Protección de Datos (RPD) supervisa cómo tu organización recopila y procesa datos personales. Si las actividades principales de tu negocio incluyen un seguimiento en línea a gran escala, el GDPR requiere que desgines un RPD y proporciones la información de contacto para el RPD en tu Política de Privacidad.

El GDPR incluye las tareas específicas de un RPD, como realizar evaluaciones de impacto de protección de datos cuando tu organización cambia el método en que recopila y procesa datos personales. El RPD puede ser una persona interna que tenga experiencia en los requisitos de protección de datos y el GDPR, pero también puedes considerar trabajar con un consultor o una empresa para que actúe como un RPD externo.

Esto aplica para negocios medianos o grandes, pero aún si vas comenzando y eres un negocio pequeño, es importante que entiendas las responsabilidades y lo que se espera de ti como responsable de los datos que recolectas en tu Tienda Online, sin importar la plataforma que utilices.

Piensa en las siguientes preguntas:

  • ¿Cuántas personas se ven afectadas por las tecnologías de seguimiento de tu tienda? Estos pueden incluir aplicaciones de publicidad conductual, o incluso apps de retargeting. Independientemente si la cantidad de personas afectadas es o no «a gran escala» es una decisión legal, por lo que debes consultar con un abogado dependiendo de tus circunstancias.
  • ¿Debes designar voluntariamente un RPD? Incluso si no tienes la obligación legal de designar un RPD, si tu presencia en Europa es lo suficientemente grande, puedes hacerlo voluntariamente para asegurarte de que estás protegiendo adecuadamente los datos de tus clientes.

Acuerdos de procesamiento de datos

Como controlador de datos bajo el GDPR, el Artículo 28 requiere que cuando contrates un procesador de datos (como Shopify) para procesar los datos de tus clientes, impongas requisitos contractuales estrictos sobre cómo se pueden usar y procesar esos datos. Normalmente esto se realiza a través de un Anexo de procesamiento de datos o DPA, por sus siglas en inglés.

Piensa en las siguientes preguntas:

  • ¿Los otros procesadores de datos con los que trabajas están comprometidos contractualmente a proteger los datos de tus clientes? Muchas aplicaciones, canales, pasarelas de pago u otros procesadores de datos de terceros también incorporarán automáticamente un Acuerdo de procesamiento de datos en sus términos. ¿Has consultado con cada uno de estos proveedores externos?

Consentimiento del cliente

Según el GDPR, es posible que debas obtener consentimiento para procesar datos personales de tus clientes o cambiar el método con el que actualmente obtienes dicho consentimiento.

Por ejemplo, quizá necesites obtener el consentimiento de tus clientes si les estás enviando mensajes de marketing, o si estás usando aplicaciones de publicidad o de retargeting online.

En qué situación necesitas obtener el consentimiento, el GDPR dice que debe ser:

  • Otorgado libremente: debe ser completamente voluntario y no debe incluirse con otros bienes o servicios.
  • Específico: debe estar vinculado a casos de uso claramente explicados.
  • Informado: sólo se puede proporcionar si el interesado recibe suficiente información sobre los datos personales que se recopilarán y utilizarán.
  • No ambiguo: debe demostrarse mediante un acto afirmativo del comerciante (es decir, no simplemente mediante la continuación del uso de los servicios).

Esto significa que el cliente necesita recibir información detallada sobre el uso particular, y el consumidor debe tomar alguna medida afirmativa para dar su consentimiento.

Finalmente, si le ofreces a tus clientes la oportunidad de dar su consentimiento, el GDPR también requiere que tus clientes tengan una forma de retirar el consentimiento. Esto a menudo se puede lograr a través de una funcionalidad de cancelación de suscripción. Si tiene preguntas sobre cuándo y cómo debes obtener el consentimiento para la recopilación de datos personales, o la medida en que tus clientes deberían poder retirar su consentimiento, entonces debes hablar con un abogado familiarizado con las leyes de protección de datos.

Sin embargo, el consentimiento es solo una de las muchas bases legales en el GDPR que pueden justificar el procesamiento de datos personales. También puedes procesar datos personales para cumplir con los requisitos contractuales o si la ley le exige que proceses los datos.

Algunos reguladores europeos han sugerido que, si al principio solicitas consentimiento y tu cliente rechaza o acepta pero luego retira su consentimiento, es posible que ya no puedas recurrir a ninguna otra base legal para procesar datos personales. Como resultado, sólo debes confiar en el consentimiento cuando no tengas la intención (o no necesites) recurrir a otra base legal para procesar datos personales.

Piensa en las siguientes preguntas:

  • Por cada forma diferente en la que usas o procesas los datos de tus clientes, ¿cuál es la base legal para hacerlo? ¿Estás procesando según su consentimiento? ¿Estás procesando para cumplir una obligación contractual con el cliente? ¿Estás procesando para promover sus intereses comerciales legítimos? Debes registrar la base legal como parte del mapa de tus prácticas de datos, que se describen en la sección Recopilación de datos personales.
  • Cuando recurres al consentimiento, ¿lo obtienes en conjunto con los bienes o servicios que ofreces? Por ejemplo, declaraciones como «al comprar estos productos, usted acepta que hagamos uso de su información personal» puede que ya no estén permitidas bajo el GDPR.
  • ¿Estás brindando suficientes detalles sobre cómo utilizarás los datos personales en cuestión para asegurarte de que el cliente dé su consentimiento de manera informada?
  • ¿El consentimiento del cliente se registra y queda almacenado en algún lugar?
  • ¿Necesitas el consentimiento para enviar comunicaciones de marketing a tus clientes? Incluso si no necesitas el consentimiento según el GDPR, las leyes locales pueden requerir o no que obtengas el consentimiento para enviar las comunicaciones de marketing a tus clientes.

Conversa con un abogado sobre los requerimientos específicos que podrían aplicarse a tu tienda.

Si crees que necesitas consentimiento para enviar comunicaciones de marketing, entonces ¿la casilla de consentimiento de marketing de tu tienda está desactivada por defecto? Considera configurar tu tienda para que la casilla de verificación de consentimiento de marketing presentada a los clientes no esté marcada previamente por defecto para garantizar que tus clientes tengan que actuar afirmativamente para dar su consentimiento.

Consentimiento de padres

El GDPR incluye requisitos específicos sobre consentimiento de los padres para procesar datos personales de usuarios menores de 16 años (esta edad puede ser menor en ciertos países).

Piensa en las siguientes preguntas:

¿Necesitas cambiar el método con el que procesas datos de clientes, para dejar de procesar datos de usuarios menores de 16 años o para obtener el consentimiento de sus padres? Puedes hacerlo prohibiendo a los usuarios menores de 16 años acceder a tu sitio, utilizando una aplicación de control de edad, o solicitando a los visitantes que confirmen que son mayores de edad.

Notificación de violación de datos

Si ocurre una violación de datos y se aplica el GDPR, quizá debas notificar a los usuarios afectados o a organismos reguladores específicos.

En particular, el GDPR requiere un aviso cuando una violación de datos puede causar un alto riesgo de afectar negativamente los derechos y libertades de las personas.

Es probable que este sea el caso si la información violada:

  • Incluye detalles de pago.
  • Podría usarse para revelar información vergonzosa o personal.
  • Podría usarse para acceder a las cuentas o servicios de un individuo.

Cuando corresponda, debes notificarlo dentro de las 72 horas después de que tengas conocimiento de la violación de datos.

Piensa en las siguientes preguntas:

  • ¿Has hablado con un abogado para determinar, según el tipo de información que recopilas y procesas, si en caso de que sufras una violación de datos, debes comunicarlo a tus clientes?
  • ¿Tu negocio tiene un plan de acción ante una posible violación de datos, de modo que estés preparado para tal incidente?

Aplicaciones de terceros

El GDPR exige que tomes una serie de pasos afirmativos sobre la recopilación y el uso de información personal por parte de tu negocio y de proveedores de servicios externos.

Depende de ti asegurarte de que estés usando las apps externas de forma tal que cumpla con el GDPR.

Piensa en las siguientes preguntas:

Basado en tu ubicación, la de tus clientes de tus clientes, y la de los desarrolladores de apps, y la implementación de cada aplicación, ¿estás utilizando las apps externas de una manera que cumpla con el GDPR? Consulta con un abogado si tienes preguntas sobre si las prácticas de datos de una aplicación en particular pueden requerir consideración adicional o trabajo de tu parte para garantizar el cumplimiento con el GDPR.

Transferencias internacionales de datos

El GDPR prohíbe transferir los datos personales de residentes europeos fuera de Europa, a menos que esa información esté debidamente protegida.

¿Te has asegurado de que las otras partes a las que transfieres datos transferirán esa información a través de las fronteras internacionales de una manera que cumpla con el GDPR? Para ello, consulta las políticas de privacidad de sus apps externas, canales, pasarelas de pago u otros proveedores, y vea si explican cómo protegen los datos europeos.

Así que ya estas preparado para analizar si estas en cumplimiento de las nuevas regulaciones y politicas que establece el GDPR. Es importante que sigas estas recomendaciones, pero más importante aún es que entiendas que la protección de los datos de tus clientes será primordial para sobresalir por encima de tus competidores, evitar multas, malos ratos e incrementar la confianza de los clientes.

Al navegar por este sitio web, encontrarás algunos enlaces a varios sitios web de productos o servicios. Si compras o contratas alguno de estos productos a través de ciertos enlaces en este sitio, nosotros obtendremos una comisión por ello. El producto no te cuesta más a tí que si lo compras directamente en el sitio del producto, sin embargo, puede ser que en algunos casos, sea mejor para tí hacer clic en el enlace debido a alguna promoción que pueda ser buena oportunidad. Jamás te recomendaremos algún producto o servicio que nosotros no hayamos utilizado de manera personal o comercial y solo recomendaremos productos que tengan verdadero valor para tí.