Consejos sobre Protección de Datos para comercios

Ana González

hace 6 años

¿Tienes una tienda?

¿Vendes a través de Internet?

¿No sabes por dónde empezar con eso de «la protección de datos»?

Entonces esto te interesa.

Aquí te explico las principales actuaciones que debes realizar para adaptar tu comercio a la ley de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

RGPD (vigente a partir del 25 de mayo en toda Europa)
LOPD (España)
Nueva LOPD (pendiente de aprobar aún en España)
LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben adaptarse los comercios al RGPD?

Los comercios manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente te deja sus datos para la compra de cualquier producto o servicio, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu comercio para adaptarte al RGPD son:

Realizar un Registro de actividades de tratamiento
Firmar los contratos con terceros
Incluir los textos legales en la página web
Solicitar el consentimiento a los clientes
Firmar los contratos con los empleados
Realizar un Análisis de riesgos
Elaborar una Evaluación de impacto
Notificar las brechas de seguridad
Nombrar un DPO

A continuación te explico detalladamente cada una de esas actuaciones.

1. Registro de actividades de tratamiento

Lo primero que debe tenerse en cuenta es qué tipo de datos se manejan y qué cantidad.

En ese registro debes incluir la siguiente información:

Tipo de datos almacenados
Finalidad
Legitimados
Política de almacenamiento de esos datos
Si se realizan cesiones o transferencias internacionales
Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los comercios son:

Clientes
Proveedores
Contabilidad
Recursos Humanos
Curriculum
Videovigilancia

Descarga aquí todos los modelos gratis para tu comercio

2. Contratos con terceros

¿Que no tienes terceros a los que cedas datos?

No me lo creo.

Si tienes una gestoría que te lleva los temas fiscales o laborales.

O una empresa informática que realiza el mantenimiento de los equipos.

Entonces sí hay terceros que tienen acceso a datos de tus clientes y empleados.

Así que, además de tener un registro de actividades de tratamiento, deben disponer de una lista de esas empresas externas con las que se tiene contacto y asegurar que también cumplan la normativa obligatoria.

¿Y eso cómo?

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Página web / Tienda online

Si operas online, algo muy común en una gran mayoría de comercios, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

Aviso legal
Política de privacidad
Política de cookies
Condiciones de uso y contratación (en caso de ofrecer productos o servicios por Internet)

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

Nombre del propietario
CIF / NIF
Dirección
Email
Nº de inscripción en el Registro Mercantil

¿Dónde lo pones?

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de tu comercio y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad habrás de informar expresamente de:

existencia de un tratamiento de los datos que se le están solicitando,
finalidad,
destinatario o destinatarios de aquella información,
legitimación para el tratamiento,
plazo de conservación de los datos,
identidad y dirección del responsable del tratamiento de los datos y
posibilidad de ejercer sus derechos ARCO y de limitación y portabilidad y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio.

¿Y para qué sirven?

Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

¿Cuánto cuesta cumplir la LOPD?

Condiciones de uso y contratación

En este texto se regula la prestación de servicios o venta de productos a través de Internet.

¿Qué debes incluir?

Información sobre:

cómo se prestan servicios o se comercializa la venta,
en qué condiciones, y
qué derechos tienen los consumidores o usuarios al respecto (desistimiento o devolución).

4. Consentimiento de clientes

Además de actualizar la política de privacidad, en tu comercio debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

¿Y cómo lo obtienes?

Este consentimiento puede solicitarse de dos formas:

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En caso de que el cliente facilite sus datos personalmente en la tienda, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Contratos con empleados

Los empleados tienen acceso a toda la información que manejas en el comercio y, por tanto, deben firmar un acuerdo para la confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En los comercios, sobre todo si operan online, los empleados se comunican con clientes y proveedores a través de correo electrónico normalmente. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

En tu comercio debes también realizar un análisis del riesgo en el que tienes que valorar los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

tipo de datos,
naturaleza de los datos,
medios de tratamiento,
cesiones,
transferencias internacionales y
número de interesados afectados;

Tras este análisis deberás implementar unas medidas de seguridad adecuadas.

7. Evaluación de impacto

Aquí viene lo complicado.

Pero no te asustes, te lo explico.

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados.

¿Necesitas hacerla?

Es raro que un comercio necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, en el caso de tener tienda online y realizar actividades de prospección comercial.

Si en tu comercio se realizan procesos automatizados de elaboración de perfiles de tus clientes para segmentarlos en función de sus edades, poder adquisitivo, intereses, sus gustos y preferencias mostradas con su navegación, que puedan producir efectos jurídicos o afectar significativamente en las personas, deberás realizar una evaluación de impacto para:

valorar la idoneidad, necesidad y proporcionalidad de ese tratamiento,
determinar los riesgos que entraña para los derechos y libertades de los interesados,
adoptar las medidas y garantías adecuadas para reducir los riesgos, y
evitar que dicho tratamiento resulte demasiado invasivo, atente contra los derechos y libertades de las personas y se les cause daños o perjuicios.

¿Te ha quedado claro?

Pues eso.

8. Notificar violaciones de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

Ni más ni menos.

En el caso de que se dé una situación de ciberataque o infracción de seguridad en la tienda, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Delegado de Protección de Datos

Dentro de los cambios, el RGPD establece que los ecommerces deben contar con un Delegado de Protección de Datos (DPO). Dicho experto se encargará de auditar el sistema para identificar las posibles fallas de seguridad, notificarlas y realizar los ajustes necesarios.

El delegado de Protección de Datos deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos.

No obstante, conviene precisar dos aspectos al respecto:

El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado.
El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

Preguntas frecuentes

¿Qué tipo de datos personales tratan los comercios?

Si tienes un comercio, necesariamente recoges algún tipo de información personal como:

Datos de una tarjeta de crédito.
Datos para una tarjeta de fidelización.
Correos para envío de promociones, sorteos y ofertas.
Datos de contacto para reservas o pedidos.
Imágenes obtenidas de cámaras de videovigilancia.

¿Qué ocurre con los datos recogidos a través de la TPV?

Estos datos también se consideran datos personales. Entre los datos que se recogen se encuentran:

número de tarjeta,
comercial donde se efectúa la compra,
su importe y
fecha y hora de realización.

No se envían otros datos de carácter personal como el nombre y apellidos del cliente.

Debes considerarlo como un tratamiento más y guardar esos tickets de forma segura.

¿Cómo debo tratar los datos de clientes morosos?

La inclusión de los datos de carácter personal en ficheros de morosos sólo podrá efectuarse cuando se cumplan los siguientes requisitors:

exista una deuda cierta, vencida y exigible,
haya resultado impagada, y
se haya requerido al ciudadano afectado el pago de la deuda por el acreedor.

Esto significa que no puedes incluir en un fichero de morosos a alguien sin haber requerido antes el pago de la deuda por medios que puedes acreditar.

Cuando un cliente cancele su deuda, deberás proceder a la cancelación inmediata del dato referido a su deuda.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

Tengo instalada una cámara que no graba, sólo permite el visionado en tiempo real. ¿Tengo que cumplir alguna obligación?

Si las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también es necesario cumplir lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales.

Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.

¿Qué hago con los curriculum que me dejan en la tienda?

Si vas a guardar los curriculum para futuros procesos de selección, debes solicitar el consentimiento expreso al solicitante para poder tratar sus datos. En el documento de consentimiento es necesario informarle sobre:

identificación del responsable del tratamiento,
finalidad del tratamiento,
plazo de conservación de los datos,
destinatarios de esos datos y
derechos que asisten a esa persona.

En caso de que no te interese guardar el curriculum, debes destruirlo de forma segura.

¿Puedo ceder datos de los clientes a empresas de mensajería?

Sí, puedes cederlos. Pero debes informar a los clientes sobre esa cesión y solicitar su consentimiento expreso.

Si realizar venta online es frecuente contratar los envío de las mercancías con estas empresas de mensajería. De esta forma se convierten en Encargados de tratamiento al ser terceros que nos prestan un servicio y, como tales, deben firmar el correspondiente contrato de acceso a datos por cuenta de terceros al que hemos hecho referencia anteriormente.

Modelos

Aquí te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu comercio.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

Sanciones

No le hagas a nadie lo que no te gustaría que te hicieran a ti.

¿Es lo de siempre?

Puede ser.

Lo que se pueda hacer, se hace, lo que no, no.

Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.

Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu comercio a la nueva normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos