Magento es una plataforma para crear páginas web de compra y venta de productos y servicios en Internet. Muchas de las grandes tiendas online del mercado utilizan esta herramienta para mejorar sus ecommerce.

Esta herramienta utiliza un código abierto para desarrollar tiendas online y es muy sencilla de usar. Está orientada principalmente a grandes ecommerce pero las pequeñas empresas también pueden usarla.

Con ella podemos crear nuestra web a medida y controlar totalmente la apariencia y funcionalidad de la misma.

Pero, como en el resto de tiendas online, en las creadas con Magento es obligatorio cumplir también la normativa de Protección de datos. Y aquí te voy a explicar cómo.

¿Cómo deben cumplir el RGPD las tiendas online Magento?

Si en tu tienda online recopilas y guardas datos de usuarios que se encuentren dentro de la UE estás obligado a cumplir el RGPD. Aunque solamente tengas un formulario de contacto ya estás recopilando datos personales.

Es decir, debes adaptarte a la normativa de Protección de datos si en tu tienda online los usuarios pueden:

  • enviar un formulario de presupuesto
  • suscribirse a una newsletter
  • realizar comentarios
  • finalizar un pedido

El RGPD entró en vigor el 25 de mayo de 2018 y desde entonces es obligatorio para todas aquellas empresas, organismos o profesionales que traten datos de ciudadanos de la Unión Europea o se encuentren establecidos dentro de este territorio.

Igualmente estaríamos obligados a cumplir el RGPD si enviáramos datos a Google Analytics, aunque no tuviéramos ningún formulario ni recogiéramos datos personales.

Requisitos para cumplir la ley de Protección de datos

A la hora de enfrentarte al cumplimiento del RGPD en tu tienda online Magento te recomiendo que realices en primer lugar una auditoría para determinar los requisitos que cumples y los que no. También debes recopilar las tareas que debes realizar para el cumplimiento y establecer un calendario para adaptarte.

A partir del RGPD, en la gestión de tu tienda online están prohibidas las siguientes acciones:

  • Enviar correos electrónicos a usuarios que no lo hayan pedido expresamente. Se prohíbe también la compra de bases de datos de terceros y enviar publicidad a listas de otra fuente.
  • Enviar SMS o emails que estén relacionados con compras anteriores, con carritos abandonados, ofertas o cupones si ese usuario no ha dado su consentimiento previo a esos envíos.
  • No proporcionar sus datos personales al usuario que nos lo solicite.

A continuación analizaré las principales obligaciones exigidas por la normativa de Protección de datos para las tiendas online.

Suprimir cuentas de usuarios

En toda tienda online debe existir una opción para que el propio usuario pueda eliminar su cuenta. Con ello se cumple con el derecho al olvido, regulado en el RGPD.

A través de esta opción se suprimirá la cuenta y los datos personales que tenemos almacenados sobre ese usuario, excepto los datos fiscales, que por ley es obligatorio conservarlos durante un plazo de 5 años por si son necesarios en casos de reclamaciones.

Igualmente debes informar a cualquier proveedor con el que en su momento contrataste algún servicio y que tiene acceso a esos datos del usuario de que los elimine.

Esta supresión de la información se aplica también a las copias de seguridad por lo que es aconsejable que se lo comentes a tu proveedor de hosting para que te ofrezca la mejor solución.

Rectificación de datos

Los usuarios deben poder rectificar los datos que han sido recopilados para cumplir con el derecho de rectificación. Esto también debe extenderse a los datos recogidos por otras fuentes como Google, Amazon o Facebook incluyendo una opción de «Inicio de sesión con Facebook, Google, etc.».

Esta opción es la más complicada ya que la publicación de los datos desde la cuenta del cliente registrado es algo que se establece por defecto.

Portabilidad de datos

Junto con el derecho a solicitar la supresión o la rectificación de sus datos, el usuario tiene la posibilidad de solicitar la exportación de esos datos para cumplir el derecho de portabilidad. De esta forma, desde su cuenta de usuario ese cliente podrá descargar sus datos y visualizarlos.

Consulta de datos

En cualquier momento el usuario puede solicitar al responsable de la tienda online información sobre qué datos suyos está tratando. Esta consulta incluye información sobre de dónde han sacado esos datos, los fines para los que van a utilizarse, si se van a ceder o a comunicar a terceros y la fecha en la que aceptó la Política de privacidad y las Condiciones generales de contratación de esa tienda online.

En caso de que el usuario realice compras como invitado también debe facilitársele el ejercicio del derecho de acceso, aunque no disponga de cuenta de cliente, de las siguientes formas:

  • Proporcionándole un contacto directo con el responsable del tratamiento para que le de esa información
  • A través de un mecanismo por el que, introduciendo el email u otro identificador, aparezcan los resultados vinculados a esa información.

Limitar el tratamiento de datos

Es parecida a la opción de eliminar la cuenta de usuario pero con esta opción se pretende que el usuario pueda desactivar temporalmente su cuenta y activarla posteriormente si así lo decide.

Ley de cookies

Con el RGPD el consentimiento debe ser expreso por lo que debe aceptarse la aplicación de cookies.

Es decir, las cookies deben introducirse en el ordenador del usuario después de que este otorgue su consentimiento para ello. Esta obligación ya existía con anterioridad al RGPD pero muy pocas webs lo cumplen correctamente.

Comprobación de la edad del usuario

En casos de menores de 16 años no se debería permitir la compra online ni el registro en el ecommerce, salvo autorización de sus padres o tutores. Es posible insertar un campo de fecha de nacimiento en el formulario podría validarse esa edad y mostrar un aviso de error en caso de menores.

El riesgo es que esos datos pueden falsificarse pero, en ese caso, el propietario de la web estaría exento de responsabilidad.

Caducidad de los datos

En caso de que los datos de los usuarios hayan caducado, ya no sean válidos o la finalidad para la que se recogieron ya no existe, podemos eliminarlos. Los datos fiscales, como indicaba anteriormente, sí debemos conservarlos por si tenemos alguna inspección fiscal o para cualquier consulta.

¿Cómo adaptarse al RGPD?

Ahora veremos los aspectos más técnicos de adaptación de la tienda online de Magento al RGPD, como el envío de emails publicitarios o los formularios de registro o suscripción.

Muchas de las obligaciones ya existían en la anterior normativa por lo que, si las cumplías, el trabajo que tienes que realizar es mucho menor.

Eliminar las casillas marcadas por defecto en los formularios

Cualquier formulario de tu tienda online, de suscripción, registro, comentarios o proceso de compra, debe incluir una casilla desmarcada que el usuario debe marcar obligatoriamente para otorgar su consentimiento al tratamiento de sus datos.

El consentimiento presunto no es válido por lo que no es lícito poner  “Al enviar este formulario acepta nuestra política de privacidad”.

Además de la casilla, debe incluirse una primera capa de información en la que se facilite información sobre:

  • Responsable del tratamiento
  • Finalidad
  • Destinatarios
  • Legitimación
  • Derechos
  • Información adicional

Además debe incluirse un enlace a la página de la política de privacidad de la tienda online para que el usuario amplíe la información.

Suprimir las suscripciones automáticas

No podemos enviar emails comerciales a un cliente que ha realizado un pedido si no lo ha solicitado expresamente.

Tampoco podemos almacenar como cliente registrado los datos de un usuario que haya realizado una compra como invitado.

Actualizar la política de privacidad

En nuestro eCommerce debemos especificar que estamos adaptados al RGPD.

En esa política de privacidad es necesario indicar:

  • Tipo de datos recopilados de los usuarios: dispositivo usado para navegar, dirección IP, páginas visitadas y duración, cookies, email, teléfono, nombre, dirección, etc.
  • Quién tiene acceso a esa información de los usuarios: es necesario especificar todos los terceros que van a acceder a esos datos personales, como Mailchip, Google, Facebook, etc.
  • Quién es el responsable del tratamiento y sus datos de contacto.
  • Derechos de los usuarios: acceso a sus datos, rectificación o supresión de los mismos, limitación de su tratamiento o portabilidad de esos datos.
  • Finalidad para la que van a usarse esos datos y plazo de conservación de los mismos.
  • Si van a realizarse procesos automatizados de segmentación de usuarios o elaboración de perfiles de comportamiento.

Debido a que las extensiones de Magento Marketplace son desarrolladas por terceros, deberás evaluar las extensiones asociadas con tu cuenta.

Las extensiones de Magento Marketplace pueden almacenar datos personales en ubicaciones diferentes a la de su plataforma principal de comercio electrónico, y algunos de ellos también pueden enviar datos a servicios externos.

Como responsable de la tienda online, depende de ti conocer las políticas y el comportamiento de uso de datos de cualquier extensión que elijas usar.

Espero haberte aclarado cómo cumplir el RGPD en tu eCommerce Magento. Y si tienes cualquier duda estaré encantada de ayudarte.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.