El RGPD es aplicable a cualquier tienda online de Shopify que se encuentre ubicada en el territorio de la UE o preste sus servicios a los ciudadanos europeos.
La aplicación ha adoptado las medidas necesarias para adaptarse al RGPD y para posibilitar su cumplimiento por parte de los comerciantes que trabajen con ella. Pero aparte de las actuaciones realizadas por Shopify, como responsable del tratamiento de datos en tu tienda online, también es necesario que realices actuaciones a nivel individual.
El RGPD impone obligaciones tanto para los responsables como para los encargados de tratamiento. En este caso Shopify actúa como encargado del tratamiento al acceder a la información personal de las tiendas online.
Aquí os explicaré cómo cumplen la normativa tanto Shopify como las tiendas online creadas con dicha herramienta.
¿Cómo afecta el RGPD a tu tienda online Shopify?
El RGPD afecta a todas las áreas y servicios que manejen datos personales, márketing, ventas, bases de datos, contabilidad y recursos humanos.
La adaptación a esta ley puede ser más sencilla para una pequeña empresa que para una grande pero, en cualquier caso, el sistema utilizado para recopilar los datos de tus clientes y usuarios está sujeto a los requisitos exigidos en esta norma.
Dentro de los datos recopilados por una tienda online sobre los usuarios están el nombre, dirección, email, cuenta en redes sociales o dirección IP.
Por eso debes hacerte una serie de preguntas sobre el funcionamiento de tu tienda online:
¿Recoges datos personales de usuarios dentro de la UE? ¿Usas aplicaciones externas que recojan y traten datos personales y estas están adaptadas al RGPD? ¿Las pasarelas de pago usadas en el ecommerce tratan datos cumpliendo el RGPD?
En todos los casos, las respuestas a esas preguntas deben ser afirmativas.
Consentimiento expreso
En la nueva normativa de Protección de datos se exige que para poder recopilar y manejar datos personales tengamos un consentimiento expreso del afectado. Ya no son válidos ni el consentimiento tácito ni el presunto.
Y debes tener en ahora existen actuaciones prohibidas como:
- Almacenar datos sin solicitar el consentimiento
- Guardar por defecto los datos de clientes
- Almacenar los datos justificándote en consentimientos generales de tu ecommerce
- Casillas de aceptación marcadas por defecto
- Textos legales complejos
Ahora debes pedir el consentimiento expreso de todos tus usuarios y clientes para poder tratar sus datos personales. Y ese consentimiento debe otorgarse a través de una clara acción afirmativa.
Un ejemplo de un texto correcto para que el usuario pueda suscribirse a la newsletter de nuestra tienda online sería:
«Acepto que (nombre del ecommerce) me contacte vía email con consejos sobre ecommerce, eventos y noticias de Shopify. Tus datos serán guardados de manera segura y no serán compartidos con nadie.» Y aquí incluiríamos el checkbox para que el usuario lo marque.
En casos de menores de 16 años, el RGPD exige requisitos específicos de consentimiento. Para poder tratar sus datos necesitas el consentimiento de sus padres o tutores. En ese caso puedes prohibir el acceso a tu tienda online de los menores de 16 años usando una aplicación de control de edad de la tienda de aplicaciones de Shopify.
¿Cómo eliminar a clientes de las bases de datos?
El derecho al olvido es otra de las principales novedades introducidas por el RGPD. Esto supone que los interesados tienen derecho a retirar su consentimiento al tratamiento de sus datos en cualquier momento, salvo que exista un interés legítimo para que el responsable siga tratando esos datos.
Los clientes también pueden ejercer su derecho a la supresión de sus datos cuando el tratamiento ya no sea necesario para cumplir los fines para los que se recogieron.
En Shopify únicamente se admite la supresión total de los datos de un cliente cuando este no tenga un historial de transacciones. Si existe algún registro de transacciones se consideraría como interés legítimo para mantener esos datos personales.
Según Shopify, debe ser el propio responsable de la tienda online quien establezca el procedimiento para eliminar datos de clientes que no tengan historial de transacciones. Cuando recibas una solicitud de supresión de datos por parte de un cliente debes informarle adecuadamente sobre la eliminación de sus datos o indicarle que no es posible esa eliminación al haber realizado algún pedido. En este caso debes informarle de que sus datos deben conservarse aunque no la utilices con fines comerciales ni la compartas con ningún tercero.
Si la tienda online Shopify dispone de complejos sistemas de fidelización o clubs de compra que supongan el guardado de datos personales de clientes en campos personalizados o en aplicaciones de terceros, debes definir un procedimiento para eliminar los datos conforme al RGPD.
Uso de cookies
Para utilizar cookies en la tienda online también necesitamos el consentimiento expreso del usuario. Al almacenarse esas cookies en el ordenador del usuario para ver su historial de navegación y enviarle publicidad personalizada se exige una autorización a través de una acción afirmativa del usuario.
Normalmente se da a los clientes la opción de eliminar todas las cookies. En ese caso debemos avisarles de que ello puede afectar al rendimiento de la página web.
Una recomendación es usar Cookie Pop-Up con la posibilidad de eliminar márketing y otras opciones de cookies.
Política de privacidad
El RGPD exige que facilites una información específica a todos aquellos usuarios cuyos datos estás tratando. Esto supone que la política de privacidad, el aviso de cookies y las condiciones de uso y contratación sean detalladas con especificación de las particularidades de la tienda online. Y los textos se redactarán en un lenguaje claro y transparente.
En la política de privacidad debes proporcionar información sobre el tipo de datos que almacenas, para qué los vas a utilizar y durante cuánto tiempo los vas a conservar, si van a cederse a algún tercero y cómo pueden los interesados ejercer sus derechos como el de acceso, supresión o rectificación.
Shopify utiliza esos datos personales para bloquear ciertas transacciones que, según una toma de decisiones automatizadas, entiende como constitutivas de fraude. En tu política de privacidad debes informar sobre ello a los usuarios.
Para crear esta política de privacidad en tu ecommerce puedes utilizar el generador de políticas de privacidad de Shopify.
Nombramiento de Delegado de Protección de datos
El Delegado de Protección de datos supervisa la recogida y tratamiento de la información en la empresa. Si en tu negocio realizas actividades de seguimiento online a gran escala se exige el nombramiento de un DPD y debes incluir sus datos de contacto en la política de privacidad.
Dentro de las funciones del DPD está la realización de evaluaciones de impacto en protección de datos. Este DPD puede ser una persona interna de la empresa con conocimientos y experiencia en materia de Protección de datos o una consultora o persona externa a la empresa.
Aunque no estés obligado a nombrar un DPD, puedes designarlo voluntariamente si tienes una gran presencia en la UE. De esta forma garantizarás una adecuada protección de los datos de tus clientes.
Acuerdos de tratamiento de datos
Si contratas un encargado del tratamiento, como Shopify, que puede acceder a los datos personales de tus clientes, debes establecer unos estrictos requisitos para la utilización de esos datos por estos terceros. Esto debe hacerse mediante la firma de un contrato entre ambas partes.
Shopify ha incluido un Acuerdo de tratamiento de datos en sus condiciones de uso del servicio para cumplir el RGPD.
Con el resto de terceros como canales, aplicaciones, pasarelas de pago, etc. debes firmar ese contrato de encargado del tratamiento para asegurarte de que esos terceros ofrecen las adecuadas garantías de protección de datos.
Adopción de decisiones automatizadas
En caso de que uses los datos personales de los clientes para tomar decisiones automatizadas estás obligado a notificárselo.
Esto supone la utilización de algoritmos automáticos en base a los cuales se decide si una determinada persona es adecuada para ofrecerle determinados productos o servicios, si hay que cobrarle un precio determinado o si muestra interés por ciertos bienes.
Si realizas un tratamiento de datos para adoptar decisiones automatizadas que produzcan importantes efectos legales para el cliente, es necesario que este te dé su consentimiento.
Shopify únicamente utiliza un proceso para tomar decisiones automatizadas en los casos de análisis de fraudes o riesgos. De esta forma, bloquea de forma automática una dirección IP o una tarjeta de crédito después de varios intentos fallidos de pago.
En este caso debes comprobar si en tu tienda online utilizas alguna aplicación externa que realice segmentaciones de clientes o elabore perfiles. Por ejemplo, aplicaciones de márketing o publicidad.
Notificación de brechas de seguridad
En caso de que se produzca un incidente de seguridad en tu tienda online que afecte a los datos de tus usuarios, el RGPD te obliga a notificárselo a estos y a la AEPD.
La obligación de notificar esa brecha de seguridad solo existe en el caso de que pueda tener un riesgo elevado sobre las libertades y derechos de las personas. Sería el caso, por ejemplo, si:
- Afecta a detalles de los pagos
- Se utilice para revelar información personal
- Permita el acceso a cuentas o servicios de una persona
Es importante que tengas previsto un plan de actuación ante un incidente de seguridad para poder notificarlo dentro del plazo de 72 horas desde que se produzca.
Transferencias internacionales
En el RGPD se prohíben las transferencias internacionales fuera de la UE sin adoptar las adecuadas medidas para proteger esos datos.
Shopify trata los datos recibidos de sus tiendas online en Irlanda y los transfiere a EEUU y Canadá cumpliendo todos los requisitos del RGPD. En la política de privacidad de la aplicación se especifican las medidas de seguridad de la información y los estándares de protección utilizados conforme al RGPD.
Espero que con esto te haya quedado claro cómo Shopify y sus tiendas online cumplen la normativa de Protección de datos.
Espero que me consultes cualquier duda en los comentarios.
Escribe aquí tu comentario