Protección de Datos en tiendas online. Guía 2021

Los e-commerce tratan a diario con datos personales de sus clientes (nombre, número de tarjeta de crédito, dirección, etc.), por ese motivo, están obligados cumplir con la normativa vigente de protección de datos, que, además, tiene una serie de requisitos propios para este tipo de negocios. En esta guía explicamos cómo adaptar a la ley de protección de datos tu tienda online.

Normativa de Protección de Datos que afecta a tiendas online

Cuando hablamos de normativa de protección datos y tiendas online, hacemos siempre referencia a las siguientes leyes y reglamentos que se aplican sobre el comercio electrónico:

Reglamento General de Protección de Datos (RGPD); es el marco europeo en materia de protección de datos que todos los Estados miembros de la UE deben cumplir.
Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD); es la ley española, mediante la cual se adapta el RGPD a nuestra legislación.
Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI-CE); es la ley que regula la prestación de servicios por vía electrónica y que garantiza los derechos de consumidores y usuarios en las transacciones electrónicas.
Ley General para la Defensa de los Consumidores y Usuarios (LGDCU); es la ley que regula los derechos de consumidores y usuarios, así como de las asociaciones de consumidores y usuarios, el régimen sancionador en materia de consumo, los contratos entre empresas y consumidores, los procedimientos judiciales y extrajudiciales, entre otros.

¿Qué debemos tener en cuenta en nuestro e-commerce referente a la Protección de Datos?

Como decíamos en la introducción de esta guía, la protección de datos para el comercio electrónico tiene una serie de requisitos propios que cualquiera que vaya a abrir o tenga ya en marcha una tienda online, no puede ignorar, puesto que podría ser razón suficiente para recibir una sanción por parte de la autoridad de control competente, que en España es la AEPD (Agencia Española de Protección de Datos). Nos referimos a la inclusión en la página web de la tienda online de los textos legales: el Aviso Legal, la Política de Privacidad, la Política de Cookies y las Condiciones Generales de Venta o Contratación. En realidad los textos legales no son solo los requisitos para abrir una tienda online, puesto que son obligatorios para cualquier página web o sitio online, pero para un e-commerce son especialmente importantes, porque a través de ellos se explica al usuario todo lo relacionado con el tratamiento de sus datos personales, así como los derechos y obligaciones que adquieren él y el vendedor a la hora de llevar a cabo la compra o contratación de un producto o servicio online. Estos textos legales deben aparecer en secciones individuales, claramente distinguibles y visibles en la página web de la tienda online, es decir, deben ser subpáginas a las que acceder desde un enlace claramente identificable; lo habitual es que se encuentren al pie de la página.

Aviso Legal

El Aviso Legal web debe contener toda la información relativa al titular de la web, que normalmente coincide con la propia tienda online. Con carácter general debe incluir:

Nombre o denominación social del titular, junto a sus datos de contacto.
NIF o CIF.
El número de registro en el Registro Mercantil (o cualquier otro registro en el que figure inscrita la empresa).
En caso de que se desempeñe una profesión reglada (como un abogado que ofrece sus servicios en Internet), se debe incluir el número de colegiado, el colegio profesional, el título académico y el país de la UE donde se obtuvo.
Si la actividad comercial requiere de autorización administrativa previa, se deben comunicar los datos relativos de la misma, así como identificar el órgano de supervisión correspondiente.

De forma opcional también se pueden incluir más apartados, como los relacionados con la propiedad intelectual y/o industrial, las condiciones de uso de la web, las normas básicas de la web, etc.

Política de Privacidad

La Política de Privacidad es el texto legal en el que vamos a recoger todo lo referente a la protección de datos en un comercio electrónico. En la política de privacidad se avisa y explica a los usuarios de forma inteligible y transparente el tratamiento que se hará de sus datos en la página web; qué datos personales se recogen, cómo se recaban, para qué se recaban, la legitimación legal, la finalidad de los tratamientos, quién es el responsable del tratamiento y sus datos de contacto, así cómo y dónde pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición). Además, puesto que la normativa de protección de datos exige recabar el consentimiento expreso de los interesados para poder tratar sus datos personales, si en la web hay formularios de suscripción, de solicitud de presupuestos, para dejar comentarios, etc., siempre deben ir acompañados de un enlace a la política de privacidad y de una casilla o botón de «He leído y acepto la política de privacidad» o similar, que el usuario tendrá que marcar o pulsar.

Política de cookies

La página web de una tienda online generará cookies, tanto aquellas denominadas técnicas y que son imprescindibles para el correcto funcionamiento de la web, como cookies de terceros con diferentes fines (basta con que la web tenga un botón de compartir en redes sociales o emplee Google Analytics, para contar ya con cookies de terceros). La función de estas cookies (archivos que se generan y guardan en nuestro navegador) es diferente según la cookie, pero en esencia sirven para identificar al usuario. Puesto que se considera que las cookies almacenan datos personales que podrían servir para identificar a las personas, la normativa de protección de datos para el e-commerce exige que se incluya en la web un texto de Política de Cookies. En este texto, que debe aparecer en el momento en que un usuario entra por primera vez a la tienda online (o cada vez que borre las cookies de su navegador), se debe suministrar toda la información pertinente respecto a las cookies que genera el sitio; sus titulares, el tipo de datos personales que se recogen, así como la finalidad de esos tratamientos. Esta información suele suministrarse en un sistema de dos capas; con una primera más básica, que contiene un enlace que lleva a la segunda capa, mucho más detallada. Además, es necesario que el usuario acepte expresamente el uso de las cookies (salvo para las cookies técnicas), para ello existen diferentes herramientas, como el botón «Acepto» o la check box desmarcada. En cualquier caso, el usuario debe poder elegir qué cookies acepta y cuáles no. Pudiendo, además, revocar su consentimiento de forma fácil en cualquier momento.

Condiciones generales de venta

Los términos y condiciones de venta o contratación no pueden faltar en la página web de tu tienda online; este texto debe estar disponible tanto de forma individual en la web como aparecer antes de iniciar el proceso de compra o antes de finalizarlo; lo habitual es que se incluya una check box con la frase «Acepto las condiciones de venta» o similar y el enlace a dichas condiciones. Las condiciones generales de venta o contratación deben incluir obligatoriamente la siguiente información:

Explicación del proceso de compra.
Información sobre los precios de compra, si estos incluyen o no impuestos y gastos de envío.
Condiciones respecto a métodos de pago, envío, plazos de entrega, o condiciones de contratación y prestación del servicio.
Obligaciones para vendedor y comprador.
Acciones ante artículos defectuosos.
Métodos y plazos para devolución.
Información sobre el derecho de desistimiento del usuario.
Idiomas disponibles para realizar el contrato o la venta.

Además, una de las obligaciones para las tiendas online de la LSSI-CE es la de confirmar la compra, bien mediante una pantalla final tras efectuar el pago o bien mediante el envío de un correo electrónico.

¿Qué pasos debo seguir para que mi tienda online cumpla al 100% con la legislación y evitar sanciones?

Aparte de la inclusión de los textos legales en la página web de la tienda online, hay otras obligaciones que debes tener en cuenta para cumplir completamente con la normativa de protección de datos para el comercio electrónico. A continuación enumeramos los pasos esenciales que debes cumplir para adaptar tu tienda online a la protección de datos:

Si vas a tratar de manera sistemática datos personales a gran escala o datos de categorías especiales, tendrás que llevar un registro de actividades de tratamiento, en el que se detalle toda la información relativa a cada tratamiento de datos personales que llevas a cabo.
Deberás hacer un análisis de riesgos antes de realizar cualquier tipo de tratamiento de datos personales, para poder implantar las medidas de seguridad necesarias que garanticen la protección de datos de tus usuarios.
- Si tratas categorías especiales de datos o tratas datos a gran escala, es posible que tengas que llevar a cabo también una evaluación de impacto, así como nombrar un Delegado de Protección de Datos.
Si utilizas aplicaciones externas que tengan acceso a datos personales de tus clientes o usuarios, tendrás que asegurarte de que estas cumplen con la normativa y firmar con sus responsables un contrato con el encargado de tratamiento.
Siempre debes recabar el consentimiento expreso de tus usuarios para poder realizar cualquier tratamiento de datos personales. Esto implica que debe producirse una acción positiva de aceptación por parte del usuario.
Informa a tus usuarios de sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición; cómo y a través de qué vía pueden ejercerlos. Y, por supuesto, atiende la solicitud de dichos derechos cuando las recibas.
Si se produce una brecha de seguridad que pueda afectar a los datos personales de sus usuarios o clientes y que pueda tener un impacto en sus derechos y libertades, debes informarles a ellos y a la AEPD en un plazo máximo de 72 horas.
Debes informar a tus usuarios o clientes si se van a efectuar transferencias internacionales de datos, los plazos de conservación de los mismos, la legitimación o base legal del tratamiento, su derecho a acudir a la AEPD si consideran que sus datos personales no se están tratando de forma adecuada, así como la identidad y datos de contacto del responsable del tratamiento (que es la propia tienda online) y, si procede, del Delegado de Protección de Datos y el encargado del tratamiento.

No cumplir con alguna de estas obligaciones, puede ser motivo de denuncia ante la AEPD y de la consecuente sanción (que en los casos más graves puede alcanzar los 20 millones de euros). Esos son los pasos esenciales para cumplir con la protección de datos en tu tienda online, un proceso complejo, para el que siempre recomendamos contar con la asistencia y asesoramiento de un profesional en protección de datos, que se asegurará de que tu tienda online cumpla con todos los requisitos de la normativa, presentes y futuros.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.