Tiempo de lectura: 6 minutos
Shares

El pasado mes de octubre de 2015 una sentencia del Tribunal Superior de Justicia de la UE removió los cimientos de la gestión y protección de datos personales, un aspecto crucial para muchas empresas de eCommerce. A partir de ahora, la UE no considera a Estados Unidos un “puerto seguro” para el intercambio de datos personales, por lo que las empresas que de algún modo envíen o almacenen datos de consumidores europeos en ese país necesitarán de una autorización expresa de las autoridades nacionales, en el caso de España de la AEPD (Agencia Española de Protección de Datos).

El origen de esta sentencia está en una denuncia del activista austríaco Max Schrems contra Facebook, que almacena los datos personales de sus usuarios en territorio americano, a raíz del caso destapado por Edward Snowden de las cesiones masivas de datos personales por parte de las empresas tecnológicas a la NSA (Agencia de Seguridad Nacional) norteamericana, sin mandamiento judicial y como parte de un sistema muy elaborado de control de la información intercambiada en las redes sociales que se utiliza, según la NSA, para luchar contra el terrorismo a nivel global.

Esto tiene consecuencias inmediatas para la protección de datos personales, tanto para las empresas americanas como Facebook o Google que envían desde Europa datos de consumidores europeos para su almacenamiento en Estados Unidos, como para las empresas europeas que utilizan proveedores tecnológicos de almacenamiento de datos con sede física en Estados Unidos, como Dropbox.

Todas estas transferencias de datos deben haber sido legalizadas previamente en las agencias estatales de protección de datos y deben contar con el consentimiento previo y explícito del usuario para realizar dicha transferencia. Dichas agencias estatales tendrán potestad para bloquear las transferencias de datos que no cuenten con estos requisitos. Un problema añadido a la protección de datos personales.

Esta noticia ha pasado por el mundo del eCommerce sin pena ni gloria, cuando supone un cambio sustancial en la gestión y protección de datos personales al que hay que adaptarse. Pero no es el único caso. En general, la gestión de datos personales se realiza de forma bastante descuidada por muchas startups e, incluso, por empresas ya consolidadas en el sector.

Claves básicas para la gestión y protección de datos personales

En España son dos las leyes que afectal a la gestión de datos personales en cualquier web y, específicamente, en el eCommerce: La Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información (LSSI). Sin embargo, a pesar de que los requisitos de gestión y protección de datos personales son muy claros y las multas pueden ser millonarias, muchas empresas, sobre todo en el ámbito de las startups y las pymes, son muy descuidadas en este aspecto. Hay tres claves básicas que siempre debes tener en cuenta antes de empezar a almacenar o utilizar datos personales:

Consentimiento previo

Las leyes son muy claras al respecto: No se pueden recabar datos personales de ningún tipo sin el consentimiento previo de la persona afectada. El hecho de que los datos de tus compradores se almacenen en un registro o base de datos obliga a comunicar a la AEPD que vas a recopilar esos datos personales junto con la finalidad para la que van a ser usados.

El consentimiento para la gestión y protección de datos personales no puede ser implícito. Esto significa que no vale decir cosas como “Al registrarte en esta web aceptas que tus datos personales sean almacenados”. Hace falta que el usuario marque una casilla o realice un acto físico análogo a la firma analógica en el que manifiesta haber leído y aceptar las condiciones de la gestión de dichos datos. Pues bien, ¿a que conoces muchas webs que, a día de hoy, no lo hacen?

Medidas de seguridad

El grado de medidas de seguridad que la ley te obliga a implementar si vas a guardar físicamente los datos en la oficina de tu empresa (porque tienes un servidor propio o porque realices algún tipo de copia de seguridad) es tal que la gestión y protección de datos personales se convertiría en un terrible dolor de cabeza. No sólo tienes que tener control y registro de quién, cuándo y cómo accede telemáticamente a esos registros de datos, sino que el espacio físico donde se ubica el servidor también tiene que estar sometido a control de accesos y a una política estricta de control de copias de seguridad.

En la práctica, si tienes una tienda de eCommerce y eres pequeño, te sale mucho más rentable no utilizar un servidor propio. Pero cuidado: Parte fundamental de tu gestión de datos personales es la cesión de los mismos a terceros. El hecho de que los datos de tus clientes se almacenen en un servidor externo, como el de cualquier empresa de hosting, implica que como responsable de los ficheros tienes la obligación de verificar que tu proveedor asume el rol de encargado del tratamiento de datos, y por tanto que cumple con los requisitos legales para su almacenamiento. Esto debe quedar explicitado en los contratos de hosting o alquiler de servidores, Y no siempre sucede.

Autorización de uso comercial

Que realices la gestión de datos de tus clientes, y por tanto que los almacenes, te autoriza a utilizarlos en aquellas cuestiones relativas al objeto de tu relación con ese cliente. Esto no incluye la realización de promociones o el envío de newsletters o correos con ofertas. Ni mucho menos su cesión a terceros. Este es un aspecto fundamental ya que la legislación española, concretamente la LSSI, recalca mucho este aspecto. Si quieres enviar correos u otras comunicaciones promocionales, necesitas una autorización aparte explícitamente para este fin. No vale con incluirlo en el “aviso legal” y obtener una autorización genérica. Es obligatorio que la autorización para la gestión de datos con finalidad promocional sea una autorización independiente, salvo el caso de que ya exista una relación contractual previa.  

Además de esto, las comunicaciones electrónicas con finalidad promocional deben incluir siempre la posiblidad de darse de baja por el destinatario. La normativa de la UE de protección de datos personales ha endurecido aún más este requisito, especificando que debe poder hacerse con un solo clic.

Además de estos tres principios clave, las leyes definen claramente que la empresa que realiza la gestión y protección de datos personales debe hacerse responsable tanto ante sus clientes como ante la Administración (con el correspondiente registro en la AEPD) de que dicha gestión de datos se realiza conforme a lo legalmente establecido.

Resumiendo: en la protección de datos personales no vale cortar y pegar

Enumerar todos y cada uno de los requisitos legales necesarios para la gestión y protección de datos personales está fuera del alcance de cualquier persona no especialista en la materia. El “aviso legal” o “condiciones legales” es demasiadas veces un aspecto de la web de eCommerce que está olvidado en un rincón, y es muy importante mantenerlo actualizado y adaptado a las características de cada negocio, so pena de que, además de las multas, te lluevan las demandas. No vale con cortar y pegar lo que hacen otros.

Las cuestiones jurídicas son complejas y una palabra de más o de menos puede ser determinante. Por tanto, el mejor consejo en el ámbito de la protección de datos personales es ponerse en manos de profesionales. Afortunadamente, ya hay muchos despachos de abogados especialistas en privacidad y gestión de datos online. Por tanto, una parte de tu  inversión inicial debe destinarse a solucionar y tener bien cubiertos estos aspectos legales que, demasiadas veces, consideramos poco importantes. Hasta que lo son.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram