El Reglamento General de Protección de Datos (RGPD) es clave para la protección de datos en tiendas online. Aprender a cumplir la normativa, garantizar los derechos de los usuarios y optimizar la confianza de tus clientes es fundamental.
La normativa europea del RGPD es una de las legislaciones más importantes en materia de privacidad y protección de datos en el mundo digital. Este reglamento regula el tratamiento de datos personales para proteger los derechos de los ciudadanos europeos, buscando un equilibrio entre la realidad digital y los derechos individuales, obligando a las empresas a asumir su responsabilidad en la gestión de datos.
Los e-commerce tratan a diario con datos personales de sus clientes (nombre, número de tarjeta de crédito, dirección, etc.), por ese motivo, están obligados a cumplir con la normativa vigente de protección de datos, que, además, tiene una serie de requisitos propios para este tipo de negocios.
Adaptación Tecnológica al RGPD para tu Tienda Online
Adaptar una tienda online al RGPD requiere planificación y ajustes técnicos. Cumplir con el RGPD requiere ajustes en varios aspectos de tu tienda online.
Diseño de Formularios y Consentimiento
Todos los formularios que recojan datos personales deberán de contar con unos elementos básicos para mejorar la información de los usuarios. Es necesario informar en el mismo formulario de los aspectos básicos de nuestra política de privacidad: el responsable de los datos, con qué finalidad los vamos a usar, la legitimación y destinatarios.
Lea también: Marketing por Correo Electrónico y la Ley Española
Los formularios deben incluir una casilla sin marcar con texto claro, como: "Acepto las condiciones de uso y la política de privacidad". Se requiere el consentimiento específico para cada fin, con un checkbox distinto para cada finalidad. Además, debemos incluir un enlace a una página donde se recoja de forma detallada nuestra política de privacidad.
Esta casilla de verificación debe de ser colocada en cualquier formulario de nuestra tienda virtual donde recabemos información del cliente, adaptación que casi todos los e-commerce tienen pero que a veces olvidan en algún formulario de la web.
Lo primero es que debemos de mostrar en una primera capa la información básica de estos Términos que el cliente acepta sin tener que leerse todo el documento de términos. Con ello el usuario puede ver rápidamente sin leerse todos los términos y condiciones qué es lo que está aceptando a la hora de rellenar ese formulario. Nosotros vamos a aplicarlo mediante un icono de ayuda ❓ que tras poner el cursor arriba abra un tooltip (ventana emergente) donde aparezca toda esta información sin ensuciar más el formulario.
Hay una parte importante también, ya no vale decir que el usuario ha aceptado los términos que están en nuestra web y ya esta… ¡no señor, no! Es muy importante guardar la información de los términos que el usuario aceptó, no vale con una página de nuestra web que podemos cambiar de un momento a otro sin que el usuario se entere, por ello tenemos que guardar los términos exactos que aceptó en ese momento nuestro cliente.
Imaginamos que toda tu base de datos es un CAOS y que nada de esto está aplicado, con lo cual ¡no tienes el consentimiento de ningún cliente! ¡Al igual que hace Google! Recomendamos para todo esto preparar en el panel de control esta opción para que sea de forma dinámica y a lo largo de los años, podamos utilizarla si modificamos nuestros términos.
Lea también: Más sobre Consultoría de Protección Contra Incendios
Esta es la opción más básica, cuando se va a registrar en nuestra tienda mostramos una ventana intermedia flotante que diga ¿Eres mayor de 16 años? Según la RGPD…. SI NO». Creemos que es la opción más correcta que debemos de implementar.
A la hora de registrarnos como cliente pedimos la Fecha de Nacimiento y comprobemos que el cliente es mayor de 16 años para que pueda proceder. Gracias a ello, tendremos también la fecha de nacimiento del usuario y nos permitirá poder hacer acciones comerciales, si en tus términos están recogidos, para enviarle un cupón de descuento en su cumpleaños ¿por qué no?
Muchos sitios de comercio electrónico ofrecen la opción de Comprar sin Registrarse, en cuyo caso el consentimiento va solo para el pedido en particular, con lo cual la tarea es más sencilla porque solo tenemos que controlarlo en los pedidos cuando pase el período fiscal.
Cuidado porque vuelven a esta guía los TOP Fulleros del eCommerce de nuevo, que al usar la opción de comprar sin registrarse, realizan un registro del usuario con una contraseña aleatoria y eliminan al usuario cuando terminan el pedido (y si no lo termina ahí se queda como usuario y tan panchos).
Gestión de Cookies
Como las cookies son un elemento que puede servir para la identificación de nuestros usuarios, la norma obliga a ofrecer más información sobre ellas y a mejorar las opciones de los usuarios de nuestra tienda. Se han de modificar los avisos sobre cookies básicos que se usaban hasta este momento, para incluir dos opciones: el consentimiento expreso o la posibilidad de rechazar las cookies que no sean estrictamente necesarias y acceder al sitio.
Lea también: Protege tu Empresa con Nuestra Consultoría
En este texto, que debe aparecer en el momento en que un usuario entra por primera vez a la tienda online (o cada vez que borre las cookies de su navegador), se debe suministrar toda la información pertinente respecto a las cookies que genera el sitio; sus titulares, el tipo de datos personales que se recogen, así como la finalidad de esos tratamientos. Además, es necesario que el usuario acepte expresamente el uso de las cookies (salvo para las cookies técnicas), para ello existen diferentes herramientas, como el botón «Acepto» o la check box desmarcada. En cualquier caso, el usuario debe poder elegir qué cookies acepta y cuáles no.
Tenemos que indicar que cookies se usarán en la tienda y cuál es la finalidad, pudiendo hacerlo en la página de política de privacidad o en una página específica sobre cookies. Al igual que todas las acciones que impliquen consentimiento de los usuarios, tenemos que llevar un registro sobre el consentimiento de cookies. El consentimiento del usuario se tiene que renovar cada doce meses y se le debe ofrecer la posibilidad de retirarlo en cualquier momento.
Implementar cookies avanzadas y personalizables es clave para cumplir con el RGPD. Los banners de cookies deben permitir al usuario elegir qué cookies acepta, explicando su finalidad.
Implementar banners claros de consentimiento, junto con mensajes como "Respetamos tu privacidad" en formularios de registro, puede reforzar la percepción positiva de tu marca.
¡Recuerda! La Ley de Cookies no cambia nada, a excepción de que el consentimiento ya no puede ser explícito y tienen que aceptarlas… ¡pero cómo nos destroza nuestro Analytics!
Políticas de Privacidad
Actualizar la página de Política de Privacidad Conviene crear o revisar la página que recoge la política de privacidad de nuestro ecommerce para adaptarla a las reglas del RGPD. La norma obliga a dar visibilidad a esta información, por lo que es aconsejable incluirla en el menú de pie de página, el menú del footer, y que así sea fácilmente accesible.
Escribe un documento que detalle qué datos recopilas, con qué propósito y cómo los proteges.
La página de política de privacidad de nuestra tienda online tendrá que incluir:
- Mencionar expresamente el sometimiento al RGPD.
- Detallar toda la información que se recoge de los usuarios.
- Puede ser el propietario del ecommerce o una persona en la que se haya delegado esta función.
- Informar del derecho de los usuarios a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación o a su oposición de su tratamiento. Los usuarios también tendrán derecho a solicitar la portabilidad de sus datos.
- Se debe exponer claramente la finalidad o finalidades que se van a dar a los datos recogidos, y durante qué plazo van a ser conservados.
- Si existe algún proceso automatizado a partir de esos datos, por ejemplo la segmentación de los clientes en base a las acciones realizadas en la tienda online, se debe explicar de forma clara en esta página.
Derechos del Usuario y Cómo Facilitarlos
Siempre debes recabar el consentimiento expreso de tus usuarios para poder realizar cualquier tratamiento de datos personales. Informa a tus usuarios de sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición; cómo y a través de qué vía pueden ejercerlos.
El RGPD otorga a los ciudadanos europeos mayor control sobre sus datos personales.
RGPD para ecommerce: Facilitar los derechos del usuario El RGPD indica que se ha de facilitar a los usuarios la gestión de los derechos sobre sus datos, mediante la admisión de solicitudes por medios electrónicos. Para adaptar nuestro ecommerce, es muy recomendable crear un formulario específico en nuestra tienda que permita a los usuarios el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos. La nueva regulación del RGPD obliga a recoger el consentimiento para estas acciones mediante un sistema doble que asegure expresamente la voluntad del usuario para recibir estos contenidos, sistema que se conoce como doble “opt-in”. Todas estas interacciones han de quedar registradas, se trata de evitar la publicidad no deseada asociada a una simple compra. En caso de que ya estemos utilizando datos que no se hayan recogido con este sistema, tendremos que realizar un envío específico para este fin de confirmar el consentimiento.
Tenemos que poner a disposición de todos los clientes de nuestra tienda online la facilidad de ejercer su derecho al olvido. En esta pantalla mostraríamos un texto con la información legal y un botón para continuar con la eliminación de la cuenta, en el que por seguridad pediremos que confirme su contraseña, evitando así eliminaciones indeseadas.
Desde el apartado Mi Cuenta, nuestro cliente dispondrá de un nuevo apartado al lado de Eliminar cuenta para Desactivar mi cuenta temporalmente. Acceder a su cuenta con su usuario y contraseña: le mostraremos un mensaje nada más entrar que le diga que su cuenta fue restringida por petición de él, en tal fecha, que si CONTINÚA la cuenta volverá a ser activada tras pulsar el siguiente botón. Siempre podrá recuperar su contraseña con la opción de ¿Ha olvidado su contraseña?
Debes facilitar desde la cuenta de usuario, un botón para exportar los datos de nuestro cliente, con el fin de cumplir el Derecho a la Portabilidad. Al menos debemos facilitarle los datos que se eliminan con la funcionalidad de Derecho al Olvido. A veces, la exportación de datos puede llevar mucho tiempo si nuestra base de datos es extensa. Para ello, el botón puede desencadenar un proceso en segundo plano e informar al cliente de que al finalizar se le notificará mediante un correo electrónico que ya puede descargar sus datos. Para este proceso, según lo que interpretamos en la ley, no es necesario implementar una exportación automática pero es lo más recomendable para evitar problemas.
Según la ley, también es necesario tener la posibilidad de que desde el panel de administración de Mi Cuenta el usuario pueda ver todos sus datos. En el caso de que el usuario ya exista en nuestro sistema, ya puede acceder al apartado de Mi Cuenta. Desde el apartado Mi Cuenta, deberemos de mostrarle todos los datos que almacenamos de él en la base de datos. Según la Ley de la RGPD, el usuario puede en cualquier momento ejercer su Derecho de restringir el procesamiento de sus datos para que estos no sean visibles ni estén en uso, ¡ni por nosotros ni por un tercero con el que nos integremos!
Consideraciones Adicionales
Si tu tienda online utiliza servicios que procesan datos personales fuera del Espacio Económico Europeo (EEE), debes asegurarte de que estos países o proveedores cumplan con el RGPD. Países con decisiones de adecuación: la Comisión Europea reconoce a algunos países como "seguros" para transferir datos. Esto es especialmente relevante si el proveedor tiene servidores en Estados Unidos, ya que el acuerdo “Privacy Shield” entre la UE y EE. UU.
Dependiendo de las actividades de tu negocio, puede ser obligatorio designar un Delegado de Protección de Datos (DPO, por sus siglas en inglés). El Delegado de Protección de Datos supervisa el cumplimiento del RGPD, capacita a los empleados en materia de protección de datos y actúa como punto de contacto con las autoridades de supervisión. No obstante, esta figura «no es necesaria para pequeñas pymes», es mas propia de entidades públicas o a gran escala en donde se realizan procesos de big data a multinivel que pueden llegar a ser comprometedores sin un correcto análisis de riesgo o plan de contingencia predefinido en la empresa.
Cumplir con el RGPD no solo afecta las operaciones internas de tu negocio, sino que también influye en la percepción que tienen los clientes de tu tienda online. Implementar formularios simplificados, explicaciones claras sobre el uso de datos y opciones de exclusión (opt-out) para correos electrónicos puede mejorar notablemente la experiencia del cliente.
Implementar formularios simplificados, explicaciones claras sobre el uso de datos y opciones de exclusión (opt-out) para correos electrónicos puede mejorar notablemente la experiencia del cliente.
Para gestionar el cumplimiento del RGPD sin complicaciones, considera automatizar ciertos procesos. Respuestas automáticas a solicitudes de derechos: implementa un sistema que permita a los usuarios solicitar acceso, rectificación o eliminación de datos de manera sencilla.
Contratos con Encargados de Tratamiento de Datos
Generalmente, una tienda online tendrá que compartir datos de sus clientes con el proveedor del hosting que los almacena o con la empresa de logística que realiza los envíos. Se debe actuar un contrato sobre la cesión de datos con cualquier empresa con la que nuestro comercio online comparta datos. El objetivo es fijar la finalidad concreta que se va a dar los datos de nuestros clientes.
Estos contratos deben recoger:
- Instrucciones para el tercero en cuanto al uso que debe dar a los datos
- Deber de confidencialidad del tercero respecto a los datos
- La obligación del tercero de adoptar medidas de seguridad para la custodia de los datos
- Auditorías de seguridad
Seguridad en Datos Personales
Según la ley de la RGPD, debemos guardar un registro o log de cada operación de lectura de los datos personales, para que se sepa quién accedió a qué y con qué fin. Si utilizas una API en tu tienda o usas alguna de un tercero para enviar datos, nunca debes permitir el acceso a consultas de forma anónima a datos personales.
La nueva regulación del RGPD obliga a informar a las autoridades de cualquier brecha de seguridad que afecte a los datos personales de nuestro comercio en menos de 72 horas. Llevar a cabo una auditoria de seguridad que nos ayude a prevenir estos riesgos puede ser una inversión muy rentable en nuestro negocio. Además de detectar posibles puntos de intrusión, conviene fijar una buena política de copias de seguridad, de buenas prácticas en la operativa del negocio y unas normas de actuación a seguir en caso de producirse una filtración de datos.
Parece impresionante que hoy día sigamos con webs y tiendas que ni tienen implementado el certificado SSL. ¿De verdad te hace falta más razones para tener el SSL integrado en tu tienda online? No seas más Top Fulleros eCommerce, ¡que es tu negocio hombre!
Migración a servidor seguro La norma no obliga a que nuestro comercio electrónico disponga de conexión cifrada y servidor seguro bajo protocolo HTTPS. Sin embargo, es muy aconsejable utilizar estas características en nuestro negocio online. El tráfico seguro ofrece mayor confianza a nuestros clientes, mejorará nuestro SEO y puede hacer que nuestra tienda sea más rápida.
¿Qué significa eso de en reposo? Es simple, se trata de los datos personales de los clientes en nuestra base de datos cuando no se están utilizando ¿para qué dejarlos visibles? ¿mejor encriptarlos, no? Si por ejemplo, tenemos una vulnerabilidad en nuestra tienda online y la explotan mediante un Injection SQL ya nos están sacando datos limpitos y entendibles. El caso ideal sería tener cifrado con claves privadas / públicas específicas para la solución de comercio electrónico. ¡Con más vera! Esos datos sí que están en reposo y esas copias deberían de ser cifradas por completo. Date cuenta, si nos hackean nuestra tienda online con tal de bajarme un backup tendríamos toda la información (que muchos eCommerce guardan en una carpeta tipo /administrador/backups/). Es por ello que recomendamos cifrar las copias de seguridad.
Es una práctica habitual (y muy buena la verdad), trabajar siempre en un entorno paralelo de desarrollo pero… ¿qué suele pasar la mayor parte de las veces con los datos reales de clientes?. Pues que montamos un backup tal cual del de producción. Para evitar esto, lo mejor es anonimizar todos estos datos.
En Denox hemos pensado en realizar un sistema configurable por nuestros clientes, ya que los períodos varían dependiendo de los datos a recopilar. Junto a esta configuración, crearemos una tarea en el servidor (cronjob) para que la tienda revise los datos todas las madrugadas (a partir de las 00:00 h.), que es en el momento donde menos carga tiene la web, para procesar todos los registros de Datos de los clientes de nuestra tienda virtual. Gracias a esta tarea procederemos con la eliminación de las cuentas de cliente que lleven inactivas el período configurado. ¿Qué cuando las consideramos inactivas?
Para cancelar este proceso haga click en el siguiente enlace e identifíquese en su cuenta para mantener su historial de pedido. En la ley que no se establece un plazo de conservación de forma expresa, sino atendiendo a que los datos deberán ser cancelados si ya se termino la finalidad con la que fueron recogidos y no pesa ninguna obligación pendiente para el afectado. Como este punto es mucho mas complejo de explicar en nuestro caso, dado que son servicios digitales en una tienda online.
Malas Prácticas a Evitar
Hoy día seguimos encontrándonos grandes TOP Fulleros en internet que realizan malos hábitos en sus tiendas ¡y encima muchos se creen que están en lo correcto!
- No utilice datos para fines que el usuario no haya aceptado: se supone que es el espíritu de la regulación.
- Suscribir a todos los clientes por defecto: ¿cuantas veces nos habrán llamado diciendo si puede estar la casilla marcada para suscribirse al boletín?
- No asuma que terceros son compatibles: solo tú eres el responsable si hay una violación de datos en uno de los terceros a los que envía datos personales.
- No asuma que ISO XXX hace cumplir esta Ley: los estándares de seguridad de la información e incluso los estándares de datos personales son un buen comienzo y probablemente representen el 70% de lo que exige el reglamento, pero no son suficientes.
El RGPD como Oportunidad
A pesar de cumplir con el RGPD, siempre existe el riesgo de que un cliente presente una queja sobre el uso de sus datos. Además de cumplir con el RGPD, tu tienda online debe ajustarse a otros requisitos legales que aseguren el correcto funcionamiento de tu negocio.
El RGPD es más que una normativa; es una oportunidad para construir relaciones sólidas con tus clientes. Cumplir con esta legislación no solo te protege de sanciones legales, sino que también te posiciona como un negocio responsable y profesional.
tags: #proteccion #de #datos #ecommerce