La inminente ley de protección de datos, que verá la luz el próximo 25 de mayo, va a ser la normativa española que vele por la protección de datos del consumidor y usuario desde esa fecha en adelante, renovando la ya caduca LOPD 1999 ampliamente superada por los vertiginosos avances de la tecnología. La razón práctica de la aparición de la LOPD 2018 como modificación de la surgida en 1999 es la obligación de España de cumplir con el Reglamento (UE) 679/2016, cuya puesta en marcha efectiva se ha demorado dos años. Esta nueva norma se dispone a tapar todas las posibles vías de agua con las que el universo digital deja nuestros datos personales vulnerables ante las desmedidas apetencias de quienes operan en el campo del marketing online y de contenidos. Por ello, nos disponemos a hacerte partícipe del impacto que se prevé en el mundo digital, pero especialmente nos ceñiremos al entorno del e-commerce. Si eres titular de una página web de venta online, presta mucha atención a lo que viene a continuación.
Cuáles son los principales cambios que conlleva la LOPD 2018
Vamos a realizar una breve síntesis de los puntos más significativos en los que podrás notar cambios sobre aquello a lo que estabas habituado.
Fin del consentimiento tácito
Una de sus principales novedades es dar carpetazo a lo que hasta ahora era, en buena medida, un concepto trampa: el llamado consentimiento tácito. Como indica el adjetivo que matiza el consentimiento, la simple ausencia de oposición activa por parte de un usuario a la utilización de sus datos por la organización que hizo acopio de ellos (o por un tercero vinculado a ella) le otorgaba carta blanca para realizar el tratamiento de dichos datos. Un detalle importante es que la edad mínima para ejercitar el consentimiento expreso pasa a ser 14 años.
En el nuevo planteamiento, solamente cabrá la realización de esas prácticas si el depositario de datos personales de un tercero cuenta con una autorización otorgada por el titular de esos derechos (previamente bien informado), de carácter específico (ligado a una finalidad determinada) y verificable (asegurando que el servidor de mail marketing incluya nombre del usuario, huella de tiempo, IP y correo electrónico).
Derecho al olvido
Se trata de garantizar la posibilidad de que el usuario solicite, exitosamente, que el poseedor de sus datos anule estos de manera irreversible; ello puede fundamentarse en tres motivos:
– Haber desaparecido la finalidad que motivó su cesión.
– Revocación del consentimiento por causas sobrevenidas.
– Manifestar el titular que sus datos hubiesen sido conseguidos fraudulenta o ilegalmente.
Derecho a la portabilidad
Hablamos de un incremento del control sobre los datos que, de esta forma, pueden ser recuperados para su posterior traspaso a otro sitio web. Las empresas estarán obligadas a facilitar dicha portabilidad, haciendo posible que vaya incluida la totalidad de los datos.
En este derecho reconocemos dos vertientes bien demarcadas:
– La capacidad del usuario de descargar sus datos en formato electrónico.
– La opción de requerir a una empresa que los transfiera a otra para que los incorpore en otro servicio, no llevando consigo la operación la baja en el servicio de partida.
Derecho de limitación
Implica promover un bloqueo transitorio de nuestros datos, lo que puede convenirnos por diversas causas, como darnos margen de tiempo hasta terminar de verificar que circulan datos nuestros ajenos a la realidad o mientras perfilamos el contenido de una denuncia.
Regulación de los datos de personas fallecidas
Confiere a los herederos los tradicionales derechos de acceso, rectificación o cancelación sobre los datos de la persona fallecida.
Un detalle muy significativo de la elevación del nivel de protección del usuario es la ampliación del plazo de atención para ejecutar los mencionados derechos hasta un mes, que contrasta con los pírricos diez días que fijaba la norma todavía vigente.
Cómo afectará la nueva normativa de protección de datos personales al ‘e-commerce’
El comercio online está incrementando su presencia en la vida cotidiana, por lo que si estás pensando en crear un e-commerce o ya lo tienes, algo a lo que debes destinar una parte importante de tus recursos es a garantizar el cumplimiento de la ley de protección de datos. Y no está de más traer al caso el viejo adagio latino ignorantia iuris non excusat (el desconocimiento de la ley no excusa de su cumplimiento).
Todo portal de e-commerce que ya esté al día en el cumplimiento de la normativa aún vigente tiene mucho terreno ganado, ya que se tratará de reforzar las medidas que aseguren la privacidad de los usuarios y clientes sobre la base de la LOPD 1999.
Ante todo, será crucial evitar descuidos que acarreen la pérdida de datos o soportes no encriptados donde estén contenidos. Si eso sucede, debemos proceder de inmediato a poner el incidente en conocimiento del titular de esos datos.
Por otro lado, habrá de revisarse la forma en la que obtenemos el consentimiento informado de aquellos sobre quienes recabemos datos personales. Debemos estar en condiciones de demostrar que el procedimiento de obtención fue reglamentario y registrar los consentimientos, de manera que puedan superar una eventual auditoría de cumplimiento de la LOPD 2018.
Hemos de poner todo el énfasis en las políticas informativas y de advertencia a clientes y usuarios, siendo concisos y sencillos en los mensajes.
En las operaciones que impliquen tratamiento de datos, tendremos que evaluar el riesgo que entrañan para los derechos de sus titulares y, en caso de que concluyamos que existe riesgo elevado, el paso siguiente será llevar a cabo lo que se denomina una evaluación de impacto sobre la privacidad.
Es preciso que los contratos firmados por tus clientes sean claros y meticulosos, incluyendo, en su caso, la subcontratación de servicios.
Finalmente, aunque no debes entender esta como una lista cerrada, ha de realizarse un análisis de riesgos y dar cabida a la emergente figura del delegado de protección de datos.
Cuál es la finalidad de la nueva LOPD
Para poder comprender bien esta modificación legal, es fundamental que conozcas qué principios la informan:
Licitud, lealtad y transparencia
Básicamente, toda esta información debe ser fácil de encontrar y de entender, y sus fines explícitos y legítimos.
Limitación de la finalidad
Los datos recabados con una finalidad específica no pueden utilizarse nunca para otra diferente.
Minimización de datos
Debe limitarse la recogida de datos a los estrictamente imprescindibles para el cumplimiento de los objetivos declarados.
Limitación del plazo de conservación
Dado que los datos no se podrán conservar por tiempo superior al necesario para la finalidad del tratamiento, será inevitable efectuar frecuentes limpiezas de archivos.
Responsabilidad proactiva
El responsable del tratamiento de datos lo será igualmente del respeto a lo contemplado en la ley.
Qué hacer para cumplir con esta legislación sobre datos
Ha llegado la hora de adecuar tu negocio online a la legislación, implantando mecanismos de protección de los datos de clientes, proveedores y empleados y los contenidos en los currículos de aspirantes.
La única diferencia en la aplicación de esta ley se basa en los niveles de seguridad, en función de la sensibilidad del contenido podemos hablar de:
1. Nivel básico: esencialmente, nombre y apellidos y datos de contacto. Son los manejados por la mayoría de comercios online. Este grupo engloba tanto el grado básico como el anterior grado medio.
2. Nivel alto o categorías especiales de datos: referidos a ideología, afiliación política y sindical, religión, etnia, salud y orientación sexual; asimismo, los relacionados con actos de violencia de género y los recabados con fines policiales sin consentimiento.
Cuál es la información que debes conocer respecto a la protección de datos
Con el horizonte a tres meses vista, los sensibles cambios que introduce la nueva legislación sugieren que no dejes a la improvisación de última hora la adaptación de tu página web y te pongas manos a la obra. En concreto, ve trabajando sobre los siguientes aspectos:
Registros de actividad
Las empresas ya no deben inscribir los ficheros de datos en la agencia, sino que deben llevar una gestión interna de su actividad.
Análisis de riesgos
Deberás realizar un análisis de riesgos de cada uno de tus registros de actividad, consiguiendo así una adecuación de tu página web, lo que hace aconsejable ir preparando las herramientas que vayas a necesitar.
Notificaciones de incidentes
Habrá obligación de notificar los incidentes de seguridad, en un plazo máximo de 72 horas, al organismo que ejerza la autoridad de protección de datos, así que es necesario que vayas confeccionando procedimientos de comunicación adaptados.
Formularios de compra
Todas las tiendas online tienen en su sitio web formularios de pedidos; si es tu caso, toma nota de que dentro de escaso tiempo será imprescindible que recabes el consentimiento expreso del cliente. Te recomendamos que, además del link a tu política de privacidad, insertes una cláusula legal (condiciones de uso) sujeta a la aceptación del usuario que detalle los aspectos fundamentales, redactada con claridad y transparencia.
Contenido de la empresa y uso de los datos
Debes clarificar al máximo los textos destinados a identificar a los responsables del tratamiento de los datos, a cuantificar el tiempo que permanecerán esos datos en tus archivos, a señalar quién tiene permiso para acceder a ellos y a describir las medidas de seguridad adoptadas contra un uso indebido.
Razones que justifican el cumplimiento de la LOPD 2018. ¿A qué sanciones te expones?
Lo habitual ha sido que todos los operadores digitales manejasen los datos de los usuarios imbuidos de un fin estrictamente mercantilista. Este escenario daba juego para incurrir en prácticas que la nueva normativa se dispone a desterrar, como la compraventa de leads (usuarios que han dejado patente un interés por un producto o servicio en una web) prescindiendo del beneplácito del titular de los datos facilitados. Y es que el marco normativo imperante dejaba vacíos legales en los que cabía casi todo.
Con la nueva ley se produce un giro en el objetivo de la norma, que deja de ser básicamente el operador para desplazarse hacia el usuario, quien se ve investido de un control total sobre su información personal. De aquí se desprende un nutrido catálogo de exigencias que nos afectan a quienes operamos, custodiamos y, en el caso del e-commerce, nos lucramos con datos personales en medios digitales.
Por consiguiente, si tu intención es mantener tu proyecto digital (página web o blog) en una dinámica de crecimiento, conciénciate de la necesidad de abordar cambios antes de que te arrolle la aplicación de la normativa.
Las infracciones por incumplimiento deliberado o simplemente ignorancia de la LOPD 2018 tendrán plena vigencia a partir del 25 de mayo, cuando la maquinaria sancionadora se haya puesto en marcha implacablemente. De suerte que cualquier operador digital que haya recabado en el pasado datos de terceros para el ejercicio de su actividad puede ser multado si queda patente la comisión de infracciones.
Las sanciones previstas tienen un elevado techo fijado por los legisladores y que asciende hasta los 20 millones de euros o el 4 % del volumen de facturación.
La solución está en tus manos
En resumen, la nueva normativa viene con una batería de recursos que prometen convertirse en una eficiente herramienta para evitar el uso fraudulento o excesivo de los datos de consumidores y usuarios.
Nos vemos en la necesidad de estimularte a afrontar con el mayor celo profesional posible las medidas que hagan de tu negocio online un feudo legal, honesto y garante de los derechos de tus clientes. Además de contribuir a un clima de mayor transparencia digital y a posicionarte en la vanguardia del comercio electrónico disiparás el riesgo de incurrir en infracciones a la Ley de Protección de Datos que podrían ocasionarte perjuicios.
Desde Lowpost te recomendamos que apliques estas medidas, ahora más que nunca, es importante utilizar el marketing de contenidos para ofrecer un contenido personalizado y relevante que atraiga a tu público objetivo e impulse a dejar sus datos de contacto.