La pro­te­c­ción de datos pe­r­so­na­les en el eCommerce

A menudo, en el ámbito del eCommerce, donde a diario se llevan a cabo numerosas tra­n­sac­cio­nes, los pro­vee­do­res necesitan los datos de sus clientes, pero a muchos usuarios les preocupa revelar sus datos de carácter personal y con razón, pues se abusa con demasiada fre­cue­n­cia de datos sensibles, se utilizan ile­ga­l­me­n­te para fines pu­bli­ci­ta­rios o incluso se entregan a terceros. Tanto en lo que respecta a los clientes como para evitar co­n­se­cue­n­cias legales, las empresas deben prestar atención a la pro­te­c­ción de datos en el comercio ele­c­tró­ni­co. Perder la pe­r­s­pe­c­ti­va en cuanto a la pro­te­c­ción de datos pe­r­so­na­les significa correr el riesgo de infringir la normativa vigente y llegar a pagar multas elevadas.

En el sector del eCommerce en España , las empresas deben actuar de acuerdo a lo l re­gla­me­n­to es­ta­ble­ci­do , que viene recogido en la Ley de servicios de la sociedad de la in­fo­r­ma­ción y de comercio ele­c­tró­ni­co o en la Ley de Pro­te­c­ción de Datos de Carácter Personal. El artículo 3 de dicha ley orgánica define los datos de carácter personal como “cualquier in­fo­r­ma­ción co­n­ce­r­nie­n­te a personas físicas ide­n­ti­fi­ca­das o ide­n­ti­fi­ca­bles”. Respetar la normativa de pro­te­c­ción de datos es igual de im­po­r­ta­n­te tanto para in­s­ti­tu­cio­nes públicas como no públicas. Además, tal y como indica la Ley de servicios de la sociedad de la in­fo­r­ma­ción y de comercio ele­c­tró­ni­co en el Artículo 1, en el que se recoge el objeto de la misma:

1. “Es objeto de la presente Ley la re­gu­la­ción del régimen jurídico de los servicios de la sociedad de la in­fo­r­ma­ción y de la co­n­tra­ta­ción por vía ele­c­tró­ni­ca, en lo referente a las obli­ga­cio­nes de los pre­s­ta­do­res de servicios incluidos los que actúan como in­te­r­me­dia­rios en la tra­n­s­mi­sión de co­n­te­ni­dos por las redes de te­le­co­mu­ni­ca­cio­nes, las co­mu­ni­ca­cio­nes co­me­r­cia­les por vía ele­c­tró­ni­ca, la in­fo­r­ma­ción previa y posterior a la ce­le­bra­ción de contratos ele­c­tró­ni­cos, las co­n­di­cio­nes relativas a su validez y eficacia y el régimen sa­n­cio­na­dor aplicable a los pre­s­ta­do­res de servicios de la sociedad de la in­fo­r­ma­ción”.

El nuevo Re­gla­me­n­to General de Pro­te­c­ción de Datos,  que es aplicable desde el 25 de mayo de 2018 en todo el te­rri­to­rio europeo, plantea cue­s­tio­nes que deben ser co­m­ple­me­n­ta­das con normas na­cio­na­les. En España, esto se traduce en la ela­bo­ra­ción de una nueva Ley Orgánica de Pro­te­c­ción de Datos que su­s­ti­tui­rá a la actual, que data de 1999. Esta nueva ley se encuentra en la fase de consultas, mo­di­fi­ca­cio­nes e in­fo­r­ma­ción pública, antes de ser aprobada. En concreto, la nueva LOley orgánica regulará aspectos como:

• Las formas adecuadas para otorgar y solicitar co­n­se­n­ti­mie­n­to en el uso de datos
• Cuál es la edad mínima para prestar co­n­se­n­ti­mie­n­to
• Qué ocurre con los datos de personas fa­lle­ci­das
• In­fo­r­ma­ción de carácter cre­di­ti­cio

A los datos pe­r­so­na­les pe­r­te­ne­cen todos aquellos que encierran in­fo­r­ma­ción sobre ci­r­cu­n­s­ta­n­cias pe­r­so­na­les u objetivas de las personas. De acuerdo con lo previsto en el nuevo RGPD, se co­n­si­de­ran datos pe­r­so­na­les toda in­fo­r­ma­ción relativa a una persona física viva ide­n­ti­fi­ca­da o ide­n­ti­fi­ca­ble. Así mismo, aquellas datos re­co­pi­la­dos que puedan llevar a que se ide­n­ti­fi­que a una de­te­r­mi­na­da persona también co­n­s­ti­tu­yen datos de carácter personal. Entre ellos destacan:

• Nombre, fecha de na­ci­mie­n­to, dirección, na­cio­na­li­dad
• Número de asegurado
• Datos bancarios
• Dirección IP, cookies, datos del GPS
• Sexo, color de piel, ojos y pelo
• Pro­pie­da­des
• Datos de cliente online
• Formación o títulos pro­fe­sio­na­les

Los datos de carácter personal ofrecen in­fo­r­ma­ción sobre personas pa­r­ti­cu­la­res y, a este respecto, la asi­g­na­ción del nombre se convierte en un criterio de ide­n­ti­fi­ca­ción decisivo. Los datos no pe­r­so­na­les son, por el contrario, aquellos que se recogen de manera anónima y no actúan como datos ide­n­ti­fi­ca­ti­vos. Tal es el caso del género, de la in­fo­r­ma­ción sobre las visitas a de­te­r­mi­na­das páginas web, etc., a los que no cubre la de­no­mi­na­da política de pro­te­c­ción de datos pe­r­so­na­les. En este sentido, las empresas o los pro­fe­sio­na­les del marketing pueden emplear este tipo de datos sin problemas para la co­m­pi­la­ción de es­ta­dí­s­ti­cas o para otros fines.

Con la apli­ca­ción del nuevo RGPD ha entrado en juego un nuevo concepto conocido como “seu­do­ni­mi­za­ción”. Este concepto hace re­fe­re­n­cia a un proceso en el que los datos se someten a en­cri­p­ta­ción o hashing para ga­ra­n­ti­zar que estos ya no están vi­n­cu­la­dos di­re­c­ta­me­n­te a una persona. El Re­gla­me­n­to considera que estos datos seu­do­ni­mi­za­dos siguen siendo datos pe­r­so­na­les y, en co­n­se­cue­n­cia, requieren le­gi­ti­ma­ción para su tra­ta­mie­n­to. La Agencia Española de Pro­te­c­ción de Datos (AEPD) dispone de una guía sobre las garantías en el proceso de ano­ni­mi­za­ción de datos pe­r­so­na­les que puede ser muy útil.

En el sector del comercio ele­c­tró­ni­co no se suele hablar tanto de datos de carácter personal, sino más bien de datos de in­ve­n­ta­rio o de datos de usuario, que se pueden recopilar por medio de los llamados servicios de te­le­co­mu­ni­ca­ción como tiendas online, pu­bli­ci­dad por correo o bu­s­ca­do­res de Internet.

Con respecto a la cuestión de si las di­re­c­cio­nes IP se co­n­si­de­ran datos de carácter personal, una sentencia dictada el 3 de octubre de 2014 por la Sección Sexta de la Sala de lo co­n­te­n­cio­so-ad­mi­ni­s­tra­ti­vo del Tribunal Supremo y que, a su vez, se basa en una sentencia del Tribunal Superior de Justicia de la Unión Europea, considera que las di­re­c­cio­nes IP tienen el carácter de datos pe­r­so­na­les. Por ello, la pro­te­c­ción de las mismas se encuentra regulada en el RGPD y en la LOPD.

La condición de datos de carácter personal de las di­re­c­cio­nes IP dinámicas aparece más detallado en el siguiente artículo, que pone de ma­ni­fie­s­to que la razón por la que este tipo de se­cue­n­cias numéricas son co­n­si­de­ra­das como tal radica en el hecho de que se asignan de manera in­di­vi­dual a cada di­s­po­si­ti­vo en pa­r­ti­cu­lar y que, por lo tanto, permiten ide­n­ti­fi­car a los usuarios de los mismos.

En de­fi­ni­ti­va, el aporte de la sentencia an­te­rio­r­me­n­te me­n­cio­na­daa, es que el concepto de dato personal debe in­te­r­pre­tar­se de forma amplia. En este sentido, los datos que se recogen al navegar por Internet o al prestar servicios web, al co­m­bi­nar­se con los datos obtenidos por el prestador del servicio,  pueden llegar a ide­n­ti­fi­car a una persona y, por lo tanto, pasarán a co­n­si­de­rar­se datos pe­r­so­na­les.

A este respecto, el Re­gla­me­n­to (UE) 2016/679 del Pa­r­la­me­n­to Europeo y del Consejo, de 27 de abril de 2016, pone de ma­ni­fie­s­to en el apartado 30 que:

Las personas físicas pueden ser asociadas a ide­n­ti­fi­ca­do­res online fa­ci­li­ta­dos por sus di­s­po­si­ti­vos, apli­ca­cio­nes, he­rra­mie­n­tas y pro­to­co­los, como di­re­c­cio­nes de los pro­to­co­los de internet, ide­n­ti­fi­ca­do­res de sesión en forma de «cookies» u otros ide­n­ti­fi­ca­do­res, como etiquetas de ide­n­ti­fi­ca­ción por ra­dio­fre­cue­n­cia. Esto puede dejar huellas que, en pa­r­ti­cu­lar, al ser co­m­bi­na­das con ide­n­ti­fi­ca­do­res únicos y otros datos recibidos por los se­r­vi­do­res, pueden ser uti­li­za­das para elaborar perfiles de las personas físicas e ide­n­ti­fi­car­las.

Asimismo, dicha normativa también recoge cuál es el papel que desempeña el co­n­se­n­ti­mie­n­to al uso de los mismos por parte de los usuarios, como queda patente en su razón 32:

"El co­n­se­n­ti­mie­n­to debe darse mediante un acto afi­r­ma­ti­vo claro que refleje una ma­ni­fe­s­ta­ción de voluntad libre, es­pe­cí­fi­ca, informada, e ine­quí­vo­ca del in­te­re­sa­do de aceptar el tra­ta­mie­n­to de datos de carácter personal que le co­n­cie­r­nen, como una de­cla­ra­ción por escrito, inclusive por medios ele­c­tró­ni­cos, o una de­cla­ra­ción verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger pa­rá­me­tros técnicos para la uti­li­za­ción de servicios de la sociedad de la in­fo­r­ma­ción, o cualquier otra de­cla­ra­ción o conducta que indique cla­ra­me­n­te en este contexto que el in­te­re­sa­do acepta la propuesta de tra­ta­mie­n­to de sus datos pe­r­so­na­les. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben co­n­s­ti­tuir co­n­se­n­ti­mie­n­to. El co­n­se­n­ti­mie­n­to debe darse para todas las ac­ti­vi­da­des de tra­ta­mie­n­to rea­li­za­das con el mismo o los mismos fines. Cuando el tra­ta­mie­n­to tenga varios fines, debe darse el co­n­se­n­ti­mie­n­to para todos ellos. Si el co­n­se­n­ti­mie­n­to del in­te­re­sa­do se ha de dar a raíz de una solicitud por medios ele­c­tró­ni­cos, la solicitud ha de ser clara, concisa y no perturbar in­ne­ce­sa­ria­me­n­te el uso del servicio para el que se presta."

Los gestores de tiendas online necesitan, sin lugar a dudas, los datos pe­r­so­na­les de sus clientes para procesar los pedidos, pero también en el marketing online son muy populares los análisis de datos, ya que con su ayuda se puede adaptar la pu­bli­ci­dad y el em­pla­za­mie­n­to de los productos de forma precisa a los usuarios. El Re­gla­me­n­to General para la Pro­te­c­ción de Datos me­n­cio­na­do an­te­rio­r­me­n­te deja patente la im­po­r­ta­n­cia que tiene contar con el co­n­se­n­ti­mie­n­to por parte de los usuarios para la uti­li­za­ción de sus datos pe­r­so­na­les. Esto significa que antes de hacer uso de ellos se debe valorar si se cuenta con la au­to­ri­za­ción de los mismos.

A este respecto, las empresas deben in­fo­r­mar­se bien sobre las co­n­di­cio­nes a las que tienen que atenerse a la hora de recopilar y utilizar dichos datos. Estos son algunos de los aspectos que se deben tener en cuenta:

En la pro­te­c­ción de datos resulta esencial respetar la li­mi­ta­ción de los fines, es decir, que la re­co­pi­la­ción y uti­li­za­ción de los datos pe­r­so­na­les o de los datos de los usuarios solo se autoriza en aquellos casos derivados de la relación co­n­tra­c­tual. En cuanto se termine el contrato o el proceso de uti­li­za­ción, como empresa se tiene la obli­ga­ción de eliminar todos los datos de carácter personal de forma inmediata e íntegra. Solo puede au­to­ri­zar­se la prórroga del período de co­n­se­r­va­ción en caso de que los datos sean ne­ce­sa­rios para la fa­c­tu­ra­ción. Queda prohibida la tra­n­s­mi­sión de datos de carácter personal a terceros. Como excepción, las au­to­ri­da­des po­li­cia­les pueden hacer uso de los mismos a efectos de fa­c­tu­ra­ción o de acciones penales.

A este respecto, se debe intentar actuar con mo­de­ra­ción y recabar la menor cantidad de datos posible. A los clientes se les debe exigir los datos obli­ga­to­rios (por ejemplo a la hora de cu­m­pli­me­n­tar un fo­r­mu­la­rio de contacto) que sean es­tri­c­ta­me­n­te ne­ce­sa­rios para la uti­li­za­ción del servicio. La in­fo­r­ma­ción relativa a la normativa de pro­te­c­ción de datos al utilizar dicha in­fo­r­ma­ción debe es­pe­ci­fi­car­se en una política de pro­te­c­ción de datos aparte.

Entre las máximas más im­po­r­ta­n­tes del derecho de pro­te­c­ción de datos pe­r­so­na­les se encuentra el principio de la tra­n­s­pa­re­n­cia. Tal y como indica el apartado 39 del Re­gla­me­n­to (UE) 2016/679:

Todo tra­ta­mie­n­to de datos pe­r­so­na­les debe ser lícito y leal. Para las personas físicas debe quedar to­ta­l­me­n­te claro que se están re­co­gie­n­do, uti­li­za­n­do, co­n­su­l­ta­n­do o tratando de otra manera datos pe­r­so­na­les que les co­n­cie­r­nen, así como la medida en que dichos datos son o serán tratados. […]

Es esencial aquí contar con el co­n­se­n­ti­mie­n­to explícito del usuario para poder almacenar y procesar los datos que ha fa­ci­li­ta­do conforme al principio de la li­mi­ta­ción de los fines. Como proveedor, no solo se tiene que pro­to­co­li­zar dicha au­to­ri­za­ción, sino también ga­ra­n­ti­zar que el cliente pueda consultar en cualquier momento el contenido del co­n­se­n­ti­mie­n­to y también revocarlo.

Existe el deber de in­fo­r­ma­ción en caso de que se quieran almacenar datos fuera de la UE.

Google Analytics, la he­rra­mie­n­ta de análisis de páginas web, ha creado una gran co­n­tro­ve­r­sia en términos de pro­te­c­ción de datos en el comercio ele­c­tró­ni­co. Esta he­rra­mie­n­ta gratuita facilita, entre otros, datos sobre la pro­ce­de­n­cia del visitante, sobre el tiempo de pe­r­ma­ne­n­cia del mismo en las páginas web y sobre el tipo de páginas más visitadas. Los datos de carácter personal, como, por ejemplo, la dirección IP, el tipo de navegador o la fecha y hora en la que se visitan las páginas web, no solo se recopilan sin el co­n­se­n­ti­mie­n­to previo de los usuarios, sino que Google también los almacena. Por lo tanto, la empresa es­ta­dou­ni­de­n­se puede crear perfiles de usuario completos sobre personas de­te­r­mi­na­das. El motivo para ello reside en el panorama legal de los Estados Unidos, donde la normativa sobre la pro­te­c­ción de datos es menos estricta que en España.

Ahora que en Europa se aplica el Re­gla­me­n­to General de Pro­te­c­ción de Datos, existen una serie de novedades que los usuarios de Google Analytics deben tener en cuenta si no quieren infringir la normativa:

1. Los datos de los usuarios se borrarán de forma au­to­má­ti­ca tras un de­te­r­mi­na­do período de tiempo. El usuario será informado del tiempo que durará el al­ma­ce­na­mie­n­to de sus datos y una vez expirado este, se liminarán sus datos.
2. He­rra­mie­n­ta para borrar datos de usuario en Analytics. Se trata de una he­rra­mie­n­ta que te permite borrar los datos al­ma­ce­na­dos de un usuario in­di­vi­dual, de forma inmediata  y estará basada en la cookie standard, en el user ID o en la app instance ID.
3. Google actúa como un pro­ce­sa­dor de datos y como la normativa es para usuarios europeos, los co­n­tro­la­do­res de datos que operan desde estados que no son miembros de la unión , pueden revisar y aceptar estos nuevos términos desde su cuenta.
4. Necesidad de que exista co­n­se­n­ti­mie­n­to explícito. Los usuarios de Google Analytics deben cumplir, a su vez, con las políticas de co­n­se­n­ti­mie­n­to explícito.

Con el nuevo Re­gla­me­n­to General para la Pro­te­c­ción de Datos se endurece el régimen sa­n­cio­na­dor, dispuesto hasta ahora en la Ley de servicios de la sociedad de la in­fo­r­ma­ción y de comercio ele­c­tró­ni­co. En el artículo 77 de la me­n­cio­na­da norma se recoge que:

“todo in­te­re­sa­do tendrá derecho a presentar una re­cla­ma­ción ante una autoridad de control, en pa­r­ti­cu­lar en el Estado miembro en el que tenga su re­si­de­n­cia habitual, lugar de trabajo o lugar de la supuesta in­fra­c­ción, si considera que el tra­ta­mie­n­to de datos pe­r­so­na­les que le co­n­cie­r­nen infringe el presente Re­gla­me­n­to.”

Hasta ahora, muchas empresas co­n­si­guie­ron registros para sus bases de datos a través de tácticas que hoy en día no son legales. Esto supone que si la or­ga­ni­za­ción en cuestión no puede demostrar que dispone del co­n­se­n­ti­mie­n­to expreso del titular de dichos datos puede en­fre­n­tar­se a sanciones y multas mi­llo­na­rias. Por este motivo, muchos usuarios han recibido correos ele­c­tró­ni­cos con los que una empresa en cuestión les solicita que les autoricen ex­pre­sa­me­n­te para seguir usando sus datos de carácter personal.

El artículo 83.2 del RGPD estable los criterios que serán atendidos a la hora de imponer las sanciones co­rre­s­po­n­die­n­tes. Entre otras, se ob­se­r­va­rán las si­guie­n­tes ci­r­cu­n­s­ta­n­cias:

1. La gravedad de la in­fra­c­ción cometida: cantidad de personas afectadas, nivel de daños y pe­r­jui­cios oca­sio­na­dos.
2. In­te­n­cio­na­li­dad o ne­gli­ge­n­cia de la in­fra­c­ción.
3. Medidas adoptadas
4. El grado de re­s­po­n­sa­bi­li­dad del encargado del tra­ta­mie­n­to.
5. In­fra­c­cio­nes an­te­rio­res.
6. La categoría de los datos de carácter personal que se han visto afectados por la in­fra­c­ción.

Las sanciones impuestas por esta nueva norma se dividen en dos grupos: sanciones graves y sanciones muy graves. Las co­n­se­cue­n­cias derivadas del uso de dichos datos por parte de la empresa sin ajustarse a los criterios de legalidad es una multa que puede ascender al 4 % de su fa­c­tu­ra­ción global anual o a 20 millones de euros, de­pe­n­die­n­do de qué opción resulte más gravosa para la empresa in­fra­c­to­ra en cuestión. Así mismo, el re­gla­me­n­to permite a los Estados miembros elaborar normas en materia de sanciones penales por las in­fra­c­cio­nes que se cometan frente al RGPD.

Co­rre­s­po­n­de a los Estados miembros elaborar normas en materia de sanciones penales por las in­fra­c­cio­nes del RGPD. Además las leyes de cada país , deberán regular aspectos que aparecen re­da­c­ta­dos de forma muy genérica en el nuevo re­gla­me­n­to como, por ejemplo, cómo se gradúuan realmente las sanciones, cuándo pre­s­cri­ben, etc.