La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) o, más coloquialmente, la Ley de Protección de Datos, es una norma española que nos afecta a todos (como personas físicas) en lo que concierne al tratamiento y transmisión de nuestros datos personales, una ley hecha para proteger nuestra intimidad y privacidad.
Como tal ley hay que cumplirla siempre que se recaben y almacenen datos personales, lo que es el caso en una tienda online. Sin embargo, al momento de empezar con un ecommerce propio no siempre tiene un muy claro qué tiene que hacer para cumplirla, así que vamos a dar un repaso a lo que hace falta para cumplir la Ley de Protección de Datos en una tienda online.
Tabla de contenidos
Antes de empezar
A modo de disclaimer, vaya por delante que no soy experto en derecho digital, ni en derecho de ningún otro tipo, ni siquiera analógico. 😉
Sin embargo es un tema del que me he informado ampliamente con gente que sí es experta en estos temas, ya que mis clientes a menudo me consultan a mí, y además he tenido que pasar por el trámite personalmente varias veces, debido a diversas webs.
Por ejemplo y sin ir más lejos aquí mismo (un poco más abajo verás el formulario) puedes dejar tu nombre y tu dirección de correo electrónico para recibir notificaciones por email acerca de las publicaciones en este blog y (muy de vez en cuando) sobre alguno de mis servicios. Eso es recabar datos personales, que mantengo en un registro (en este caso con WordPress y MailPoet), por lo que debe estar (y está) registrado en la Agencia de Protección de Datos.
Mi consejo (personal y profesional) es que hagas las cosas bien. Tanto por la satisfacción de tenerlas bien hechas, como por la tranquilidad de saber que no te vas a llevar una sanción por parte de la AGPD (que no son pequeñas). Y, al fin y al cabo, no es tan difícil como verás a continuación.
Por cierto, que como puedes ver en mis servicios, todas las webs que realizo, sean tiendas online, sitios corporativos o de cualquier otro tipo, las entrego con todos los requerimientos técnicos para cumplir tanto la LOPD el RGPD como la LSSI (“Ley de cookies”).
A partir de mayo de 2018 pasa a ser de obligado cumplimiento el Reglamento General de Protección de Datos, que endurece la legislación actual añadiendo nuevas obligaciones, como la implementación del derecho al olvido, y endureciendo otras ya existentes, como la obligatoriedad del consentimiento expreso en todos y cada uno de los formularios de la web en los que se soliciten datos (incluyendo los formularios de comentarios y de valoraciones).
Puedes leer algo más sobre el tema y aprender a adaptar tu web a estos nuevos requisitos en:
Obligaciones que impone la Ley de Protección de Datos
La LOPD impone varias obligaciones a todo aquel que recabe, maneje y almacene datos de carácter personal, así que una tienda online siempre tendrá que cumplirla, ya que siempre que es haya hecho al menos una venta tendrá datos de clientes.
Si creías que todo empieza y termina en cumplir con el trámite de publicar una página con la política de privacidad y añadir una casilla de aceptación en los formularios, estás muy lejos de cumplir con la LOPD. Tus obligaciones van un poco más allá:
Como ves, la mayoría de ellas son cosas de sentido común que simplemente regulan la responsabilidad que uno adquiere (o debería adquirir) a la hora de tratar datos privados o personales. Cosas como obtener el consentimiento, mantener la calidad de los datos o garantizar la seguridad de los ficheros son de cajón, y no necesitan más explicación.
Registrar el fichero de datos
Sin embargo de las varias obligaciones que establece esta ley la que más dudas suele despertar es la del registro del fichero en la Agencia Española de Protección de Datos. Es un trámite sencillo, pero claro, cuando uno se enfrenta a ello la primera vez siempre parece complicado, máxime cuando no se cuenta con toda la información.
Además de sencillo, el trámite es bastante indoloro, por así decirlo. Puedes hacerlo a través del sistema NOTA para comunicaciones telemáticas a la AGPD y simplemente tendrás que rellenar el formulario y firmarlo digitalmente.
Si no cuentas con un certificado digital, además tendrás que imprimirlo, firmarlo y remitirlo a la Agencia de Protección de Datos por fax o por correo ordinario. Aquí tienes las señas:
Agencia Española de Protección de Datos
C/ Jorge Juan, 6
28001 Madrid
Fax 914452529
Una vez hecho esto recibirás una notificación en el plazo de unas semanas con la resolución y, si no ha habido ningún problema y ésta es favorable, con el código de inscripción.
Datos del formulario
¿Y qué datos te pedirán en ese formulario? Pues en general es todo bastante sencillo. En primer lugar hay que identificar al responsable del fichero (que normalmente serás tú) y el encargado de su tratamiento.
¿Y quién es el encargado del tratamiento? Pues la persona que se va a hacer cargo de tratar los datos, ni más ni menos. Si tú tienes un comercio electrónico tú eres el responsable del fichero, pero si resulta que sólo te encargas (por ejemplo) de buscar los proveedores y comprar el producto, y tienes delegada la gestión de los pedidos y la administración electrónica en otra persona, esta otra persona será la encargada del tratamiento de los datos, y como tal ha de ser identificada.
Pero ojo, que también puede ser encargada del tratamiento la gestoría que te lleve la contabilidad o la plataforma de email marketing en la que almacenes los emails. Como ves, la expresión encargado del tratamiento es bastante amplia. En general, cualquier persona o entidad que guarde o trate los datos por cuenta del responsable del fichero.
Las transferencias internacionales, el acuerdo Safe Harbor y el Privacy Shield
Y aquí llegamos al espinoso asunto de las empresas que tratan los datos y que están fuera de la Unión Europea, y por lo tanto no están obligadas a cumplir sus directrices y normas en cuanto al tratamiento de dichos datos.
Porque cabe la posibilidad de que tengas contratado el hosting en una empresa que tengas los servidores en, pongamos por caso, Estados Unidos, y ellos hagan copias de seguridad de tu base de datos (que contiene los datos de tus clientes). O que guardes un listado de correos electrónicos para hacer email marketing en tu cuenta de Mailchimp. ¿Qué ocurre en estos casos?
Hasta no hace mucho, la Unión Europea tenía un acuerdo con diversos países denominado Safe Harbor o Puerto Seguro, según el cual las empresas de estos países podían guardar datos personales de ciudadanos europeos si se adherían voluntariamente al acuerdo, comprometiéndose a cumplir con las normativas europeas en materia de protección de datos.
En estos casos bastaba con identificar la transferencia de los datos y la empresa que se responsabilizaba de su tratamiento (apartado Transferencias internacionales del formulario de inscripción), y todos tan amigos.
Sin embargo la justicia europea tumbó el acuerdo, ya que consideraba que no había garantías suficientes, con lo que el asunto de los datos en servidores extranjeros quedó en una especie de “limbo legal”.
A mediados de este año (2016) entró en vigor un nuevo acuerdo llamado Privacy Shield, que básicamente consiste en lo mismo que Safe Harbor pero con más garantías.
¿Moraleja de todo el asunto? Las transferencias internacionales de datos pueden traer problemas. Elige un hosting y una plataforma de email marketing españoles o, en su defecto, europeos, y olvídate de historias.
Adaptar los formularios de recopilación de datos
El otro tema espinoso es el de la información y el consentimiento. El usuario debe estar informado de qué vamos a hacer con sus datos (es decir, cómo los vamos a tratar y quién va a tener acceso a ellos) y debe prestar su consentimiento para ello.
Técnicamente esto se resuelve con la consabida página en la que debes informar acerca de la política de privacidad de tu tienda online (es obligatoria que la tengas, y que informe de forma real de lo que pasará con los datos, no vale un copipega cogido de por ahí) y con la casilla en la que el usuario asegura haberla leído y la acepta.
En cuanto a los formularios para recopilar emails, se puede resolver con el llamado doble opt-in (el usuario recibe un email para que confirme que efectivamente quiere pasar a formar parte de la base de datos), algo que implementa cualquier plataforma de email marketing.
Vídeo: formulario de contacto adaptado a la LOPD en WordPress
Y la LOPD debe cumplirse no sólo en el checkout de la tienda, sino en cualquier formulario que recoja datos del usuario, incluyendo el formulario de contacto. Aquí te dejo un vídeo para que puedas ver cómo adaptar tu formulario de contacto a la Ley de Protección de Datos en WordPress usando Contact Form 7.
