El RGPD, crucial para el e-commerce

La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de datos personales. Cada vez, las personas difunden un volumen mayor de información personal a escala mundial. La tecnología permite ahora que tanto empresas como autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades.Ante este panorama, y con el objetivo de “facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales”, la Unión Europea aprobaba hace dos años el Reglamento General de Protección de Datos (RGPD), que entró finalmente en vigor el pasado 25 de mayo.Como señalaba la directora general de PONS IP, Nuria Marcos, en una reciente entrevista, “el reglamento introduce mayor seguridad jurídica para todos los ciudadanos europeos y sus datos personales”. Se trata de una norma de aplicación directa en toda la Unión Europea, y también, un aspecto novedoso, a aquellas empresas establecidas fuera de la Unión  que ofrezcan sus servicios o productos a través de internet a los ciudadanos europeos.EL RGPD establece una serie de requisitos de obligado cumplimiento, cuyo objetivo es intensificar la transparencia, la claridad y la accesibilidad relativa a la información que debe suministrarse al interesado respecto al tratamiento de la información personal que le concierne. Un cumplimiento que es crucial para las empresas que realizan e-commerce, pues la transparencia y ética en el uso de la información otorgan confianza y valor añadido a los consumidores.  De esta manera, la empresa sabrá lo que el cliente quiere recibir y el cliente sabrá si ha dado permiso para recibirlo ya que tendrá más control de sus datos.Así, el Reglamento establece el deber de informar a los usuarios sobre el tratamiento de sus datos y exige que las empresas lo hagan con una información concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. De este modo deben estar redactados el aviso legal, la política de cookies y la política de privacidad de toda web de e-commerce.Entre los nuevos contenidos que las empresas deben facilitar a los usuarios están explicar la base legal para el tratamiento de los datos, indicar quién es el responsable del tratamiento y cuánto tiempo conservará la empresa los datos, quién puede tener acceso a ellos, qué medidas de seguridad se han adoptado para evitar su uso indebido. También debe proporcionarse el contacto del Delegado de Protección de Datos (para el caso de que la empresa tenga obligación de designarlo), e informar sobre el derecho que asiste a los usuarios a dirigir sus reclamaciones a las autoridades de protección de datos.Con la nueva normativa el consentimiento de los usuarios al tratamiento de sus datos personales debe ser libre, informado, específico e inequívoco. Esto se aplica, entre otros casos, a los formularios de registro como usuario de una tienda online o las suscripciones a sus newsletters, en caso de ofrecerlas. Se entenderá que el consentimiento es inequívoco cuando el usuario realice una acción afirmativa para consentir el tratamiento de sus datos personales (por ejemplo, haciendo click en una casilla no marcada por defecto).

Nuevos derechos para el consumidor

Además de los derechos ARCO (Acceso, Rectificación, Supresión y Oposición) que establecía la Ley Orgánica de Protección de Datos (LOPD), el Reglamento introduce nuevos derechos: el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de los datos, incluida la elaboración de perfiles. Esto último se refiere a decisiones sin intervención humana, por ejemplo la definición de determinados hábitos de compra online, en función de comportamientos previos (el denominado Marketing Automation para las e-commerce).

Evaluación de riesgos y notificación de incidencias

Otra de las novedades del RGPD  es que los responsables del tratamiento deberán realizar una evaluación de riesgos antes de iniciar los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los interesados.Asimismo, las compañías también tendrán la obligación de notificar a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas cualquier incidencia de seguridad que suponga un riesgo para los derechos y libertades de los usuarios.Otro aspecto que deben tener en cuenta los e-commerce es que deberán firmar un contrato de encargo de tratamiento con aquellas compañías con las que compartan los datos personales de sus clientes. Se aplica, por ejemplo, a la empresa de hosting que almacena los datos personales de los clientes de la tienda online o la empresa de logística que les entregará los productos en su domicilio, sin importar el país en que estén radicados.   A través de este contrato, el encargado de tratamiento se compromete a utilizar los datos personales conforme las finalidades que el e-commerce indique y a no aplicarlos con un fin distinto.En definitiva, “se trata de ir adaptándonos a trabajar una manera distinta, recabando autorizaciones y consentimientos y teniendo en nuestra casa bien organizado el tratamiento de todos esos datos personales, informando a los usuarios qué vamos a hacer con sus datos, etc”, indicaba Marcos.Si no lo hacemos corremos el riesgo de fuertes multas. Y es que el Reglamento General de Protección de Datos aumenta considerablemente las sanciones que preveía la LOPD. De hecho, el incumplimiento de la norma puede acarrear sanciones de hasta 20 millones de euros o el 4% del volumen de negocios total anual.