Si tienes una tienda online, seguramente ya estás lo suficientemente entretenido con tareas como crear un plan de marketing para redes sociales, hacer tu página web o aprender a usar las mejores herramientas de SEO como para meterte en temas complejos como la protección de datos, que probablemente no controles del todo y que no tienen nada que ver con tu negocio.
Por lo tanto, en lugar de escribir un aburrido tratado jurídico que no te va a servir de mucho, vamos a ir al grano y nos vamos a centrar en explicarte en qué consisten tanto el RGPD como la Ley de Protección de Datos, para que sepas cómo pueden afectarte ambas normas al normal transcurrir de tu negocio.
Lo que no debes hacer nunca —cuando se produzca una novedad legal— es seguir la técnica del avestruz, que básicamente consiste en autoengañarse como si nada hubiese cambiado, pasar por completo de la nueva normativa y gestionar tu negocio sin realizar las adaptaciones específicas.
Lo bueno es que ha pasado ya bastante tiempo desde que ambas leyes entraron en vigor. Y, aunque ciertamente todavía hay mucho que aprender sobre el RGPD, ahora tenemos más experiencia y podemos mostrarte cómo cumplir con todos los preceptos, para que no tengas encontronazos desagradables que podrían costarte un dinerito en multas.
En este artículo, por tanto, aprenderemos qué es el Reglamento General de Protección de Datos Personales de la Unión Europea (RGPD) y qué es la Ley Orgánica de Protección de Datos de Carácter Personal. Y no solo eso, ya que te vamos a enseñar asimismo lo que tienes que hacer para cumplir la legislación vigente y cómo puedes beneficiarte de ello para mejorar tu servicio al cliente.
Contenido
- ¿Qué es la Ley de Protección de Datos y qué relación tiene con el RGPD?
- El ámbito de aplicación de estas normas de protección de datos
- ¿Cómo puedo cumplir con el RGPD y con la Ley de Protección de Datos?
- Conclusiones sobre el cumplimiento del RGPD y de la LOPD 2018 para tiendas online
- ¿Quieres saber más?
¿Qué es la Ley de Protección de Datos y qué relación tiene con el RGPD?
La Ley Orgánica de Protección de Datos de 2018 es una norma de “aterrizaje”, que permite que el RGPD se pueda aplicar en España.
Esto sucede así porque el RGPD es un reglamento europeo de obligado cumplimiento en todo el territorio de la Unión Europea. Pero para adaptar ese reglamento a la legislación española, en 2018 se aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
Con el ánimo de simplificar, todo el mundo denomina a esta ley como nueva LOPD o LOPD 2018.
Pero hay que tener en cuenta que el Reglamento General de Protección de Datos se tiene que aplicar en España íntegramente, por lo que la LOPD se promulgó sin contradecir en nada a lo expresado en la norma europea.
Cuál es la verdadera importancia del RGPD
La implementación del Reglamento General de Protección de Datos Personales de la Unión Europea se deriva de la creciente cantidad de datos que se recopilan, transfieren, administran y utilizan en la actualidad.
Imagina, por ejemplo, que comienzas un negocio exitoso de producto gratis más envío. En ese caso, necesitarás como mínimo la dirección a la que enviar los pedidos. Pues entonces ya estarás gestionando un montón de información privada de personas que necesitan que sus datos se custodien correctamente.
Este tema le interesa especialmente a gobiernos y autoridades, por lo que muchos países han legislado sobre ello. De hecho, Estados Unidos ya contaba con una Directiva de Protección de Datos, aunque se ha quedado bastante desactualizada, porque esta fue promulgada en 1995, por lo que no es totalmente aplicable a la era digital.
En Europa esta cuestión también preocupa mucho, así que el RGPD se ha redactado como una norma que otorgue la protección adecuada de los datos de los ciudadanos de la Unión Europea. Según el nuevo Reglamento General de Protección de Datos promulgado por la Unión Europea, las organizaciones están obligadas a cumplir con el uso responsable de datos en toda actividad de recopilación, con el fin primordial de proteger los derechos y la privacidad de los usuarios.
El Reglamento General de Protección de Datos Personales les asigna esta responsabilidad a las empresas, que serán las encargadas de explicar a los ciudadanos de la Unión Europea cómo y por qué se recopila y procesa su información personal.
Además de esto, el RGPD también les otorga el derecho de decidir cómo quieren que se use esta información.
Si tú ya tenías un negocio de comercio electrónico cuando entró en vigor el RGPD, probablemente has hecho tu parte para cumplir con los nuevos preceptos, puesto que el reglamento se publicó en 2016. Pero si estás pensando en emprender un negocio rentable, sabemos que este tema puede traerte algún que otro quebradero de cabeza.
Desde luego, no vamos a decirte que es fácil: cumplir con el RGPD requiere un poco de esfuerzo por tu parte. Pero sí que te diremos que es extremadamente importante que te lo tomes en serio cuanto antes y que tomes las medidas oportunas para su cumplimiento.
De no hacerlo así, seguro que terminarás encontrándote con problemas. Porque, según datos de la Comisión Europea, solo en el primer año desde la publicación del RGPD, hubo aproximadamente 94.000 quejas y 14.146 reclamaciones.
Ten presente que el incumplimiento del RGPD puede derivar en multas y sanciones bastante fuertes, ¡que pueden llegar a alcanzar hasta el 4 por ciento del rendimiento anual de una empresa!
Como ejemplo de esto, te diré que British Airways fue sancionada con más de 213 millones de euros: la multa del RGPD más alta hasta la fecha.
¿Y qué tiene que ver en todo esto la Ley Orgánica de Protección de Datos de Carácter Personal?
Seguramente no termines de entender cuál es el papel de la Ley Orgánica de Protección de Datos.
Partiendo de la base de que el RGPD tiene que aplicarse en España directamente, nuestra legislación establece la obligación de adaptar estas normas europeas mediante leyes nacionales.
Por lo tanto, para que el Reglamento Europeo de Protección de Datos sea de aplicación en España, tiene que “aterrizar” en nuestra legislación a través de una ley española. Pero esa ley no puede contradecir en nada al RGPD europeo, con lo que los legisladores están obligados a redactar una ley nacional en consonancia absoluta con la norma europea.
De hecho, la ley española tan solo amplía algunos supuestos o aclara algunos aspectos concretos, que el Reglamento ya preveía que debían ser legislados en las normativas de cada país (como, por ejemplo, la edad en la que un ciudadano es responsable para consentir que una empresa pueda procesar sus datos personales).
El ámbito de aplicación de estas normas de protección de datos
Ya sabemos que al leer este epígrafe estarás pensando: y a mí qué me importan las leyes europeas y españolas, si yo soy nómada digital y vivo en una idílica playa de Bali. El problema es que, independientemente de dónde se encuentre tu negocio, el nuevo Reglamento General de Protección de Datos de la Unión Europea es de obligado cumplimiento para todas las empresas que ofrecen productos o servicios a los consumidores en Europa.
No importa si la compañía está en Europa, en América o en alguna isla del Mar de Java. Tampoco es relevante si vendes productos chinos novedosos o si empiezas un negocio de dropshipping. Mientras los servicios o productos se ofrezcan a clientes residentes en Europa, debes cumplir la ley de todas todas.
Entonces, si tu tienda online vende productos en Europa, tienes que cumplir con el RGPD (y con la LOPD, si estás vendiendo en España).
El cumplimiento del RGPD, por tanto, no es simplemente para las empresas europeas que venden productos a clientes europeos. Abarca cualquier interacción que se pueda llevar a cabo con clientes en Europa, lo cual hace que el ámbito de aplicación se extienda todavía más.
Incluso es posible que tú no le vendas nada directamente a un cliente español. Pero si se ha suscrito a tu newsletter, ya te ha proporcionado como mínimo su nombre y su dirección de email, así que tendrás que cumplir con el Reglamento Europeo de Protección de Datos y, por ende, con la Ley de Protección de Datos de 2018, a la hora de gestionar la información personal que te ha dado.
¿Cómo puedo cumplir con el RGPD y con la Ley de Protección de Datos?
El RGPD afecta a empresas de todos los tamaños: desde 1 hasta 10.000 empleados, si una empresa maneja datos sobre usuarios europeos, entonces se aplica el RGPD. Y si son de España, la norma de referencia será la Ley Orgánica de Protección de Datos de 2018.
Como es bastante más probable que —salvo las tiendas online más exitosas e inspiradoras— tu negocio tenga un solo empleado, es fundamental comprender cómo el RGPD distingue entre grandes y pequeñas empresas.
De hecho, el nuevo Reglamento General de Protección de Datos de la Unión Europea no considera de la misma manera a las empresas pequeñas que a las grandes. Por ejemplo, algunos requisitos de mantenimiento de registros en el RGPD se aplican solo a empresas con más de 250 empleados.
Cuando leas algo así como: “es esencial planificar tu enfoque para el cumplimiento del RGPD y obtener la aceptación de las personas clave de tu organización”, puedes relajarte. Si eres dueño de una tienda online, entonces las figuras denominadas por la ley como “personas clave” y “organización” probablemente recaerán en ti mismo. En ese caso, el RGPD es un poco más sencillo de aplicar.
Pero, ¡ojo!: existen varios requisitos del RGPD que se aplican a todos por igual. Así que vamos a conocerlos.
Los 7 principios básicos que hay que cumplir en la protección de datos, según el RGPD
Toda la gestión de datos de una empresa en Europa debe regirse por estos principios fundamentales:
- Licitud, lealtad y transparencia: si en tu tienda online solicitas determinada información, es porque realmente la vas a usar para algo específico. Y tus clientes deben conocer para qué vas a usar esos datos.
- Propósito delimitado: el uso de los datos recopilados más allá de su propósito específico se considerará como una infracción. En pocas palabras, si el usuario acepta darte su correo electrónico para que puedas hacer email marketing o enviarle boletines informativos, esta información no debe utilizarse de ninguna otra manera, ni siquiera para “fines estadísticos”.
- Minimización de datos: los datos recopilados deben mantenerse al mínimo y solo para lo que sean necesarios. Específicamente, deben estar “relacionados con los fines para los que se procesan”. Si solicitas más datos de los realmente necesarios para tu propósito, probablemente terminarás recibiendo una sanción.
- Precisión: la información que recopiles debe estar actualizada. Esto implica también que debes hacer el esfuerzo para garantizar que los datos que recopiles se mantengan continuamente actualizados. Por lo tanto, debes revisarlos y actualizarlos de forma regular. Y aquellos que se consideren «inexactos» deberán eliminarse inmediatamente.
- Almacenamiento limitado: elimina los datos que ya no necesitas, a menos que tengas razones legítimas y legales para conservarlos. Si decides almacenar datos, debes determinar durante cuánto tiempo se van a guardar y para qué.
- Integridad y confidencialidad: debes tener las medidas de seguridad —a nivel técnico— adecuadas para evitar el robo y la pérdida de datos, ya sea desde un punto de vista interno o externo.
- Responsabilidad: debes poder demostrar los pasos que tomaste para cumplir con el RGPD. Eso significa que debes disponer de registros claros de lo que hiciste y cuándo lo hiciste, si has contratado a un especialista en protección de datos, si estás revisando tus datos de manera regular y, en general, si cumples con el RGPD y la Ley de Protección de Datos, y cómo lo haces.
Medidas concretas para cumplir con el RGPD y con la Ley Orgánica de Protección de Datos
Es posible que te sientas algo abrumado con todo lo que estás leyendo.
Salvo que seas abogado, los temas jurídicos suelen ser áridos y desagradables. Pero, aunque no te gusten, ya sabes que el desconocimiento de la ley no exime de su cumplimiento.
Así que fíjate bien en los siguientes consejos, para que puedas cumplir con la normativa europea y española:
- Crea un registro de actividades del tratamiento: el RAT no es más que un documento interno en el que debes explicar todos los tratamientos de datos que haces junto con las medidas de seguridad que has implementado para garantizar la custodia de los mismos. Por eso es bueno que tengas preparado un modelo de documento de protección de datos para este tipo de situaciones.
- Fija protocolos de tratamiento de datos: debes configurar un procedimiento que te permita responder a cualquier requerimiento relacionado con la información personal que almacenas, así como el sistema para que cualquier interesado pueda garantizar sus derechos básicos consistentes en acceder, rectificar, limitar, oponerse o eliminar sus datos, cuando así lo exprese.
- Genera un protocolo de emergencia en caso de brechas de seguridad: también debes crear un protocolo que te permita responder con rapidez y eficacia ante una brecha de seguridad. En este protocolo debes disponer de un modelo de documento de protección de datos que te sirva para comunicar a los interesados que se ha producido una brecha. Además, también debes tener preparado otro modelo diferente para notificar la incidencia a la Agencia de Protección de Datos.
- Comunica los protocolos a tus trabajadores: también te conviene redactar documentos informativos dirigidos a todas las personas de tu negocio online —que tratan con datos personales— en el que figuren las obligaciones y derechos incluidos emanados de la RGPD y de la Ley de Protección de Datos. De lo que se trata es de que tus empleados conozcan y cumplan con todos los preceptos de ambas normas.
- Relaciones con terceros que usan los datos que tú recopilas: tanto la LOPD de 2018 como el Reglamento General de Protección de Datos hablan en su articulado de que solo debes trabajar con empresas que ofrezcan las máximas garantías. Esto quiere decir que a la hora de contratar una gestoría online que pueda acceder a los datos de tus clientes, a la hora de elegir proveedores de dropshipping (que tendrán acceso a los datos de tus clientes) o de seleccionar una empresa de mensajería (que se encargue de repartir tus pedidos), debes asegurarte de que cumplen con todos los protocolos fijados en cumplimiento de la Ley de Protección de Datos.
- Incluye cláusulas informativas en los formularios: en cualquier parte de tu tienda online en la que recopiles datos de carácter personal tienes que incluir una cláusula de protección de datos en la que informes sobre cómo es el tratamiento de los datos que recabas. Y recuerda que la casilla no debe aparecer marcada por defecto, pues esto supondría un problema para demostrar que existe consentimiento por parte de la persona que te cede sus datos. Esa es la razón de que todos los formularios que recogen datos incluyan una casilla de confirmación que debe marcar el interesado, declarando que se le ha informado y que está de acuerdo con ello.
- Adapta tu negocio de comercio electrónico a la normativa del RGPD y de la LOPD 2018: en la web en la que vendes tus productos deben figurar unos elementos imprescindibles como son la política de privacidad, el aviso legal, la política de cookies, y la información de tratamiento de datos visible en todos los formularios.
Datos especialmente protegidos por el Reglamento Europeo de Protección de Datos y por la Ley Orgánica de Protección de Datos
Las dos legislaciones están muy preocupadas por la privacidad y la intimidad de los ciudadanos. Por ese motivo, ambos textos legales establecen una protección especial de determinados datos de carácter sensible.
La LOPD y el RGPD consideran los siguientes datos como especialmente protegidos:
- Datos relacionados con la ideología.
- Datos sobre la religión que profesan los ciudadanos.
- Información sobre las creencias.
- Datos sobre la raza de las personas.
- Informes e historiales sanitarios relacionados con el estado de salud de las personas.
- Orientación sexual de los ciudadanos.
- Historial penal o de infracciones administrativas.
- Datos genéticos.
- Datos biométricos.
- Información sobre la vida sexual de las personas.
Lo más razonable sería que evitases recopilar ese tipo de datos, ya que no son necesarios para crear una tienda de dropshipping. Pero si no te queda más remedio, recuerda que las dos normas exigen que esos datos se anonimicen (usando pseudónimos).
Además, es obligatorio que los datos estén cifrados y que se recabe un consentimiento explícito y único de cada persona, exclusivamente para esa finalidad.
Por último, también es necesario que redactes un informe sobre el impacto en la privacidad de las personas que supone la recogida de ese tipo de datos.
Conclusiones sobre el cumplimiento del RGPD y de la LOPD 2018 para tiendas online
Entonces, ¿qué significa cumplir con el RGPD y con la Ley de Protección de Datos en tu tienda online?:
- Son de aplicación para cualquier empresa que interactúe con consumidores en Europa, o que podrían interactuar con los europeos, sin importar dónde se encuentren estas empresas.
- El cumplimiento de estas normas es un poco más simple para las pequeñas empresas.
- Para cumplir con la Ley Orgánica de Protección de Datos y con el RGPD debes asegurarte de que tus términos y condiciones sean claros. Para ello, debes eliminar las casillas marcadas previamente y respetar la privacidad de tus clientes y clientes potenciales.
- Tu tienda online puede aprovechar el RGPD. La privacidad de datos es un gran problema en Europa, por lo que si tomas medidas para cumplir con el RGPD, puedes informar a todos tus compradores europeos al respecto y añadir un plus de confianza a tu negocio.
Las herramientas y canales que uses en tu tienda online deben cumplir con el RGPD y con la nueva Ley de Protección de Datos de 2018, por lo que si tienes alguna duda sobre este tema puedes contactar con nosotros y expresarnos tus dudas en los comentarios de más abajo.