RGPD en el comercio electrónico: cómo una empresa puede hacer que su tienda en línea cumpla con la normativa legal

Checkout
Checkout

Stripe Checkout es un formulario de pago prediseñado y optimizado para la conversión. Integra Checkout en tu sitio web o dirige a tus clientes a una página alojada en Stripe para aceptar suscripciones y pagos únicos de manera fácil y segura.

Más información 
  1. Introducción
  2. ¿Por qué se estableció el RGPD?
  3. ¿Cuáles son las disposiciones clave del RGPD?
    1. Principios del tratamiento de datos
    2. Licitud del tratamiento
    3. Derechos de los interesados
    4. Responsabilidades del responsable del tratamiento
  4. ¿Cuál es la importancia del RGPD en el comercio electrónico?
  5. ¿Qué requisitos deben cumplir las empresas de comercio electrónico para adecuarse a las normativas del RGPD?
    1. Política de privacidad
    2. Política de utilización de cookies
    3. Medidas técnicas y organizativas
    4. Consentimiento para ofertas publicitarias e informativas
    5. Acuerdos sobre el procesamiento de datos
    6. Nombramiento de delegados de protección de datos
  6. ¿A qué sanciones se enfrentan las empresas si no cumplen con el RGPD?

Desde 2018, el Reglamento General de Protección de Datos (RGPD) ha regulado todos los aspectos de la protección de datos en Europa y a nivel nacional. En particular, las empresas de comercio electrónico que operan una tienda en línea deben asegurarse de cumplir con numerosos requisitos al procesar datos personales.

En este artículo, aprenderás por qué se estableció el RGPD, cuáles son las principales disposiciones del reglamento y qué significa para las empresas de comercio electrónico. También explicamos los requisitos que deben cumplir las empresas para adecuarse al RGPD y las sanciones que pueden aplicarse si no lo hacen.

¿Qué contiene este artículo?

  • ¿Por qué se estableció el RGPD?
  • ¿Cuáles son las principales disposiciones del RGPD?
  • ¿Cuál es la importancia del RGPD en el comercio electrónico?
  • ¿Qué requisitos deben cumplir las empresas de comercio electrónico para adecuarse a las normativas del RGPD?
  • ¿A qué sanciones se enfrentan las empresas si no cumplen con el RGPD?

¿Por qué se estableció el RGPD?

El RGPD se estableció para estandarizar la protección de datos en la Unión Europea (UE) y para mejorar la protección de los datos personales en un mundo cada vez más digital. Antes del RGPD, los Estados miembros de la UE tenían diferentes leyes de protección de datos. Esto dio lugar a diferencias significativas en el nivel de protección y supuso un reto para las empresas que operan en varios países. El RGPD establece un marco jurídico único que se aplica a todos los países de la UE.

El objetivo principal del RGPD es proteger a las personas en relación con el tratamiento de datos personales. El reglamento pretende promover la confianza de los ciudadanos en el tratamiento de sus datos. El RGPD permite a las empresas de la UE operar de manera más eficiente porque pueden adherirse a estándares uniformes de protección de datos.

En Alemania, la protección de datos estaba regulada por la Ley Federal de Protección de Datos (BDSG) hasta la incorporación del RGPD. Esta ley ha sido adaptada y se considera un complemento del RGPD, especialmente en áreas en las que el RGPD deja cierta discreción a los Estados miembros.

¿Cuáles son las disposiciones clave del RGPD?

El RGPD contiene varias disposiciones clave en 11 capítulos y 99 artículos. A continuación, presentamos un resumen de las más importantes:

Principios del tratamiento de datos

El artículo 5 del RGPD regula los principios para el tratamiento de datos personales. Entre otros requisitos, los datos deben cumplir con lo siguiente:

  • Ser tratados de forma lícita y transparente para el interesado.
  • Ser recopilados y procesados para fines específicos, explícitos y legítimos.
  • Ser procesados solo en la medida necesaria para el propósito respectivo.
  • Estar actualizados y ser correctos.
  • Ser eliminados si ya no son necesarios para el propósito del procesamiento.
  • Estar protegidos por medidas técnicas y organizativas para evitar el acceso no autorizado, la pérdida o la destrucción.

Licitud del tratamiento

El artículo 6 del RGPD estipula que los datos solo se pueden procesar si corresponde una de las siguientes bases legales:

  • El consentimiento del interesado.
  • Un contrato con el interesado.
  • El tratamiento es necesario para cumplir con una obligación legal.
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público.
  • El tratamiento es necesario para salvaguardar los intereses legítimos del responsable del tratamiento o de un tercero, salvo que prevalezcan los intereses o derechos fundamentales del interesado.

Derechos de los interesados

El capítulo 3 del RGPD regula los distintos derechos de los titulares de datos en relación con el tratamiento de sus datos.

  • Los titulares de datos tienen derecho a saber qué datos personales se almacenan sobre ellos, cómo se procesan y con quién se comparten (artículo 15 del RGPD).
  • Los datos personales incorrectos o incompletos deben corregirse a petición del titular de datos (artículo 16 del RGPD).
  • Los titulares de datos pueden, en determinadas condiciones, solicitar la eliminación de sus datos artículo 17 del RGPD).
  • Los titulares de datos tienen derecho a recibir sus datos del responsable del tratamiento en un formato estructurado, común y legible por máquina artículo 20 del RGPD).
  • Los titulares de datos pueden oponerse al tratamiento de sus datos por determinados motivos, en particular el tratamiento con fines de marketing directo artículo 21 del RGPD).

Responsabilidades del responsable del tratamiento

En el capítulo 4, se enumeran las obligaciones de los responsables y encargados del tratamiento. Entre ellas se encuentran las siguientes obligaciones:

  • Los responsables del tratamiento deben asegurarse de que quienes tratan datos personales en su nombre también cumplan los requisitos del RGPD (artículo 28 del RGPD).
  • Las violaciones de la seguridad de datos deben ser comunicadas por los responsables a la autoridad de control competente en un plazo de 72 horas si suponen un riesgo para los derechos y las libertades de las personas físicas (artículo 33 del RGPD).
  • En el caso de determinados tipos de tratamiento de datos que supongan un alto riesgo para los derechos y las libertades de los titulares de datos, los responsables del tratamiento deben llevar a cabo una evaluación de impacto de la protección de datos artículo 35 del RGPD).

¿Cuál es la importancia del RGPD en el comercio electrónico?

El RGPD es fundamental para las empresas de comercio electrónico porque procesan grandes cantidades de datos personales. La información del cliente, como el nombre, la dirección, los detalles de pago y el historial de pedidos, es esencial para el funcionamiento de una tienda en línea. Esto significa que el RGPD tiene un impacto significativo en el diseño y el marco legal de los modelos de empresas de comercio electrónico.

El tratamiento negligente de los datos personales en las tiendas en línea puede dar lugar a una violación de la protección de datos, lo que genera disputas legales, sanciones reglamentarias y daños a la imagen de la empresa. Por ello, los operadores de tiendas en línea, en particular, deben estar familiarizados con el RGPD y las obligaciones que impone.

Por ejemplo, una empresa no puede recopilar un número de teléfono si no es necesario para realizar pedidos y entregas. Solo se pueden recopilar los datos necesarios para la entrega y el pago de los productos solicitados.

Del mismo modo, la información de marketing, como las direcciones de correo electrónico para boletines informativos, solo puede recopilarse y utilizarse con el consentimiento expreso del cliente. La información de la tarjeta de crédito también debe almacenarse solo durante el tiempo que sea necesario para completar el proceso de pago. Solo se puede recopilar información como la fecha de nacimiento si es necesaria para la verificación de la edad, por ejemplo, cuando se venden productos con restricción de edad. Obtén más información sobre pagos de comercio electrónico.

¿Qué requisitos deben cumplir las empresas de comercio electrónico para adecuarse a las normativas del RGPD?

Para adecuarse a las normativas del RGPD, las empresas de comercio electrónico deben cumplir una serie de requisitos. Estos se derivan en gran medida de los derechos de los titulares de datos antes mencionados (capítulo 3 del RGPD) y de las obligaciones de los responsables del tratamiento (capítulo 4 del RGPD).

Política de privacidad

Las empresas de comercio electrónico deben proporcionar una política de privacidad integral. Esta debe explicar de forma transparente y exhaustiva qué datos personales se recopilan, con qué finalidad, cómo se procesan los datos y qué derechos tienen los titulares de datos. La política de privacidad debe ser fácil de encontrar (por ejemplo, en el pie de página del sitio web o como un enlace directo al acceder a la página). El artículo 13 del RGPD enumera toda la información requerida en una declaración de protección de datos que cumpla con el RGPD. Entre ellas se encuentran las siguientes:

  • El nombre y los datos de contacto del responsable del tratamiento de los datos.
  • Cuando corresponda, el nombre y los datos de contacto del delegado de protección de datos.
  • La base jurídica y los fines del tratamiento de los datos personales.
  • Una indicación de los intereses legítimos del responsable del tratamiento si el tratamiento de datos se basa en ellos (véase el artículo 1(1)(f) del RGPD).
  • Los destinatarios de los datos personales en caso de divulgación.
  • La duración del almacenamiento de los datos personales.
  • Los derechos de los titulares de datos, incluidos los derechos de acceso, rectificación, supresión, oposición, revocación y limitación del tratamiento.
  • La descripción de las consecuencias de no facilitar los datos personales.

Política de utilización de cookies

El tratamiento de datos personales que no sean necesarios para la ejecución del contrato requiere el consentimiento informado del usuario. Esto corresponde en particular al uso de cookies, que son archivos de texto que se almacenan temporalmente en el navegador del usuario. Las cookies técnicamente necesarias se utilizan, por ejemplo, para mostrar el idioma apropiado del sitio web para el usuario o para almacenar el contenido del carrito de compras.

Las cookies son esenciales para el correcto funcionamiento de los sitios web y se utilizan para crear perfiles de usuario para publicidad personalizada. Esto puede ser crítico en algunos casos porque se almacenan datos estadísticos y personales. Por esta razón, los usuarios deben tener la oportunidad de dar su consentimiento para el almacenamiento y procesamiento de cookies. Un simple «banner de cookies» es suficiente solo si ofrece la opción de rechazar o ajustar la configuración de cookies.

Medidas técnicas y organizativas

Para proteger los datos personales del acceso de terceros, entre otras cosas, las tiendas en línea deben tomar precauciones técnicas de seguridad. Entre ellas se encuentra el cifrado de la transmisión de datos, por ejemplo, a través del protocolo de transferencia de hipertexto seguro (HTTPS) (artículo 32 del RGPD). Esto requiere un certificado de capa de conexión segura (SSL) o de seguridad en la capa de transporte (TLS). Las tiendas en línea también deben garantizar que los datos personales se almacenen de forma segura (por ejemplo, en bases de datos cifradas). Las copias de seguridad de los datos también son obligatorias.

Consentimiento para ofertas publicitarias e informativas

Las direcciones de correo electrónico de los clientes no se pueden utilizar automáticamente para enviar boletines informativos, publicidad u ofertas informativas. Para ello, se requiere el consentimiento activo de los clientes. Con la entrada en vigor del RGPD, se exige el procedimiento de doble consentimiento basado en el artículo 7 y el artículo 8 del reglamento. «Consentimiento» se puede traducir libremente como «decidir algo» o «elegir». El doble consentimiento requiere que los clientes confirmen dos veces. Primero hay que preguntarles si les gustaría recibir un boletín, por ejemplo. Si esto se confirma mediante el registro y la transmisión asociada de la dirección de correo electrónico, hay un segundo paso: las empresas deben enviar un enlace de confirmación en el que se debe hacer clic para activar la oferta.

Acuerdos sobre el procesamiento de datos

Si los proveedores de servicios externos procesan datos personales de una tienda en línea, se deben celebrar acuerdos de procesamiento de datos. Este es el requisito obligatorio para la transferencia de datos a terceros. Los acuerdos de protección de datos garantizan que los terceros también cumplan con el RGPD. Los proveedores de servicios típicos para las tiendas en línea son los proveedores de servicios de pago o los proveedores de servicios en la nube y soluciones de software como servicio (SaaS).

Aquí es donde Stripe Checkout puede ayudarte: un formulario de pago listo para usar que permita un proceso de pago sin problemas. Checkout puede integrarse en tu sitio web o redirigir a los clientes a una página alojada por Stripe. Allí, los pagos o las suscripciones se pueden aceptar de forma fácil, segura y de conformidad con el RGPD.

Nombramiento de delegados de protección de datos

De conformidad con el artículo 37 del RGPD, el nombramiento de delegados de protección de datos para una tienda en línea es obligatorio en determinadas condiciones. Supervisan el cumplimiento del RGPD y actúan como contactos para las autoridades de control y los interesados.

¿A qué sanciones se enfrentan las empresas si no cumplen con el RGPD?

De acuerdo con el artículo 83 del RGPD, las empresas pueden estar sujetas a fuertes multas si infringen las normas de protección de datos. Estos ascienden a 20 millones de euros o el 4 % de la facturación mundial anual de la empresa. Por ejemplo, es una infracción administrativa ocultar intencionalmente, a sabiendas o por negligencia el remitente o la naturaleza comercial de un mensaje. Lo mismo corresponde a la recopilación, al procesamiento o al almacenamiento de datos personales en violación de la ley. Además, los titulares de datos siempre deben estar informados sobre la recopilación de datos.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Checkout

Checkout

Integra Checkout a tu sitio web o dirige a los clientes a una página alojada en Stripe para aceptar de forma fácil y segura pagos únicos o suscripciones.

Documentación de Checkout

Crea un formulario de pago que requiera poca programación e intégralo en tu sitio o alójalo en Stripe.