Iniciar sesión 

El RGPD en el comercio electrónico: Cómo puede una empresa hacer que su tienda en línea cumpla con la normativa legal

Checkout
Checkout

Stripe Checkout es un formulario de pago prediseñado y optimizado para la conversión. Integra Checkout en tu sitio web o dirige a tus clientes a una página alojada en Stripe para aceptar suscripciones y pagos únicos de manera fácil y segura.

Más información 
  1. Introducción
  2. ¿Por qué se introdujo el RGPD?
  3. ¿Cuáles son las principales disposiciones del RGPD?
    1. Principios del tratamiento de datos
    2. Licitud del tratamiento
    3. Derechos de los interesados
    4. Responsabilidades del responsable del tratamiento
  4. ¿Cuál es la importancia del RGPD en el comercio electrónico?
  5. ¿Qué requisitos deben cumplir las empresas de comercio electrónico para cumplir la normativa del RGPD?
    1. Política de privacidad
    2. Política de cookies
    3. Medidas técnicas y organizativas
    4. Consentimiento para publicidad y ofertas de información
    5. Acuerdos sobre procesamiento de datos
    6. Nombramiento de delegados de protección de datos
  6. ¿A qué sanciones se enfrentan las empresas si no cumplen con el RGPD?
  7. Empieza a usar Stripe 

Desde 2018, el Reglamento General de Protección de Datos (RGPD) regula todos los aspectos de la protección de datos en Europa y a nivel nacional. En particular, las empresas de comercio electrónico que operan una tienda en línea deben asegurarse de cumplir con numerosos requisitos a la hora de procesar datos personales.

En este artículo, descubrirás por qué se introdujo el RGPD, cuáles son las principales disposiciones del reglamento y qué significa para las empresas de comercio electrónico. También explicamos los requisitos que deben cumplir las empresas para cumplir con el RGPD y las sanciones que pueden aplicarse si no lo hacen.

¿De qué trata este artículo?

  • ¿Por qué se introdujo el RGPD?
  • ¿Cuáles son las principales disposiciones del RGPD?
  • ¿Cuál es la importancia del RGPD en el comercio electrónico?
  • ¿Qué requisitos deben cumplir las empresas de comercio electrónico para cumplir con la normativa GDPR?
  • ¿A qué sanciones se enfrentan las empresas si no cumplen con el RGPD?

¿Por qué se introdujo el RGPD?

El RGPD se introdujo para estandarizar la protección de datos en toda la Unión Europea (UE) y para mejorar la protección de los datos personales en un mundo cada vez más digital. Antes del RGPD, los estados miembros de la UE tenían diferentes leyes de protección de datos. Esto dio lugar a diferencias significativas en el nivel de protección y supuso un reto para las empresas que operaban en varios países. El RGPD establece un marco jurídico único que se aplica a todos los países de la UE.

El objetivo principal del RGPD es proteger a las personas en lo que respecta al tratamiento de datos personales. El reglamento pretende fomentar la confianza de los ciudadanos en el tratamiento de sus datos. El RGPD permite que las empresas de la UE operen de manera más eficiente porque pueden cumplir con estándares uniformes de protección de datos.

Hasta la introducción del RGPD, la protección de datos en Alemania estaba regulada por la Ley Federal de Protección de Datos (BDSG). Esta ley ha sido adaptada y se considera un complemento del RGPD, especialmente en áreas en las que el RGPD deja cierta discrecionalidad a los estados miembros.

¿Cuáles son las principales disposiciones del RGPD?

El RGPD contiene varias disposiciones clave en 11 capítulos y 99 artículos. Aquí hay una descripción general de los más importantes:

Principios del tratamiento de datos

El artículo 5 del RGPD regula los principios para el tratamiento de datos personales. Entre otros requisitos, los datos deben ser:

  • Tratados de forma lícita y transparente para el interesado
  • Recopilados y procesados para fines específicos, explícitos y legítimos
  • Procesados solo en la medida necesaria para el propósito respectivo
  • Actualizados y correctos
  • Eliminados si ya no son necesarios para el propósito de su tratamiento
  • Protegidos por medidas técnicas y organizativas para evitar el acceso no autorizado, la pérdida o la destrucción

Licitud del tratamiento

El artículo 6 del RGPD estipula que los datos solo pueden ser procesados si se aplica una de las siguientes bases legales:

  • Consentimiento del interesado
  • Un contrato con el interesado
  • El tratamiento es necesario para cumplir con una obligación legal
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física
  • El tratamiento es necesario para el cumplimiento de una misión realizada en interés público
  • El tratamiento es necesario para proteger los intereses legítimos del responsable del tratamiento o de un tercero, salvo que prevalezcan los intereses o derechos fundamentales del interesado.

Derechos de los interesados

El capítulo 3 del RGPD regula los distintos derechos de los interesados en relación con el tratamiento de sus datos.

  • Los interesados tienen derecho a saber qué datos personales se almacenan sobre ellos, cómo se procesan y con quién se comparten (artículo 15 del RGPD).
  • Los datos personales incorrectos o incompletos deben corregirse a petición del interesado artículo 16 del RGPD).
  • Los interesados pueden, en determinadas condiciones, solicitar la supresión de sus datos (artículo 17 del RGPD).
  • Los interesados tienen derecho a recibir sus datos del responsable del tratamiento en un formato estructurado, común y legible por máquina (artículo 20 del RGPD).
  • Los interesados pueden oponerse al tratamiento de sus datos por determinados motivos, en particular el tratamiento con fines de marketing directo (artículo 21 del RGPD).

Responsabilidades del responsable del tratamiento

En el capítulo 4 se enumeran las obligaciones de los responsables y encargados del tratamiento. Estas incluyen, entre otras, las siguientes obligaciones:

  • Los responsables del tratamiento deben asegurarse de que quienes tratan datos personales en su nombre también cumplen los requisitos del RGPD (artículo 28 del RGPD).
  • Las brechas de seguridad en los datos deben ser comunicadas por los responsables a la autoridad de control competente en un plazo de 72 horas si suponen un riesgo para los derechos y libertades de las personas físicas (artículo 33 del RGPD).
  • Para determinados tipos de tratamiento de datos que supongan un alto riesgo para los derechos y libertades de los interesados, los responsables del tratamiento deben llevar a cabo una evaluación de impacto sobre la protección de datos (artículo 35 del RGPD).

¿Cuál es la importancia del RGPD en el comercio electrónico?

El RGPD es fundamental para las empresas de comercio electrónico porque procesan grandes cantidades de datos personales. Los datos del cliente, como el nombre, la dirección, los detalles de pago y el historial de pedidos, son esenciales para el funcionamiento de una tienda en línea. Esto significa que el RGPD tiene un impacto significativo en el diseño y el marco legal de los modelos de negocio de comercio electrónico.

El manejo negligente de los datos personales en las tiendas en línea puede dar lugar a una infracción de la protección de datos y generar disputas legales, sanciones reglamentarias y daños a la imagen de la empresa. Por este motivo, los operadores de tiendas en línea, en particular, deben conocer el RGPD y las obligaciones que impone.

Por ejemplo, una empresa no puede recopilar un número de teléfono si no lo necesita para realizar el pedido y realizar la entrega. Solo se pueden recopilar los datos necesarios para la entrega y el pago de los productos solicitados.

Del mismo modo, la información de marketing, como las direcciones de correo electrónico de los boletines informativos, puede recopilarse y utilizarse solo con el consentimiento expreso del cliente. La información de la tarjeta de crédito también debe almacenarse solo durante el tiempo que sea necesario para completar el proceso de pago. Datos como la fecha de nacimiento solo se pueden recopilar si son necesarios para la verificación de la edad (por ejemplo, al vender productos con restricción de edad). Consulta más información sobre los pagos de comercio electrónico.

¿Qué requisitos deben cumplir las empresas de comercio electrónico para cumplir la normativa del RGPD?

Para cumplir con las regulaciones GDPR, las empresas de E-commerce deben cumplir con una variedad de requisitos. Estos se derivan en gran medida de los derechos de los interesados antes mencionados (capítulo 3 del RGPD) y de las obligaciones de los responsables del tratamiento (capítulo 4 del RGPD).

Política de privacidad

Las empresas de e-commerce deben proporcionar una política de privacidad integral. Esta debe explicar de forma transparente y exhaustiva qué datos personales se recopilan, con qué fin, cómo se procesan los datos y qué derechos tienen los interesados. La política de privacidad debe ser fácil de encontrar (por ejemplo, en el pie de página del sitio web o como enlace directo al acceder a la página). El artículo 13 del RGPD enumera toda la información requerida en una declaración de protección de datos compatible con el RGPD. Algunos de estos datos son:

  • El nombre y los datos de contacto del responsable del tratamiento
  • En su caso, el nombre y los datos de contacto de la persona delegada de la protección de datos
  • La base jurídica y los fines del tratamiento de los datos personales
  • Una indicación de los intereses legítimos del responsable del tratamiento, si el tratamiento de datos se basa en ellos (véase el artículo 1, apartado 1, letra f del RGPD)
  • Los destinatarios de los datos personales en caso de divulgación
  • La duración del almacenamiento de los datos personales
  • Los derechos de los interesados, incluidos los derechos de acceso, rectificación, supresión, oposición, revocación y limitación del tratamiento
  • La descripción de las consecuencias de no proporcionar datos personales

Política de cookies

El tratamiento de datos personales que no sea necesario para la ejecución del contrato requiere el consentimiento informado del usuario. Esto se aplica en particular al uso de cookies, que son archivos de texto que se almacenan temporalmente en el navegador del usuario. Las cookies técnicamente necesarias se utilizan, por ejemplo, para mostrar el idioma apropiado del sitio web para el usuario o para almacenar el contenido del carrito de la compra.

Las cookies son esenciales para el correcto funcionamiento de los sitios web, y se utilizan para crear perfiles de usuario para publicidad personalizada. Esto puede ser crítico en algunos casos porque se almacenan datos estadísticos y personales. Por esta razón, los usuarios deben tener la oportunidad de dar su consentimiento para el almacenamiento y procesamiento de cookies. Un simple «banner de cookies» es suficiente solamente si ofrece la opción de rechazar o ajustar la configuración de las cookies.

Medidas técnicas y organizativas

Para proteger los datos personales del acceso de terceros, entre otras cosas, las tiendas en línea deben tomar precauciones técnicas de seguridad. Esto incluye el cifrado de la transmisión de datos, por ejemplo, a través del protocolo de transferencia de hipertexto seguro (HTTPS) (artículo 32 del RGPD). Esto requiere un certificado de capa de sockets seguros (SSL) o de seguridad de la capa de transporte (TLS). Las tiendas online también deben garantizar que los datos personales se almacenen de forma segura (por ejemplo, en bases de datos cifradas). Las copias de seguridad de los datos también son obligatorias.

Consentimiento para publicidad y ofertas de información

Las direcciones de correo electrónico de los clientes no se pueden usar automáticamente para enviar boletines informativos, publicidad u ofertas de información. Para ello, se requiere el consentimiento activo de los clientes. Con la entrada en vigor del RGPD, se exige el procedimiento de doble «opt-in» basado en el artículo 7 y el artículo 8 del Reglamento. «Opt-in» se puede traducir libremente como «decidir sobre algo» o «elegir». La elección doble requiere que los clientes se confirmen dos veces. Primero hay que preguntarles si les gustaría recibir un boletín, por ejemplo. Si esto se confirma mediante el registro (y la transmisión asociada de la dirección de correo electrónico), hay un segundo paso: las empresas deben enviar un enlace de confirmación en el que deben hacer clic para activar la oferta.

Acuerdos sobre procesamiento de datos

Si los proveedores de servicios externos procesan datos personales de una tienda en línea, se deben celebrar acuerdos de procesamiento de datos. Este es el requisito obligatorio para la transferencia de datos a terceros. Los acuerdos de protección de datos garantizan que los terceros también cumplan con el RGPD. Los proveedores de servicios típicos para las tiendas en línea son los proveedores de servicios de pago o los proveedores de servicios en la nube y soluciones de software como servicio (SaaS).

Aquí es donde Stripe Checkout puede ayudarte, ya que se trata de un formulario de pago listo para usar que permite un proceso de compra sin complicaciones. Checkout puede integrarse en tu sitio web o redirigir a los clientes a una página alojada por Stripe. Allí, los pagos o suscripciones se pueden aceptar de forma fácil, segura y de conformidad con el RGPD.

Nombramiento de delegados de protección de datos

De conformidad con el artículo 37 del RGPD, el nombramiento de delegados de protección de datos para una tienda online es obligatorio en determinadas condiciones. Estos delegados supervisan el cumplimiento del RGPD y actúan como contactos para las autoridades de control y los interesados.

¿A qué sanciones se enfrentan las empresas si no cumplen con el RGPD?

Según el artículo 83 del RGPD, las empresas pueden estar sujetas a fuertes multas si infringen las normas de protección de datos. Estas sanciones oscilan hasta los 20 millones de euros o el 4 % de la facturación mundial anual de la empresa. Por ejemplo, es una infracción administrativa ocultar intencionalmente, a sabiendas o por negligencia, al remitente o la naturaleza comercial de un mensaje. Lo mismo se aplica a la recopilación, el procesamiento o el almacenamiento de datos personales incumpliendo la ley. Además, los interesados deben estar siempre informados sobre la recogida de datos.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Debes procurar el asesoramiento de un abogado o un contador competente con licencia para ejercer en tu jurisdicción si deseas obtener asistencia para tu situación particular.

Más artículos

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Checkout

Checkout

Integra Checkout a tu sitio web o dirige a los clientes a una página alojada en Stripe para aceptar de forma fácil y segura pagos únicos o suscripciones.

Documentación de Checkout

Crea un formulario de pago que requiera poca programación e intégralo en tu sitio o alójalo en Stripe.