Saltar al contenido

Auge y consolidación del eCommerce en España. Medidas de cumplimiento. A cargo de Marta Serrano Carnicer.

AD 84/2020

Resumen: El presente artículo pretende analizar, en el contexto actual derivado de la crisis sanitaria de la Covid-19, la importante migración por parte de las distintas Organizaciones y negocios de sus canales habituales de venta offline a canales de venta online o eCommerce.El cambio llevado a cabo por los distintos sectores económicos para continuar y poder garantizar la continuidad de sus negocios, supone aplicar importantes medidas de cumplimiento o Compliance, por ello, intentaremos desarrollar las pautas para garantizar el cumplimiento de la normativa de aplicación.    

Abstract: This article aims to analyze, in the current context derived from the Covid-19 health crisis, the significant migration by the different Organizations and businesses from their usual offline sales channels to online sales channels or electronic commerce. The change carried out by the different economic sectors, to continue and be able to guarantee continuity of their businesses, implies the application of important compliance measures, therefore, we will try to develop guidelines to ensure compliance with applicable regulations.

Palabras clave: eCommerce; compliance; privacidad; Covid-19; venta online; comercio electrónico; ciberseguridad.

Keywords: eCommerce; compliance; privacy; Covid-19; online sale; electronic commerce; cibersecurity.

Introducción y contexto:

El pasado 14 de marzo de 2020 por el Real Decreto 463/2020 se decretó en España el estado de alarma provocando el confinamiento de la población, el aislamiento social y el cierre de establecimientos. La nueva realidad ocasionada por la irrupción de la Covid-19 ha producido un cambio de 180º en nuestras vidas: clases virtuales, teletrabajo, videollamadas, incremento en el uso de redes sociales, compras online etc.

Algunos sectores económicos han precipitado su lanzamiento al comercio electrónico para salvaguardar sus negocios y, otros, han encontrado una oportunidad de desarrollo en plena crisis ante la importante demanda de los consumidores como ejemplos alimentación; bebidas; material deportivo; material de oficina y escolar; farmacia y parafarmacia; y videojuegos, en los que se ha detectado un importante incremento en su consumo online.

No obstante, la mayor parte de los anteriores sectores carecían de estrategias de venta electrónica, viendo la necesidad de implementar canales de venta online ante el nuevo paradigma económico y social.

Es importante destacar que todos aquellos que sumerjan sus negocios en el mundo online, sea o no en época de crisis, deberán cumplir con toda la normativa de aplicación, entre la que debemos destacar: regulación específica de productos y/o servicios; la Ley de Servicios de Sociedad de la Información y Comercio electrónico (en adelante, LSSICE), la Ley para la Defensa de Consumidores y Usuarios (en adelante, LGDCU), la Ley de Ordenación del Comercio Minorista (en adelante, LOCMI), así como, normativa relacionada con derechos de Propiedad Intelectual, Privacidad y Protección de Datos Personales.

La irrupción de la crisis de emergencia sanitaria derivada de la Covid-19, los nuevos modelos de consumo y las actuales exigencias de la población han provocado la agilización en la consolidación del eCommerce en España. No obstante, no debe olvidarse la importancia de las medidas de cumplimiento para la venta online.

Medidas de cumplimiento (Compliance):

En el presente artículo se analizarán las principales medidas de cumplimiento en relación a la normativa que puede resultar más afín al sector de las Nuevas Tecnologías, y ,que en mi día a día como Abogada de Protección de datos y Privacidad, suelo manejar dejando a otros expertos el análisis en relación con la regulación específica de productos y servicios, tributación etc.

Privacidad y Protección de Datos:

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) serán de plena aplicación a cualquier tratamiento de datos de carácter personal, por ejemplo, al recabar datos de contacto a través de un formulario web, solicitando los datos para la gestión de la compra de productos y/o servicios, solicitud de presupuesto o cita online etc.

En primer lugar, y, de conformidad con el artículo 5 del RGPD se deberán cumplir los siguientes principios en relación con cualquier tratamiento de datos:

  • Principio de licitud, lealtad y trasparencia, los datos deberán ser recabados de manera lícita o leal y siempre, con carácter previo, se deberá facilitar al interesado toda la información sobre el tratamiento de forma concisa, transparente, inteligible y de fácil acceso.
  • Principio de limitación de la finalidad, los datos serán tratados con una o varias finalidades determinadas, explícitas y legítimas y se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines. Por ejemplo, si recabas datos a través de un formulario web con fines de contacto no podrán ser utilizados con la finalidad de enviar comunicaciones comerciales.
  • Principio de minimización, los datos deberán ser adecuados, pertinentes y limitados a los fines para los que se recogen. Por ejemplo, para llevar a cabo compras de productos y servicios online sería necesario con facilitar el número del DNI, no siendo necesario aportar copia del mismo.
  • Principio de exactitud de los datos, los datos deberán ser exactos, correctos y completos, suprimiéndose o rectificándose aquellos que no estén actualizados o sean incorrectos.
  • Principio de limitación del plazo de conservación de los datos, se mantendrán durante el tiempo necesario para los fines del tratamiento.
  • Principio de integridad y confidencialidad, se deberán garantizar la seguridad adecuada de los datos aplicando medidas técnicas u organizativas.

Además de los anteriores principios, es importante tener en cuenta algunas medidas de responsabilidad proactiva en materia de Protección de Datos personales:

  • Actualizar el Registro de Actividades de Tratamiento (RAT) incorporando este nuevo tratamiento y revisar que el contenido del RAT cumple con lo dispuesto en el artículo 30 del RGPD.
  • Realizar un Análisis de Necesidad de Evaluación de Impacto (ANEIPD) del nuevo tratamiento específico evaluando el impacto en los derechos y libertades de los interesados, así como, la proporcionalidad del tratamiento y, si procede, realizar una Evaluación de Impacto (EIPD).
  • Contar con una base de legitimación para tratar los datos recabados a través del portal web o tienda online –generalmente consentimiento o ejecución de contrato.
  • Cumplir con el deber de informar, con carácter previo al tratamiento, a los interesados en todos los formularios que recaben datos a través de la página web. La información podrá facilitarse en capas, siguiendo las recomendaciones de la Guía sobre el cumplimiento del deber de informar publicada por la AEPD, para ello, se incluirá una primera capa con el contenido del artículo 11 de la LOPDGDD en el momento de recabar los datos, por ejemplo una cláusula incluida en el formulario de recogida de datos; y una segunda capa con el resto de información del artículo 13 del RGPD, generalmente la segunda capa de información se incluye en la Política de privacidad o Política de Protección de Datos Personales (se debe incluir en el footer de la web un link permanente a la Política de Privacidad o Protección de Datos Personales con el fin de garantizar que la información se encuentra en todo momento accesible al interesado). Asimismo, se deberá incluir un banner de cookies (primera capa) y una Política de Cookies (segunda capa), más adelante veremos las implicaciones y la importancia de las “cookies” en el entorno digital.
  • Establecer medidas de seguridad organizativas y técnicas en cumplimiento del artículo 32 del RGPD (veremos recomendaciones en el apartado “Ciberseguridad” del presente artículo).
  • Revisión de los contratos con los distintos proveedores con acceso a datos de carácter personal a fin de realizar la previa evaluación (artículo 28.1 del RGPD) y la posterior suscripción de los contratos/acuerdos de Encargo de Tratamiento con el contenido del artículo 28.3 del RGPD. Por ejemplo, proveedores de cloud, de alojamiento web, de desarrollo de páginas webs, de marketing, de informática etc.

Ley de Servicios de Sociedad de la Información y Comercio Electrónico (en adelante, LSSICE):

A la espera de la publicación del Reglamento de Privacidad Electrónica (ePrivacy), la LSSICE será de aplicación a todos los prestadores de servicios de sociedad de la información establecidos en España de conformidad con el artículo 2, se entenderá establecido en España “cuando su residencia o domicilio social se encuentre en territorio español”, salvo que se apliquen algunas de las exclusiones establecidas en el artículo 5 de la LSSICE.

Asimismo, para que la LSSICE sea de aplicación también deberán darse las siguientes premisas (Anexo. Definiciones LSSICE):

  • Prestados a cambio de remuneración.  En muchas ocasiones,  los servicios online se presenten de manera gratuita, si bien, pese a que los servicios prestados se ofrezcan “aparentemente” de forma gratuita, puede existir una contraprestación traducida por el posicionamiento Web, los datos recabados de los Usuarios o la publicidad insertada en la página.
  • Prestados a distancia.
  • Por vía electrónica: compra a través de medios electrónicos.
  • Prestados a petición individual de un destinatario del servicio.

Asimismo, deberemos tener en cuenta que para la prestación de servicios por vía electrónica no será necesaria autorización previa de conformidad con el artículo 6 de la LSSICE.

A continuación facilitamos la información que deberá incluir toda página web, sea o no tienda online, para cumplir con las obligaciones y responsabilidades de conformidad con el artículo 10 LSSICE:

INFORMACIÓN REQUERIDA
Nombre o denominación social y datos de contacto: domicilio, dirección de correo electrónico, y otros (fax, teléfono, formulario de contacto…) (art. 10.1.a) LSSICE).
Si empresa está registrada en el Registro Mercantil u otro registro público deberá señalar el número de inscripción (art. 10.1.b) LSSICE).
En el caso en que la actividad que se ejerza precise de una autorización administrativa previa: datos y el órgano encargado de la supervisión (art. 10.1.c).
Número de Identificación Fiscal (CIF) (art. 10.1.e) LSSICE)
Información precio productos con inclusión o no de los impuestos y gastos de envío (art. 10.1.f) LSSICE)
Códigos de conducta (art. 10.1.g) LSSICE).

¿Cómo cumplir?

La información deberá estar de forma permanente, fácil y directa (artículo 10.1 LSSICE), lo anterior se cumplirá, por ejemplo, incluyendo en el footer de la página web, junto con la Política de privacidad, Política de Cookies y Condiciones Generales de Contratación, un link al Aviso Legal que incluya toda la información anteriormente indicada.

Además, a obligación de facilitar la información referenciada se dará por cumplida cuando el prestador la incluya en su página o sitio en internet art. 10.2 LSSICE.

Términos Legales y Condiciones Generales de Contratación:

Además de lo cumplir con lo anterior, las actividades de contratación electrónica de bienes y/o servicios o eCommerce de conformidad con los artículos 23 a 29 de la LSSICE deberá incluir información adicional sobre el proceso de compra, producto, gastos de envío, entrega, medios técnicos para corregir errores, la lengua de formalización del contrato etc. y con carácter previo a la formalización del contrato deberá poner a disposición del consumidor las Condiciones Generales de Contratación pudiendo ser almacenadas y reproducidas, debiendo contener la siguiente información:

INFORMACIÓN REQUERIDA (previa y posterior a la contratación)
Trámites para celebrar el contrato (pasos a realizar para completar la compra) (art. 27.1.a) LSSICE).
Archivo del documento electrónico (si el prestador va a archivar el documento electrónico en el que se formaliza el contrato y si será accesible) (art. 27.1.b) LSSICE).
Medios técnicos para identificar y corregir errores (modificar o eliminar datos introducidos) (art. 27.1.c) LSSICE).
Lenguas en las que se formaliza el contrato (poner a disposición del usuario las Condiciones General (art. 27.1.d) LSSICE),  y posteriormente, confirmar aceptación del contrato: mail de confirmación del pedido) (art. 28 LSSICE).

Política de Cookies:

El pasado 9 de junio de 2020 se publicó por la AEPD Resolución en el Procedimiento Sancionador Nº PS/00299/2019[1], mediante la que se impone a Twitter una sanción de 30.000 euros por infracción del artículo 22.2 de la LSSICE por instalación de cookies analíticas sin previo consentimiento.

Lamentablemente, la práctica habitual es que las páginas web y tiendas online no cumplan con la LSSICE y normativa en materia de Protección de Datos de Carácter Personal en relación con las “cookies”. A continuación, se aportan algunas recomendaciones de conformidad con la Guía sobre el Uso de cookies publicada por la AEPD y elaborada en colaboración de IAB Spain, Adigital, Autocontrol y la Asociación Española de Anunciantes:

  • Es importante que el usuario entienda las finalidades y el uso de cookies empleadas, por ello, se deberá utilizar un lenguaje sencillo y claro (no lenguaje jurídico). Asimismo, se establece el contenido que deberá incluir la Política de Cookies. La información debe aparecer en un lugar visible, evitando que el usuario tenga que buscar la información en la página web (no más de dos clics).
  • Información por capas. En todo caso, es necesario que la información sobre la Política de Cookies este destacada y por separado del resto de información legal (Condiciones Generales de Contratación, Términos Legales, Política de Privacidad etc.).
  • Obtención del consentimiento, la AEPD aboga por que se instalen paneles de configuración que permitan Aceptar o Configurar o bien Aceptar o Rechazar las cookies. En la Guía la opción de “seguir navegando” se admite, con garantías reforzadas como por ejemplo que la revocación del consentimiento sea tan fácil como la obtención del mismo. No obstante, debemos destacar que recientemente el Comité Europeo de Protección de Datos ha dictado las “Guidelines 5/2020” en relación con el consentimiento considerando, en todo caso, que realizar “scroll” en una web no se entenderá como consentimiento válido. Por tanto, a la espera de nuevos pronunciamientos de nuestra Autoridad de Control no se recomienda utilizar la opción de “seguir navegando”.
  • Se establece un plazo máximo de dos años de vigencia del consentimiento, alcanzado el plazo se considera como una “buena práctica” la renovación incluyendo un apartado de actualización en la página web.

Ciberseguridad:

Es importante que, además de todas las anteriores consideraciones, se tenga en cuenta la importancia de evitar posibles fugas o brechas de información implantando medidas de seguridad técnicas y organizativas a través de garantías adicionales.

Las principales medidas que deberá instaurar cualquier Organización que lleve a cabo la venta de productos y/o servicios online son las siguientes:

  • Realizar una auditoría técnica de seguridad de la tienda online y del servidor antes de publicar la tienda en internet.
  • Utiliza un protocolo seguro como HTTPS; certificados SSL cifrando los datos transmitidos por Internet; protocolo SET (Secure Electronic Transaction) que asegura la información que se transmite al realizar pagos instalando un software por vendedor y comprador etc.
  • Facilitar o poner a disposición medios de pago seguros PayPal, Amazon Pay, pasarelas de pago, pago contra reembolso, transferencia bancaria etc.
  • Evitar el almacenamiento de datos de autenticación de tarjetas en entorno web o eCommerce incluso logs del sistema.
  • Asegura el TPV virtual con el proveedor.
  • Si no es necesario almacenar los datos de tarjetas de pago, no lo almacenes o almacénalos cifrados. En todo caso, también existe la posibilidad de externalizar el servicio a terceros que cumplan con Payment Card Industry Security Standards Council – PCI SSC.
  • Autenticación de doble factor para accesos de administrador.
  • Realiza copias de seguridad periódicas.
  • Utiliza o refuerza el uso de contraseñas robustas: mínimo 8 caracteres, código alfanumérico y signos especiales.
  • En caso de utilizar servicios de alojamiento web en cloud, es importante conocer la ubicación de los servidores en los que se aloja la página web. Uso y actualización de firewall. Y, en caso de alojarse en la red interna, aplicar medidas reforzadas: separación de servidores accesibles desde el exterior de los privados;  instalación de firewall y antimalware; sistema de detección de y prevención de intrusiones (IDS/IPS), redes VPN etc.
  • Actualización de software y sistemas.
  • Implementar medidas contra ataques de denegación de servicio DoS y DDoS.

En todo caso, además de lo anterior, se recomienda la lectura de “Ciberseguridad en comercio electrónico. Una guía de aproximación al empresario[2]” publicada por INCIBE, en la que se detallan exhaustivamente las medidas que a nivel de ciberseguridad se deberán implementar en un eCommerce, muy interesante.

Conclusiones:

La crisis de emergencia sanitaria derivada del coronavirus ha provocado una importante aceleración en el comercio electrónico. Sin embargo, son muchas las compañías y profesionales que han lanzado su negocio al entorno digital sin cumplir con las mínimas exigencias legales de comercio electrónico o Protección de Datos de Carácter Personal.

El comercio electrónico o eCommerce está expuesto a continuas y múltiples amenazas que se materializan a través de Internet. Por ello, todo establecimiento que se haya lanzado al mundo online o pretenda digitalizar la venta de sus productos y servicios,  deberá tener en cuenta la amplia normativa de aplicación, así como, aplicar las medidas de seguridad adecuadas para evitar posibles incumplimientos y sanciones.

Las anteriores reglas, leyes y normas son escasas y es importante reformularlas o, cuanto menos, reinterpretarlas y aplicarlas al entorno digital. En este contexto, adquiere especial relevancia la ciberseguridad como una clave principal para garantizar el desarrollo económico.

En un mundo cada vez más interconectado, globalizado y digitalizado, es importante asumir las precauciones necesarias garantizando las medidas de cumplimiento adecuadas para generar confianza en nuestros clientes y mejorar la imagen de marca de nuestro negocio.

Marta Serrano

Madrid, a 11 de junio de 2020.


Bibliografía:

Arias Pou, M. (2006). Manual Práctico de Comercio Electrónico.  La Ley. Recurso disponible online: https://books.google.es/books?id=AUKnBlV6cAMC&pg=PA54&lpg=PA54&dq=%E2%80%A2+Prestados+a+cambio+de+remuneraci%C3%B3n.+%E2%80%A2+Prestados+a+distancia.+%E2%80%A2+Por+v%C3%ADa+electr%C3%B3nica:+compra+a+trav%C3%A9s+de+medios+electr%C3%B3nicos.+%E2%80%A2+Prestados+a+petici%C3%B3n+individual+de+un+destinatario+del+servicio.&source=bl&ots=BoyXgQvYnS&sig=ACfU3U2oruwqapMjaKmBKpgTMk5echpqww&hl=es&sa=X&ved=2ahUKEwjH9OHm-vLpAhUH1hoKHfnoDEkQ6AEwAXoECAsQAQ#v=onepage&q&f=false

Recursos electrónicos:

https://www.policia.es/org_central/seguridad_ciudadana/comercio_seguro/guia.pdf (Guía de comercio seguro en Internet – Policía Nacional).

https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf (Guía sobre el uso de las cookies – AEPD, Adigital, Anunciantes, AUTOCONTROL y IABSpain).

https://www.aepd.es/sites/default/files/2019-09/guia-compra-segura-digital-web.pdf (Guía de compra segura en Internet – AEPD, INCIBE, AECOSAN y Policía Nacional).

https://www.aepd.es/sites/default/files/2019-09/informe-politicas-de-privacidad-adaptacion-RGPD.pdf (Informe sobre Políticas de Privacidad en Internet – AEPD).

https://www.aepd.es/sites/default/files/2019-09/decalogo-politicas-de-privacidad-adaptacion-RGPD.pdf (Decálogo Políticas de Privacidad adaptación RGPD – AEPD).

(Guía para el cumplimiento del deber de informar – AEPD, APDCAT y Agencia Vasca de Protección de Datos).

https://www.incibe.es/extfrontinteco/img/File/empresas/guias/Guia_ciberseguridad_comercio_electronico/guiacomercioincibe0.pdf (Guía Ciberseguridad Comercio Electrónico – INCIBE).

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/principios

http://www.lssi.gob.es/paginas/Index.aspx

https://www.minsait.com/es/actualidad/insights/el-impacto-del-coronavirus-en-el-e-commerce

https://www.itreseller.es/al-dia/2020/04/el-covid19-puede-impulsar-la-consolidacion-del-ecommerce-en-espana

https://www.helasconsultores.com/blog/covid-venta-online

https://cincodias.elpais.com/cincodias/2020/04/22/legal/1587581727_995638.html

Normativa:

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).
  • Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.
  • Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICI).

[1] Resolución de Procedimiento Sancionador PS 00299/2019 de la AEPD: https://www.aepd.es/es/documento/ps-00299-2019.pdf

[2] Ciberseguridad en comercio electrónico. Una guía de aproximación para el empresario publicado por INCIBE: https://www.incibe.es/extfrontinteco/img/File/empresas/guias/Guia_ciberseguridad_comercio_electronico/guiacomercioincibe0.pdf


Marta Serrano Carnicer

Abogada especialista en Protección de Datos y Privacidad de la Información en Helas Consultores, S.L.

Máster de Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información de la Universidad Carlos III de Madrid en 2018-2019.

Práctica jurídica activa en Despacho profesional de Abogados, así como, experiencia cualificada en negociación con profesionales del Derecho, sector empresarial y consultoría.

Dónde encontrarme:

Linkedin: https://www.linkedin.com/in/marta-serrano-carnicer-98b88b76/

Deja un comentario

A %d blogueros les gusta esto: