¿Cómo adaptar tu tienda online a la RGPD y la LOPD-GDD para evitar sanciones económicas?

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD) y, unos meses después, el 7 de diciembre, lo hacía la Ley de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD); dos normativas cuyo principal objetivo es regular el uso correcto de los datos de terceros en Internet, así como garantizar su confidencialidad.

Desde la entrada en vigor, todas las tiendas online de la Unión Europea están en la obligación de cumplir con la RGPD y la LOPD-GDD, para así asegurar la protección de la intimidad en el mundo online.

De lo contrario, aquellas empresas que traten con datos sensibles y no cumplan con las normativas, se enfrentarán a sanciones económicas de entre 10 y 20 millones de euros, o entre el 2% y el 4% de la facturación anual en función del tamaño de la empresa y la gravedad del incumplimiento.

Por ello, si acabas de montar un e-commerce o negocio electrónico, ya sabes que debes cumplir con ambas normativas de forma obligatoria, y en AYCE Laborytax te vamos a contar cómo adaptar tu tienda online a la RGPD y la LOPD-GDD para evitar sanciones millonarias. ¡Toma nota!

Tips para adaptar tu tienda online a la RGPD y la LOPD-GDD

Aviso legal, política de privacidad y política de cookies

El primer paso para adaptar tu tienda online a la RGPD y la LOPD-GDD es incluir un aviso legal, una política de privacidad y una política de cookies, tal y como establecen la Ley de Protección de Datos y la LSSI:

• Aviso legal:

En el aviso legal habrá que especificar quién es la persona propietaria de la web, incluyendo el nombre y los apellidos, el NIF o CIF de la tienda online, la dirección y el correo electrónico.

• Política de privacidad:

En la política de privacidad habrá que informar del tratamiento de los datos, especificando dónde y cómo se van a utilizar, la obligación de recibir el consentimiento de los usuarios, si los datos se cederán a terceros, etc.

• Política de cookies:

Asimismo, también habrá que informar de las cookies que se utilizan en tu tienda online, así como de la duración y finalidad de las mismas.

Tratamiento de datos personales indispensables para tu tienda online

La RGPD y la LOPD-GDD dejan claro que únicamente se pueden tratar aquellos datos personales indispensables para tu actividad, que puedan justificarse. Por ejemplo, si tienes una tienda online de calzado deportivo, únicamente podrás tratar datos que estén estrechamente relacionados, pero no otros como el estado civil, problemas de salud, etc.

El consentimiento del usuario es indispensable

Con la entrada en vigor de ambas normativas, el consentimiento del usuario es indispensable para tratar sus datos. Un consentimiento que debe ser claro e inequívoco por parte del usuario, por lo que ya no es posible utilizar las tradicionales casillas premarcadas que daban el consentimiento a no ser que el cliente la desmarcase, que eran lo más habitual antes del RGPD y la LOPD-GDD.

Además, hay que especificar el uso que se va a hacer de cada uno de los datos. De modo que si se solicitan varios datos personales, deberá haber una casilla para cada uno de ellos.

Conservación de los datos

Asimismo, deberás conservar los datos cedidos por los usuarios, de manera consecuente con su utilización. De esta forma, si el usuario quiere acceder a estos datos o, incluso solicitar una copia, estará en total disposición de hacerlo.

Debes registrar las actividades

También estarás en la obligación de registrar todas las actividades que realices en un documento, el cual estará en disposición de la AEPD, deberá mantenerse constantemente actualizado y tendrá que incluir los siguientes datos:

• Tipos de datos registrados.
• Uso de los datos recogidos.
• Ubicación de los datos almacenados.
• Especificar si los datos serán cedidos o transferidos a países extranjeros.
• Medios de tratamiento de los datos.

Obligación de informar

Por otro lado, también deberás ofrecer al usuario la siguiente información antes de solicitarle sus datos:

• Contacto de la persona encargada del tratamiento de los datos.
• Datos de contacto del Delegado de Protección de Datos.
• Finalidad y razón de los datos solicitados.
• ¿Qué personas podrán acceder a estos datos?
• Plazo de almacenamiento de los datos.
• Especificar si los datos serán transferidos a países extranjeros.
• Derechos que corresponden al usuario.

Destacar también que toda esta información deberá estar presente en un documento de consentimiento de los clientes, y facilitarla al cliente por escrito y de forma clara para evitar confusiones.

La figura del Delegado de Protección de Datos (DPO)

Con la entrada en vigor del RGPD aparece la figura del Delegado de Protección de Datos (DPO), que será un profesional cuyo objetivo será supervisar y garantizar el cumplimiento de la protección de datos, además de asesorar a las empresas, o actuar como intermediario con la AEPD.

Para ciertas empresas la presencia del DPO será obligatoria, mientras que para otras será opcional.

Notificación de brechas de seguridad

Otro punto clave para adaptar tu tienda online al RGPD y la LOPD-GDD es notificar cualquier brecha de seguridad tanto a la AEPD como a los usuarios afectados. El plazo máximo para notificar la brecha de seguridad será de 72 horas.

Ya lo sabes, si tienes una tienda online, necesitas adaptarla al RGPD y a la LOPD-GDD para garantizar la confidencialidad y el trato correcto de los datos personales de los usuarios. De lo contrario, podrás enfrentarte a sanciones de hasta 20 millones de euros o de hasta el 4% de la facturación anual de tu e-commerce.