Cuestiones legales que necesitas saber si tienes (o piensas montar) un negocio online

¿Acabas de crear tu tienda online o E-commerce y estás listo para lanzarlo, pero antes quieres asegurarte de que no has olvidado nada desde el punto de vista legal?

Seguramente has visitado muchos sitios web y recuerdes una ventana emergente que te pregunta acerca de las cookies, o más específicamente te pide tu consentimiento (o no) para la instalación de cookies, o sí te has fijado en más detalle, probablemente has visto en la parte inferior un enlace a la política de privacidad y las cookies y, en algunos casos, uno más con los términos y condiciones.

Y ahora te preguntarás qué tienes que hacer tú realmente con todos estos asuntos… ¿O ya tienes tu sitio web para tu tienda online y no has pensado aún en los asuntos legales por temor o limitaciones técnicas? Quizás simplemente quieres entender si lo que has hecho hasta ahora es suficiente.

De cualquier manera, has llegado al lugar correcto.

En este artículo, te explicaremos de manera detallada y accesible (¡lo prometo, sin jerga legal!) los 3 pasos clave para que un sitio web o E-commerce cumpla con las leyes de protección de datos.

Y, ¡por supuesto, te daremos unos consejos que no debes perderte!

Primero un poco de contexto. Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), los efectos de las sanciones por parte de la Agencia Española de Protección de Datos se han incrementado y es que, según GDPR Enforcement Tracker, un monitor de multas y sanciones que las autoridades de protección de datos han impuesto en virtud del RGPD de la UE, España ha sido, por número total de multas, el país número uno con mayor sanciones impuestas.

De ahí la necesidad de prestar mucha atención y cuidar tu negocio e intereses, asegurándote de tener un sitio web con todos estos asuntos en regla.

1) Un breve repaso al RGPD

El RGPD o Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo de 2018, es una de las leyes con más impacto en este sector, acompañado de la Directiva ePrivacy. En resumen, indica los principios que deben respetarse para tratar los datos personales de forma lícita (incluida la recopilación, el uso y la protección de los mismos).

El objetivo del RGPD es reforzar la protección de datos de todas las personas cuyos datos personales se encuentren dentro de su ámbito de aplicación, con el fin de restablecer el control sobre las mismas. En vigor desde 2002, la Directiva ePrivacy (o Ley de Cookies) complementa el RGPD y sigue siendo aplicable en la actualidad, se diseñó para implementar directrices específicas acerca del tratamiento de datos por medios electrónicos, incluido el marketing por correo electrónico y el empleo de cookies

1.1. ¿Te afecta el RGPD?

Esto es lo primero que hay que saber.

El RGPD afecta en general a organizaciones, empresas, particulares, autoridades públicas y otras entidades que:

  • estén establecidas en la Unión Europea,
  • ofrezcan bienes o servicios (incluso gratuitos) a personas en la UE,
  • rastreen el comportamiento de las personas en la UE, ya sea directamente o a través de un tercero.

Por lo tanto, el RGPD se aplica a una gran cantidad de empresas y profesionales que cumplen con los requisitos enumerados anteriormente, lo que significa que es probable que el RGPD se aplique a tu negocio incluso cuando no esté establecido en la UE (incluso si gestionas un sitio web pequeño y no una gran empresa, deberás respetar todos estos requisitos)

1.2. ¿Tratas datos personales?

Lo más probable es que sí. ¿Por qué? Porque según el RGPD, los datos personales significan cualquier dato relacionado con una persona viva identificada o identificable.

Por lo tanto, estos datos incluyen información que, cuando se recopilan en conjunto, pueden identificar a una persona. Por ejemplo:

  • el apellido y el nombre,
  • la dirección de correo electrónico personal y la dirección IP,
  • la ubicación.

1.3. ¿Qué debo hacer entonces?

Debes informar a tus usuarios que estás recopilando sus datos.

De lo contrario, corres el riesgo de incurrir en sanciones económicas y/o legales, sin mencionar que la credibilidad de tu marca también puede verse afectada.

Para ello, necesitas una política de privacidad que contenga la siguiente información:

  • ¿Quién es el propietario del sitio web o aplicación?
  • ¿Qué datos se recopilan? ¿Cómo se recogen?
  • ¿Sobre qué base legal se basa la recopilación (por ejemplo, consentimiento, necesidad para la prestación del servicio, una obligación legal, etc.)? ¿Cuáles son las finalidades específicas (por ejemplo, análisis, marketing, etc.) de la recopilación de datos?
  • ¿Qué terceros tendrán acceso a la información (por ejemplo, a través de widgets de redes sociales)?
  • ¿Cuáles son los derechos de los usuarios (acceso, supresión, bloqueo de datos)?

Recuerda que la política debe estar escrita en un lenguaje sencillo, presentada de manera clara y fácilmente accesible desde cualquier página del sitio web.

En resumen, una serie de limitaciones legales y técnicas… ¿Y si necesitas modificar el documento (que normalmente es redactado por abogados) más tarde? Ten en cuenta que una política de privacidad es un documento dinámico que debe actualizarse cuando sea necesario para cumplir con la legislación. → ¡Debe estar siempre actualizado!

CONSEJO: busca herramientas online que te permitan personalizar acorde a tu negocio las cláusulas de una forma sencilla e intuitiva, ya que las leyes cambian constantemente y no puedes quedarte sin poder actualizar tus documentos o desembolsar una nueva cantidad de dinero para que te las actualicen.

2) Cookies: ¿qué debo hacer?

Debes contar con una política de cookies y un banner o aviso de cookies.

¿Por qué? Los sitios web a menudo usan cookies que pueden tener muchas finalidades, como proporcionar estadísticas con fines de análisis, botones de redes sociales o servicios de remarketing y, por lo tanto, debes mostrar toda esta información a tus usuarios.

En general, esto significa que debes tener una política de cookies y una solución para la gestión de las cookies.

Esto quiere decir que, si utilizas cookies y tienes usuarios en la UE, debes:

  • Informar a tus usuarios sobre el uso de las cookies en tu sitio web o app (o por cualquier servicio de terceros utilizado por tu web o aplicación);
  • explicar, de forma clara y exhaustiva, cómo funcionan las cookies y para qué se utilizan;
  • obtener el consentimiento informado del usuario antes de instalar ciertas categorías de cookies en su dispositivo.

Deberás mostrar un banner de cookies en la primera visita de un usuario, implementar una política de cookies y permitir que el usuario preste su consentimiento. No debes instalar ninguna cookie (excepto las cookies exentas) hasta que hayas obtenido el consentimiento del usuario.

Pero, ¿y qué son en definitiva las cookies?

Una cookie es una pequeña porción de datos que se envía desde un sitio web o una aplicación y, a menudo, se almacena en el ordenador de un usuario a través de su navegador web. La Directiva ePrivacy o Ley de Cookies requiere el consentimiento informado de los usuarios antes de almacenar ciertas categorías (o tipos) de cookies en el dispositivo de un usuario y/o rastrearlo. Esto generalmente implica informar al usuario a través de un aviso de cookies, bloquear la ejecución de scripts antes de que se recopile el consentimiento e incluir el enlace a una política de cookies completa.

Ejemplo de un banner de cookies
Ejemplo de un banner de cookies

2.1. Cómo le afecta a mí esto

Si estás sujeto a la Directiva ePrivacy o Ley de Cookies (que probablemente sea el caso), deberás contar con un banner de cookies que debes mostrar en tu sitio web o aplicación en la primera visita del usuario, con lo que le informas acerca de las cookies que hay en tu sitio web, sus derechos al respecto, así como solicitar su consentimiento y bloquear las cookies antes de obtener el consentimiento. Además, esto te permite crear y mantener actualizado un registro de los consentimientos recopilados. Sin ellos, los consentimientos recopilados no se consideran válidos. Adicionalmente, el RGPD requiere que cuentes con un registro del consentimiento de cada usuario que debe incluir cuándo y cómo se obtuvo; la información proporcionada al usuario en ese momento y las condiciones legales aplicables en el momento de la adquisición del consentimiento.

3) ¿Y en el caso específico del E-commerce?

Un documento de términos y condiciones es altamente recomendable para los propietarios de un E-commerce, porque te ayuda a manejar los problemas que puedan surgir en relación con los usuarios y, lo que es más importante, te ayuda a prevenir conflictos mediante el establecimiento de un acuerdo legalmente vinculante entre tú y tus clientes. Los términos y condiciones incluyen información obligatoria sobre los derechos del consumidor, las políticas de devolución, desistimiento o cancelación, las condiciones de la venta y los métodos de pago, envío, entrega, etc. (Tal y como lo exigen las leyes de protección del consumidor).

Cuando utilices los términos y condiciones, asegúrate de incluir cosas como:

  • Identificación de la empresa (datos de contacto del vendedor)
  • Descargos de responsabilidad y limitación de responsabilidad
  • Descripción del servicio que proporciona tu sitio web o app
  • Normas de envío, procesamiento y devolución
  • Información sobre la garantía (en su caso)
  • Indicar la existencia del derecho al desistimiento (en su caso)
  • Las condiciones de entrega del producto/servicio
  • Información relativa a los métodos de pago

Recuerda que un documento de términos y condiciones te ayuda a establecer y dejar claras las condiciones de tu negocio y, por lo tanto, te ayudan a proteger tus intereses. La recomendación es añadirlo al pie de página de tu sitio web y que esté siempre visible.

4) Conclusiones

Hay muchas formas de cumplir todos estos asuntos legales, desde abogados que redactan cláusulas y documentos y que resultan una opción no muy práctica y, por lo general, de mayor coste, hasta plataformas con equipos legales detrás que te permiten configurar cláusulas acordes a tu modelo de negocio y necesidades y que resulta la opción más costo-efectiva, ya que están basadas en la autogestión, es decir, que puedes configurarlo tú mismo con cláusulas prediseñadas y adaptables a todo tipo de negocios. Además, se añade la ventaja de contar con varios idiomas (recuerda que los documentos legales deben estar disponibles en los idiomas en que tengas tu sitio web).

5) Recomendaciones

  • Evalúa e identifica puntos de tratamiento de datos en tu sitio web y en tu negocio.
  • Practica la transparencia.
  • Haz divulgaciones relevantes, mantenlas actualizadas e identifícate claramente.
  • Minimiza el uso de datos* (solo trata lo que necesitas).
  • Ten una plataforma de gestión de consentimiento en tu sitio web.
  • Obtén el consentimiento de los usuarios de la Unión Europea
  • Conserva los registros y comprobantes legalmente requeridos