▷ Agencia Ecommerce 【Expertos en PrestaShop y Shopify】

✅ Agencia Ecommerce expertos en PrestaShop y Shopify. Diseñamos y desarrollamos tiendas online y estrategias de Marketing para Ecommerce.

Banner gdpr

Como seguro ya has oído, el 25 de mayo entra en vigor la GDPR en España, o según sus siglas en español, la RGPD. Para no liarnos: la nueva Ley de Protección de Datos de la Unión Europea.

Se podría decir que la GDPR es una ley que “completa” a la LOPD. Es mucho más exigente, pues busca asegurarse una mejor protección y servicio a los usuarios, que serán quienes tengan todo el poder sobre la cesión de su información personal. En una palabra: busca transparencia.

Afectará y mucho, a los negocios digitales, pues hoy en día todo se basa en los datos. Por eso precisamente ha surgido esta ley: para mejorar el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de los usuarios o clientes.

Y tú, como ecommerce, estás obligado a cumplirla. Por eso es importante que no te pierdas ni una sola coma de los aspectos claves de la nueva ley que te explicamos a continuación:

GDPR RGPD Europa

¿Qué es la GDPR y cuáles son mis obligaciones digitales a partir del 25 de mayo de 2018?

Aquí tienes algunos de los puntos más importantes sobre la nueva Ley de Protección de Datos, para posteriormente desarrollar algunos en más detalle. Pero sobre todo, recuerda que si tienes alguna duda, lo mejor es que consultes a un abogado. ¡Más vale prevenir que curar!

Valora si necesitas designar un Responsable de Protección de Datos

Él será quien se encargue de manejarlos. Si son cantidades muy grandes, variadas, datos sensibles… sobra decir que no estaría de más. Tendría que conocer además la manera adecuada de protegerlos, como a través de la pseudonimización y el cifrado.

Identifica al responsable de esos datos

El usuario o cliente tiene que saber quién es la persona responsable de sus datos, además de por qué y para qué los está recogiendo, ya que es a esta persona a la cual se podrá dirigir para solicitar la revocación de sus datos, por ejemplo.

Y otro punto muy importante: si hay una brecha de seguridad, y los datos han quedado expuestos, deben existir procedimientos para avisar a los clientes de lo que ha sucedido. Y hay que poder probar que la persona responsable ha estado velando por la seguridad y privacidad de esos datos.

¿Cuál es el objetivo del tratamiento de esos datos?

Siempre, siempre, tienes que explicar de manera clara a tu cliente con qué objetivo vas a recabar y hacer tratamiento de sus datos. Y cuál es la base jurídica para este tratamiento. Una vez más, ¡de manera clara!

Avisa quién va a tener acceso a los datos

Es decir, hay que avisar de todas las terceras partes (servicios de terceros) que vayan a tener acceso a esos datos: tu hosting, empresas asociadas si las hay, plataforma de email con la cual los gestiones, etc.

¿Durante cuánto tiempo puedo mantener los datos?

Deja claro durante cuánto tiempo vas a mantener sus datos personales (además de para qué) No los puedes mantener para siempre en tu Base de Datos, solo lo que dure el tratamiento de los mismos para el servicio ofrecido. Si no hay un plazo exacto, explica entonces los criterios que estás siguiendo.

Tu cliente tiene el control de los datos

Uno de los puntos más importantes de esta nueva ley, es que los usuarios o clientes deben tener conocimiento de sus derechos respecto a la gestión de sus datos y sobre todo, poder acceder fácilmente a la rectificación o derecho al olvido de los mismos.

Las obligaciones contractuales deben estar bien indicadas

Si es estrictamente necesario que den su aprobación al tratamiento de datos para poder disfrutar de un servicio, tienes que indicarlo claramente. O dicho de otra manera: si no facilita sus datos, ¿qué es lo que puede pasar? ¿en que le influye o perjudica dentro del servicio?

Te puede interesar >>  El Nuevo Reglamento Europeo en el emailing

El cliente debe estar informado de todo

Por ejemplo, una cosa que solemos hacer si tenemos ecommerce es un buyer persona. Si esto lo haces de manera automatizada, también debes avisar que existen procesos que puedan usar sus datos a este afecto. O la existencia de cualquier otro proceso automático.

Además, siempre debes informarles si el objetivo o fin de tu tratamiento de datos cambia.

Y sólo puedes coger los datos que necesites: si no están relacionados con el servicio que vas a ofrecer, no los debes pedir.

Debe quedar constancia del consentimiento del cliente al tratamiento de datos

Recogerás el consentimiento expreso y acreditable de parte de los usuarios. Este punto lo desarrollamos más abajo.

Desde la Agencia de Protección de Datos, ponen a tu disposición de manera gratuita la Herramienta Facilita para GDPR en España, orientada a empresas que tratan datos personales de escaso riesgo (datos personales de clientes, proveedores o recursos humanos)

GDPR RGPD datos personales

¿Qué hago con los listados y tratamientos de datos que ya tengo?

Este es otro de los puntos más importantes y sobre el que surgen más dudas. Llevo meses, años, recogiendo datos de clientes y usuarios. ¿Los voy a perder? No necesariamente.  Pero tienes que revisar tus listados anteriores, así como los sistemas de captura de datos de la web y sus herramientas asociadas.

Aquellos clientes que ya te cedieron en su momento los datos bajo la LOPD, pero no cumplen las directrices de la GDPR en España, tienen que dar su consentimiento expreso para el procesamiento de los mismos. De lo contrario, no podrás usarlos.

Por ejemplo, antes del 25 de mayo puedes mandar un email informando a tus clientes de la nueva normativa, e indicando qué datos tienes, para qué los usas, cómo revocarlos, etc. Y que él te pueda decir si acepta expresamente esos usos o no.

En el caso de un ecommerce sucede lo mismo: si a los clientes ya se les explicó en su momento que sus datos iban a ser utilizados en la tienda y para qué – y lo más importante, puedes acreditar que tienes su consentimiento informado -, no tienes que hacer nada. De lo contrario, volvemos al párrafo anterior.

La GDPR y el derecho a la portabilidad

Hablando de datos que ya tienes, el cliente podrá ejercer el derecho a la portabilidad de los mismos siempre y cuando sean datos que se estén tratando de modo automatizado. Y en principio, solo se portarán los datos facilitados en la web, no las segmentaciones derivadas de tratamientos posteriores de dichos datos.

En cualquier caso, según la GDPR, lo que debes hacer es facilitarle los datos “en un formato estructurado, de uso común y lectura mecánica” (un Excel, por ejemplo; más de uso común que eso, poco) para que el cliente pueda transmitirlos fácilmente al responsable del otro proveedor.

Incluso tiene derecho a  que “los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible”.

Lo cierto es que es un tema complejo, y te aconsejamos que para tener toda la información necesaria, te leas estas directrices de la Agencia de Protección de Datos.

La GDPR y tus usuarios: la privacidad y el consentimiento son la clave

Como habrás podido ver en los párrafos anteriores, la nueva ley de protección de datos se basa en gran parte en el consentimiento de los clientes al uso de su información, y la transparencia. Por eso merece la pena que nos detengamos un poco en este punto.

Toda información relativa al tratamiento de sus datos debe ser accesible y fácil de entender. Y sin olvidar que el consentimiento para el tratamiento de los datos debe ser revocable en el momento que el cliente así lo desee. Y de manera fácil, sin “mareos”.

Debes informarle absolutamente de todo lo que hagas con la información que te está facilitando: el usuario tiene el poder. Y para que el usuario pueda consentir algo y sea legal, tiene que tener claro qué es ese algo. Solo así te podrá dar el consentimiento expreso y específico que tú le solicitas. Nada de consentimientos implícitos o dados por supuesto.

Y muy importante: debes poder acreditar que has obtenido dicho consentimiento, en caso de que tengas una inspección. Por ejemplo, sería muy importante que cuentes en tu plataforma de email marketing con un registro de todos los consentimientos adquiridos.

Mínimo, los datos que deben constar en este registro serían, por ejemplo:

  • fecha en la que se otorgó el consentimiento
  • la IP desde la que se hizo
  • la URL desde la cual llegó dicho consentimiento
  • el email del cliente
  • el nombre del cliente
Te puede interesar >>  Elige el mejor módulo GDPR con nuestra comparativa

En el caso de que haya una brecha de seguridad, y los datos de los usuarios hayan quedado expuestos, tienes que tener procedimientos para avisarles, en máximo 72 horas, de lo que ha sucedido, y poder probar que has estado velando por la seguridad y privacidad de esos datos.

checklist gdpr rgpd

Tus formularios de ecommerce adaptados a la nueva ley de datos de la Unión Europea

Para el correcto cumplimiento de la nueva ley o GDPR, cada formulario que tenga un objetivo concreto: suscripción, información, etc, deberá estar adaptado a la recolección y consentimiento específico de esos datos, informando específicamente al cliente de su uso.

Ya no puedes poner la típica casilla para incluir el email y un botón al lado diciendo “Envíamelo”, “Lo quiero”, porque ahí no explicas nada. Y recuerda que la base de esta nueva ley de protección de datos es la transparencia.

No puede haber casillas marcadas por defecto, si no que debes poner un checklist de consentimiento. Normalmente al final del formulario, justo antes de que el cliente envíe sus datos personales.

Ahora pongamos el caso de que no tienes formularios, solo un email de contacto para quien te quiera o necesite escribir. Entonces, siempre y cuando no estés solicitando información de carácter personal, con tener un breve texto legal en el apartado de la firma del correo será suficiente (en el cual, igualmente, debes dejar constancia de quién es el responsable de esos datos y los apartados correspondientes al GDPR)

gdpr penalizaciones

¿Cuáles son las penalizaciones por no cumplir la ley GDPR?

Seguro que esta ha sido una de las primeras cosas que has mirado. Y te habrás dado cuenta que las multas son mucho mayores bajo la GDPR que en la LOPD.

Antes las sanciones podían ser leves, graves y muy graves. Bajo la nueva ley europea de protección de datos, las multas se dividen en dos rangos: graves y muy graves, dependiendo de los artículos del reglamento que las contengan.

Las sanciones graves pueden ir desde los 600.000€ hasta los 10.000.000€ y serán aquellas relacionadas con:

  • Las obligaciones del responsable y del encargado
  • Las obligaciones de las autoridades de certificación
  • Las obligaciones del organismo de control

Las sanciones muy graves pueden llegar a alcanzar hasta los 20.000.000€ y serán aquellas relacionadas con:

  • Los principios básicos que atañen al tratamiento de los datos. Aquí se contempla el correcto consentimiento del usuario, por eso es un punto que antes destacábamos y por eso es tan importante cumplir todos los requisitos.
  • Los derechos de los clientes o usuarios. Otro punto sobre el que hemos incidido mucho: la transparencia, el acceso a los datos personales, derecho al olvido, a las decisiones individuales automatizadas…
  • Las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional.

Además, cada estado es libre de asociar sanciones penales a dichas infracciones.

Pero no solo te pueden multar desde el estado: el propio usuario, si ha visto sus datos vulnerados, también podrá interponer denuncia y podrías llegar a pagarle una indemnización. Aspecto que no contemplaba la LOPD.

Como puedes ver, te juegas mucho y es imprescindible que tomes las medidas pertinentes para cumplir con todas las de la ley.

Instala este módulo GDPR en tu tienda Prestashop

Ha quedado patente cuan importante es que tu ecommerce recoja los datos de manera adecuada. Y te decimos cómo podemos ayudar.

Gracias a nuestro módulo GDPR de Prestashop, que puedes instalar en tu tienda online, habrá un popup que avise de la entrada en vigor de esta nueva ley, y que se encargará de la parte técnica del tratamiento de los datos:

  • Aceptación de condiciones de privacidad en el formulario de Newsletter.
  • Aceptación de condiciones de privacidad en el formulario de Contacto.
  • Aceptación de condiciones de privacidad en el formulario de Registro.
  • Posibilidad de borrar cuentas de cliente si aún no hay pedidos ni facturas
  • Se guarda un registro con la información necesaria de todas los consentimientos obtenidos.
  • Si el cliente ya había dado su consentimiento a la antigua LOPD, al entrar a la tienda, se le solicitará que acepte también la GDPR, en caso contrario no podrá seguir usando la tienda.
  • El cliente podrá comprobar desde su panel de cliente la fecha en la cual dio su consentimiento.
  • El cliente podrá solicitar el borrado de todos sus datos de la tienda (siempre y cuando no haya ningún pedido en curso o alguna factura emitida, ya que esto no sería legal)

Desde el propio blog de Prestahsop recomiendan nuestro módulo, disponible aquí. Si tienes cualquier duda, ponte en contacto con nosotros y te ayudamos en lo que necesites.

Módulo para PrestaShop para cumplir con la RGPD

Respecto a la parte administrativa y legal, como te indicamos al principio del post, recuerda que ante cualquier duda debes consultar con un abogado. Desde la Agencia Española de Protección de Datos, tienes un servicio de consulta gratuito donde resolver tus dudas.

Como todo lo nuevo, ahora parecen muchas cosas, pero seamos positivos: lo bueno de todo esto, es que quien te ceda sus datos, estará 100% interesado en lo que le ofreces, por lo que se entiende que la cantidad de leads será mayor. ¿No crees?

Por el momento, habrá que ver cómo evoluciona todo, ya que hay partes de la GDPR un poco oscuras o difíciles de entender, y habrá que ver cómo las aplican. No queda más remedio que esperar a las primeras resoluciones para ver realmente la magnitud de los cambios traídos por esta ley.

gdpr nueva ley de protección de datos

Contacta con nosotros
5/5 - (1 voto)

Artículos Relacionados

beatriz avatar

Acerca de Beatriz Ruiz

Redacción de Contenidos y consultoría SEO en el Departamento de Marketing. Formación en Digital Business, Marketing, Publicidad y Diseño, con una visión global dentro del sector tienda online y todo lo que conlleva un negocio en Internet.

Interacciones con los lectores

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído, entiendo y acepto la política de privacidad de datos de IDX (Leer aquí la política completa) *

Información elemental sobre protección de datos

Responsable: Los datos de carácter personal que recopilados al hacer el envío son gestionados por IDX con CIF: B86091451 como propietaria de esta web.
Finalidad: La recogida y tratamiento de datos personales tiene como finalidad, la gestión de la solicitud de información sobre los servicios, productos y promociones ofrecidas por IDX.
Legitimación: Consentimiento del interesado.
strong>Destinatarios: Alojamos la información en servidores de OVH y Cloud NextGen, además utilizamos Acumbamail y Pipedrive para la gestión de comunicaciones comerciales por email.
Derechos: Puedes ejercer tus derechos de acceso, rectificación, limitación y eliminación los datos enviando un email en rgpd[arroba]innovadeluxe.com. Tienes derecho a presentar reclamación ante una autoridad de control.
Información Adicional: Consulta información detallada sobre nuestra política Protección de Datos en el Aviso Legal.