2018 ha llegado, y con él la nueva ley europea de protección de datos. Este año, además de tener grandes propósitos y proyectos, tendrás que hacer un hueco para preparar tu negocio e implementar medidas que cumplan con esta nueva normativa que entrará en vigor en mayo. El régimen sancionador de la norma debería ser incentivo suficiente para hacerlo. En este artículo veremos cómo afecta a tu negocio o tienda online y veremos algunos consejos prácticos para sobrevivir a ella.
¿Qué es la ley de protección de datos?
La normativa de protección de datos de carácter personal busca garantizar los siguientes derechos fundamentales de las personas físicas: el honor, la intimidad y la privacidad. El objetivo de la misma es regular el tratamiento de datos y ficheros de carácter personal en una sociedad cada vez más expuesta a medios electrónicos y donde la libertad de circulación de información es una realidad. Parece razonable que tengamos derechos sobre nuestra información y podamos asegurarnos que no se hace un uso inapropiado de ella.
La finalidad del legislador europeo es la de establecer el mismo nivel de derechos y obligaciones exigibles para los responsables y encargados del tratamiento de datos personales en todos los Estados Miembros. En España, la Agencia Española de Protección de Datos (AGDP) es el organismo responsable de velar por la protección de los datos de carácter personal y el cumplimiento de la normativa. La AGDP ha elaborado una guía de 12 preguntas sobre el reglamento de protección de datos muy útil para comprender mejor la nueva normativa.
Imagen cortesía de: Agencia Española de Protección de DatosEn definitiva, el legislador europeo busca ofrecer mayor protección a la privacidad de los ciudadanos europeos contribuyendo a mejorar la libre circulación de los servicios de la sociedad de la información. La normativa otorga protección de los datos personales, con independencia de si su tratamiento ha sido automatizado o manual, a personas físicas sin discriminación de nacionalidad o lugar de residencia. Los datos relativos a empresas y personas jurídicas, tales como su denominación, forma social y medios de contacto no entran en el ámbito de protección de la normativa.
La distinción de perfiles según la normativa
- Titular de los datos de carácter personal: el cliente, el usuario, el empleado – cualquier persona física interesada que se identifique y proporcione datos personales. Debe mediar en todo momento el consentimiento específico para el uso concreto de sus datos.
- Responsable del tratamiento de los datos, es la persona o empresa que ofrece un servicio o vende un producto y que precisa de la obtención de datos personales para su prestación o entrega. La empresa es responsable de la custodia y uso responsable de la información. Por ejemplo, un espacio de coworking como EWORKS obtiene información de sus miembros necesaria para la prestación de sus servicios de oficina y networking.
- Encargado del tratamiento de los datos, es la persona o empresa que trata los datos de carácter personal por cuenta del responsable. Puede ser un tercero que ofrece una solución para tratar esos datos de una determinada manera: por ejemplo la solución de Yotpo para la gestión de valoraciones y reseñas de clientes; empresas de paquetería como DHL o UPS para la entrega de pedidos a direcciones de particulares, o el propio Shopify para como plataforma de comercio electrónico.
¿Qué significa esto para mi negocio o tienda online?
La nueva normativa de protección de datos afectará a todos los ámbitos de tu negocio o tienda online. Desde las ventas y el marketing, hasta la gestión administrativa y las bases de datos. A pesar de todo, la normativa es consciente de la situación de las pequeñas y medianas empresas por lo que ofrece excepciones a requisitos respecto del tratamiento de los datos para este tipo de empresas. Lo que está claro es que cualquier proceso de tu empresa que requiera de procesar o almacenar información quedará sujeto a la normativa y deberá tener consentimiento específico y detallado por parte del titular de los datos.
En una entrevista realizada por Wolters Kluwer, Alejandro Touriño, profesor del Instituto de Empresa y abogado del despacho tecnológico Ecija, nos facilita una aproximación muy clara respecto del alcance de la nueva normativa de protección de datos y la figura novedosa del “data protection officer”. Haz clic aquí para ver el vídeo explicativo y la entrevista.
Destacamos las siguientes conclusiones:
1. Consentimiento explícito para realizar actividades de marketing
El titular de los datos, (usuarios, clientes y empleados) deberá aceptar directamente la inclusión de sus datos para la realización de actividades de marketing. Los titulares de los datos deberán seleccionar de forma voluntaria la casilla correspondiente para materializar su aceptación; ya no serán válidas las casillas preseleccionadas ni el consentimiento tácito. Además, el consentimiento deberá prestarse respecto del uso de los datos por terceros, debiendo incluir la información de los posibles terceros que podrían tener acceso a la misma. La utilización de herramientas de “big data” y las actividades de marketing, especialmente las relacionadas con la personalización; los perfiles y las audiencias, se verán afectadas y deberán adaptarse a las condiciones previstas para el consentimiento en esta nueva normativa.
2. El derecho al olvido
Los titulares de los datos tendrán derecho, no solo a editar sus datos y modificar su consentimiento, sino que además podrán solicitar su borrado permanente de los sistemas del responsable del tratamiento de los datos. El proceso para solicitar el derecho al olvido no tiene que ser totalmente online pero puede facilitar su gestión. Los negocios y tiendas online deberán adaptar sus procesos para facilitar todos estos trámites.
3. La figura del “data protection officer”
Para grandes empresas y corporaciones la normativa introduce la figura del “data protection officer” o DPO por sus siglas en inglés. Su responsabilidad es la de garantizar el cumplimiento e implementación de mecanismos que protejan los datos sobre los que son responsables o encargados de su tratamiento de acuerdo con lo establecido por la normativa. Además, son responsables de informar a la AGPD de posibles incidencias; los negocios online tienen un plazo de 72 horas para realizar la notificación.
Si quieres velar por la protección de datos en tu organización puedes certificarte como DPO a través de cursos especializados para la formación de “data protection officer” como los que ofrece el Consejo General de la Abogacía Española.
4. El incremento sustancial del régimen sancionador ante el incumplimiento
Las sanciones llegan hasta 20 millones de euros, por lo que es de especial interés para las empresas de cualquier tamaño asegurarse de tener medidas seguridad en el almacenamiento y tratamiento de los datos. La encriptación de la información es imprescindible para garantizar su integridad. La transición será más sencilla para empresas que operen con servicios en la nube, como es el caso de Shopify en las plataformas de comercio electrónico. Aquellas empresas que dependan de servidores propios deberán de contar con un equipo dedicado a velar por la seguridad de la información.
¿Qué medidas está tomando Shopify para cumplir con la normativa?
Imagen cortesía de: BurstPor suerte para los comercios y tiendas online en Shopify, el cumplimiento de la normativa en materia de protección de datos se hará un poco más sencilla. Gran parte del cumplimiento será realizado directamente por la plataforma Shopify. Algunas de las iniciativas que ha emprendido Shopify consisten en:
- Inicio un plan de protección de datos con un DPO dedicado.
- Implementación de procesos de evaluación de tratamiento de datos personales.
- Revisión de los contratos con terceros prestadores de servicios complementarios.
- Formación específica para garantizar el cumplimiento de la normativa.
- Aplicación de normas internas de cumplimiento de la protección de datos.
- Procesos para cumplir con los derechos ARCO y el derecho al olvido.
Si quieres más información del RPGD, en este artículo (en inglés) podrás encontrar todos los detalles sobre las medidas que está adoptando Shopify para cumplir con la normativa de protección de datos.
Ahora te toca a ti, empieza a cumplir con el nuevo reglamento de protección de datos utilizando Shopify
Empieza por realizar un análisis de tu empresa, consistente en la valoración desde un punto de vista legal, técnico y organizativo del cumplimiento de la compañía en materia de protección de datos (también conocido como análisis GAP). Si todavía no has cambiado tu tienda online a Shopify, este es un buen momento para hacerlo. Aprovecha las ventajas de Shopify, ahora también para cumplir con el reglamento de protección de datos de tu tienda online. Si ya has empezado a adaptar a tu negocio o tienda online comparte con todos las medidas que estás tomando para ello.
En ofrecemos soluciones especializadas de comercio electrónico para conseguir el éxito de tu tienda online en Shopify.
Acerca del autor
Tomás Morán CEO y Team builder en Kameleon. Kameleon Shopify Expert Agency ofrece soluciones especializadas de comercio electrónico para conseguir el éxito de tu tienda online en Shopify. Emprendedor y apasionado del ecommerce.
Más información
- GDPR- Lo que tu (y tu tienda) necesitan saber sobre esta nueva Ley Orgánica de Protección de Datos
- 7 referentes (no emprendedores) españoles que te ayudarán a emprender
- Shopify MeetUp- Madrid, 25 de enero de 2018 ¡por partida doble y gratuita!
- Aviso para España, ¡hemos llegado y los queremos conocer!
- Ley del IVA en España- todas las novedades que afectan a tu ecommerce
- Correos España- Comprometidos con la logística para ecommerce
- Programas de ayuda para emprendedores del ayuntamiento de Madrid
- All Yours utiliza Shopify POS para crear una experiencia omnicanal fluida