Ricard Castellet

E-commerce: más allá del RGPD

por

El crecimiento exponencial del E-Commerce o comercio electrónico no ha hecho más que empezar. En los próximos años, pocos serán los negocios que podrán sobrevivir sin vender por Internet. Las oportunidades son numerosas, pero como toda iniciativa, debe tener unos sólidos cimientos. Por eso, además de tener una estrategia digital, debes tener una estrategia legal si quieres tener éxito. Una buena estrategia legal te permitirá superar el principal obstáculo para la venta online: la incertidumbre del usuario. Una web atractiva, un buen posicionamiento SEO, precios ajustados, … todo es necesario para que el cliente se fije en nosotros. Y una vez atraído por nuestra oferta, llega el momento culminante de la compra efectiva. Y aquí empiezan las dudas de nuestros clientes potenciales (serán fiables, me enviarán el producto, estará en condiciones, existirán costes ocultos, etc.). Y para superarlas, no queda otra que ser honestos y hacer de la transparencia uno de nuestros principales valores. Es decir, ser legales (en la acepción coloquial) y que, por supuesto, nuestro comercio online cumpla con lo que la ley prescribe y sea conforme a ella.

Está bien, pondremos una coletilla sobre protección de datos y ya está– No, no está. Claro que tenemos que proteger los datos personales de nuestros clientes, faltaría más. Ahora bien, siendo condición necesaria, no es suficiente. Una tienda online debe cumplir con otras normativas como son la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico en España (LSSI-CE), la Ley de Ordenación del Comercio Minorista para las ventas a distancia y el Orden del IVA aplicado al Comercio Electrónico.

Vamos a relacionar algunas de las principales obligaciones que deberemos cumplir.

  1. Deber de informar, que consiste en poner a disposición de los usuarios el Aviso legal, la Política de Privacidad, la Política de Cookies y las Condiciones de Compra[1]. Los primeros se corresponden con lo que exige el RGPD y el último es específico para el comercio online y debe contener las condiciones de contratación. Estas deben ser claras, redactadas en un lenguaje comprensible para el consumidor y de lectura obligada antes de hacer el pago de la mercancía.
  2. Consentimiento, como exige el RGPD, mediante un acto afirmativo claro, nunca tácito. Recordar aquí que el Responsable de tratamiento debe ser capaz de demostrar que ha recibido el consentimiento explícito en cualquier momento.
  3. Condiciones de contratación, que debe incluir, como mínimo, los trámites para la celebración del contrato, las lenguas que se pueden emplear, el derecho a desistimiento comercial, costes de devolución, los términos de la garantía y qué IVA se aplica[2].
  4. Confirmación de Compra, documento gratuito que recoge los términos esenciales de la transacción realizada.
  5. Normativa europea de Consumo, deber de informar a los usuarios de la existencia de una plataforma, a nivel europeo, de resolución de litigios en línea para problemas de consumo.
  6. Cesiones de datos, si realizamos actividades comerciales que impliquen relaciones con terceros que accedan a datos personales de nuestra responsabilidad, será necesario regular la relación mediante el oportuno contrato de Responsable/Encargado de tratamiento tal como exige el RGPD.
  7. Seguridad. Es imprescindible que el sitio web disponga del correspondiente certificado SSL y demás medidas que garanticen los datos de los usuarios, incluyendo los preceptivos procedimientos de control de acceso por el propio usuario a sus datos guardados en el sitio web.
  8. Atención al cliente gratuita. No es obligatorio disponer de este servicio, pero eleva el nivel de calidad que percibe el usuario y, al final, redunda en el beneficio del negocio.

No está de más recordar que el cumplimiento legal va en favor de ambas partes, vendedores y compradores. Genera seguridad jurídica y, por tanto, confianza entre las partes. Y por parte del vendedor, expresa una decidida voluntad de transparencia y honestidad en el trato, cualidades ambas necesarias en cualquier transacción que resultan imprescindibles cuando la relación no es presencial.

[1] Además de las cláusulas informativas en los formularios.
[2] El IVA aplicable y otras cuestiones fiscales dependen de si la venta se realiza a consumidores o a empresas, entre otros factores. Cada caso debe estudiarse individualmente.

Web: auditoría legal

por

¿Cómo saber si una empresa está adecuada auditando su web?

La página web de la empresa es una de sus caras más visibles. Es un escaparate que nos puede orientar, o desorientar, sobre el funcionamiento general de la empresa y mostrar fortalezas y debilidades. Solo hay que prestar un poco de atención a lo que se dice, cómo se dice y desde cuándo se dice. No es objeto de este post entrar a valorar aspectos como la estética, la usabilidad o la frescura del site. Sin embargo, sí lo es los aspectos legales que una web debe tener en cuenta para estar adecuada. Y en eso nos vamos a fijar.

Situaciones de partida

En el momento de revisar una web, las situaciones que se pueden dar son: Inexistencia de textos legales, no están todos los textos legales preceptivos, los contenidos no son correctos, son obsoletos o no son propios de la empresa.

Cuando queremos analizar una web desde la perspectiva legal, debemos fijarnos en que se cumplan una serie de requisitos.

El primero, la puesta a disposición del usuario, como mínimo, de la siguiente documentación:

  • Aviso legal
  • Política de Privacidad
  • Política de Cookies
  • Condiciones de servicio (cuando tenemos tienda virtual)

En todas las páginas de la web debe haber un enlace a estos textos, de forma que al usuario le resulte muy sencillo consultarlos en cualquier momento. La ausencia de alguno de estos textos nos dice que la web no está correctamente adecuada y, en consecuencia, la empresa, tampoco.

El segundo, el banner de Aviso de cookies, con su correspondiente enlace a la Política de Cookies y un botón de Acepto para que el usuario confirme que ha leído, entendido y aceptado qué cookies se instalan en su navegador.

El tercero, los textos de consentimiento en los formularios. Cuando pedimos datos a los usuarios, es obligatorio poner a su disposición la Política de Privacidad de la empresa con antelación a la acción de enviarlos. Esto se puede hacer mediante la inclusión de una casilla de marcado obligatorio (con un enlace a la Política de Privacidad) mediante la cual el usuario acepta que ha leído, entendido y aceptado. En los supuestos de datos de categoría especial, es imprescindible utilizar el mecanismo de “doble capa” tal como recoge la LOPD[1].

Contenidos

Debemos, además, fijarnos en los contenidos de los textos legales. Hay que recordar que todos los textos jurídicos son lo que dice el contenido, no el título. Hay que asegurarse que incluyen la información requerida y que está actualizada a la normativa vigente. Si, por ejemplo, faltan datos de la empresa en el Aviso legal o en la Política de Privacidad se hace referencia a la LOPD de 1999, podemos estar seguros de que la web, y la empresa, no están adecuadas.

No hace falta decir que los textos son el resultado de la adecuación de la empresa (final del proyecto, no el principio). Como consecuencia, los textos deben ser específicos para cada empresa. No vale con “copiar y pegar” de otras empresas. Además de las infracciones que podamos cometer, es una conducta fraudulenta porque intenta aparentar cumplimiento cuando no es cierto. Las herramientas anti-plagio, de las que hemos oído hablar tanto últimamente, son muy eficaces. Pero muchas veces basta con buscar una frase entrecomillada en Google para ver la autoría del texto.

Falsas apariencias

Que los textos legales de la web sean correctos es condición necesaria pero no suficiente para dar por adecuada una empresa. De hecho, en incontables ocasiones, la empresa adecúa la web sin llevar a cabo el resto de tareas necesarias para cumplir con el Reglamento. Se produce, así, una conducta fraudulenta, directamente sancionable.

Recomendaciones

Adecuar la empresa mediante un proyecto completo que cumpla con los requisitos del RGPD[2] y la LOPD. Esto nos permitirá cumplir con la legalidad, ofrecer la mejor impresión de nuestra empresa (a audiencias internas y externas) y evitar sorpresas desagradables.

Si necesitáis ayuda o información, contactad con nosotros en info@tecnolawyer.com.

[1] Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y garantía de los derechos digitales (LOPDGDD)
[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)

Registro de horas vs. Protección de Datos

por

Con efecto a partir del próximo 12 de mayo de 2019, el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, modifica el art. 34 del Estatuto de los Trabajadores, instaurando el deber de la empresa de garantizar el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria existente.

El objetivo es, por una parte, computar las horas extraordinarias de los trabajadores mediante el registro de las horas realizadas cada día y, por otra, controlar el tiempo de trabajo de los trabajadores a tiempo parcial.

Como es natural, los especialistas en Derecho laboral nos darán las pautas a seguir desde su punto de vista. Lo que a nosotros nos preocupa, como no, son las vulnerabilidades en materia de protección de datos que la nueva obligación plantea.

Y lo hace, al menos, en tres aspectos.

  1. La forma de registro
  2. La conservación de la información
  3. La disponibilidad de los registros.

1. La forma de registro queda a discreción de la empresa (previa consulta a los trabajadores). Y puede ser desde una simple hoja de Excel hasta un sofisticado sistema de geolocalización, pasando por controles biométricos (Art. 9.1.a) RGPD[1]) u otros. En este aspecto, el peligro proviene de utilizar medios invasivos o claramente desproporcionados como, por ejemplo, el control por huella digital o reconocimiento facial o la monitorización constante mediante sistemas de geolocalización.

2. La conservación de la información es el segundo aspecto a tener en cuenta. Aunque los datos no sean de categoría especial (se recogen habitualmente el nombre, la fotografía, número de empleado, etc.), debemos conservarlos adecuadamente (como con todos los datos personales). Si guardamos datos biométricos o similares, la conservación debe ser especialmente segura. Hay que tener en cuenta que la norma exige su conservación por el plazo de cuatro años.

3. La disponibilidad de los registros es el último. Dice la normativa que estos deben permanecer a disposición del trabajador, sus representantes y la Inspección de Trabajo y Seguridad Social. Esta disponibilidad conlleva ciertamente peligros desde la óptica de la protección de datos como son el acceso a los registros por personas no autorizadas o la distribución de forma inadecuada.

Para concluir, unas recomendaciones generales, entendiendo que cada empresa es un mundo y que no es lo mismo, por ejemplo, una empresa de servicios que una empresa industrial.  Por lo que respecta al registro, buscar un sistema mínimamente invasivo, que no haga uso de datos biométricos. Siguiendo el Reglamento, usar los datos mínimos imprescindibles. En cuanto a la conservación –y la disponibilidad–, es recomendable utilizar medios tecnológicos contrastados (descartamos el papel y la hoja de Excel), que permitan demostrar el cálculo de horas sin posible manipulación y que se puedan facilitar, a terceros, sin poner en peligro la información (distribución seudonimizada). Una app en la nube podría ser la mejor solución. Pero solo es una opinión.

Como consultores en Derecho Digital, estamos al servicio de la empresa. Podéis contactar con nosotros en info@tecnolawyer.com. Estaremos encantados de prestaros ayuda.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)

¿Tienes 76 días laborables libres para leer los Términos y Condiciones?

por

Si nadie, ni siquiera los abogados*, leemos los Términos y Condiciones, ¿qué sentido tiene ponerlos? Porque no solo hay que leerlos, sino entenderlos. Y solo en el supuesto que estés de acuerdo podrás instalar la app o acceder a la web.

Según un estudio de la Carnegie Mellon, la extensión media de las políticas de privacidad es de unas 2.500 palabras. Se estima que un lector medio puede leer alrededor de 250 palabras por minuto de promedio. Es decir, necesitamos 10 minutos para leer la política. Teniendo en cuenta que visitamos de promedio unas 1.400 webs y apps al año, necesitamos, en términos de jornadas laborales de 8 horas, unos 76 días de trabajo para completar la tarea. Si lo trasladamos a términos económicos, según la universidad, el coste de oportunidad de leer las políticas de privacidad en USA estaría alrededor de 800.000 millones de dólares.

Estamos ya en la economía del dato y nuestras actividades en el entorno digital pueden revelar información nuestra de formas insospechadas. Las empresas pueden conocer datos nuestros pero también datos de otras personas de nuestro entorno que no han aceptado siquiera los términos y condiciones. Roomba podría mapear nuestro hogar y esa información ser compartida con, por ejemplo, fabricantes de muebles o compañías de seguros. O Uber que podría modificar el precio del trayecto en función del nivel de batería de nuestro teléfono. Y solo son dos ejemplos.

Los ciudadanos no podemos defendernos solos ni estar gobernados por los términos y condiciones de las grandes, y no tan grandes, empresas y corporaciones. Por eso Europa lidera, a nivel mundial, el camino con el RGPD (y en España además con la LOPDGDD), en defensa de nuestros datos estableciendo unas garantías básicas que nos permitan vivir sin tener que leer, entender y aceptar toda la jerga legal de los términos y condiciones.

 

 

 

 

 

 

 

 

*Exceptuando a Jorge Morell Ramos de terminosycondiciones.es.

Japón, primera decisión de adecuación desde la aplicación del RGPD

por

La Comisión Europea adoptó el pasado 23 de enero una decisión de adecuación para Japón, creando el mayor espacio de flujo de datos seguros del mundo. Esto significa que los datos personales fluirán libremente entre las dos economías sobre la base de garantías sólidas de protección.

Los elementos esenciales de la decisión de adecuación son, primero, un conjunto de normas adicionales que permitirán reducir algunas diferencias entre los dos sistemas de protección de datos, en particular, en materia de datos sensibles, ejercicio de derechos individuales y las condiciones de transferencia a terceros países. En segundo lugar, un mecanismo de tramitación de reclamaciones con el que se puedan investigar y resolver las reclamaciones de los ciudadanos europeos.

Vĕra Jourová, comisaria de Justicia, Consumidores e Igualdad de Género, declaró: "Esta decisión de adecuación crea la mayor área mundial de flujos de datos seguros. Los datos de los europeos se beneficiarán de unas normas de privacidad estrictas cuando sus datos se transfieran a Japón. Nuestras empresas también se beneficiarán de un acceso privilegiado a un mercado de 127 millones de consumidores. La inversión en la protección de la vida privada es rentable; este acuerdo servirá de ejemplo para las futuras asociaciones en este ámbito clave y ayudará a establecer normas mundiales.

Esta decisión de adecuación para Japón es relevante por tres motivos: el elevado número de consumidores de ambas economías, la potencia económica que representa Japón (PIB superior a los 4 billones de €) y el alto grado de penetración de la tecnología en su población. Estas tres variables hacen que para la UE esta iniciativa suponga una apuesta de confianza por el país asiático y por sus autoridades de protección de datos. 

Revisión Textos Legales Web