Bufete abogados Mallorca y Barcelona | LERYCKE ADVOCATS logo

Tratamiento de datos personales en el comercio electrónico

Civil,Inmobiliario,Protección de Datos

Thursday, 30 June 2022

Guías prácticas

Consideraciones a tener en cuenta, régimen específico y personas encargadas

 

Con independencia de tratarse de una persona física o jurídica, el prestador de servicios de comercio electrónico tiene que tener en cuenta:

1. El análisis del riesgo que implica o pueda implicar el tratamiento de datos personales.

2.  El cumplimiento de los principios de la protección de datos.

3.  La determinación de las bases o condiciones de legitimación del tratamiento.

4. La información al interesado, tanto si los datos personales se obtienen del mismo como si no es así.

5.  La adopción e implementación de medidas técnicas y organizativas adecuadas, en virtud de la responsabilidad proactiva y, cuando corresponda, revisión y mejora.

 

Régimen específico del envío de comunicaciones comerciales por correo electrónico u otros medios de comunicación electrónicos equivalentes 

En el ámbito del comercio electrónico una de las cuestiones específicas que se plantean es la relativa al envío de comunicaciones comerciales por correo electrónico u otros medios de comunicación electrónica equivalentes, tales como los mensajes de telefonía móvil, ya sean SMS o MMS

En este sentido, debe partirse de que tanto el Reglamento General de Protección de Datos como la Ley Orgánica de Protección de datos son las normas generales en materia de protección de datos. No obstante, existe un régimen específico para el envío de dichas comunicaciones electrónicas en la normativa sectorial, tanto europea como nacional.

En concreto, la normativa europea es la Directiva 200/31/CE y la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (directiva sobre la privacidad y las comunicaciones electrónicas) y el Rgto (CE) 2006/2004 sobre la cooperación en materia de protección de los consumidores.

La normativa nacional relevante es la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

La LSSI, siguiendo la normativa europea, incluye una regla específica en la materia que es la relativa a la posibilidad de enviar comunicaciones comerciales por correo electrónico u otros medios de comunicación electrónica equivalentes a quienes hayan adquirido previamente productos o servicios.

En caso de no estar ante dicho supuesto, será necesario, en principio, obtener el consentimiento expreso del interesado. Se establece, por tanto, como norma general, la regla o norma general en materia de envío de comunicaciones comerciales por correo electrónico u otros medios de comunicación electrónica equivalentes, indicando que está prohibido si previamente no hubieran sido solicitadas o expresamente autorizadas por quienes sean sus destinatarias (LSSI art.21.1).

Es decir, como excepción a la regla general de prohibición de envío de comunicaciones comerciales por correo electrónicos u otros medios de comunicación electrónica equivalentes salvo que se tenga el consentimiento expreso del interesado, únicamente cabe la posibilidad de enviarlas cuando exista una relación contractual previa y se trate de productos o servicios similares.

Cuestiones a considerar en la contratación de encargados del tratamiento 

Sin perjuicio de lo ya indicado sobre la obligación del responsable del tratamiento de recurrir únicamente a encargados del tratamiento que proporcionen garantías suficientes, en el caso del comercio electrónico, dados los tratamientos de datos personales que se llevan a cabo, es necesario que el responsable del tratamiento tenga también en consideración los aspectos que se indican a continuación.

1. Necesidad de que el encargado del tratamiento asista al responsable del tratamiento  a cumplir con sus obligaciones, lo que incluye que deba tener también los conocimientos necesarios sobre el sector del comercio electrónico.

2. Transferencias internacionales de datos que puedan producirse como consecuencia de la prestación de servicios de comercio electrónico, tales como el uso de servicios de nube u otros servicios para o que impliquen el tratamiento de datos personales.

3. Cuestiones específicas en materia de seguridad de los datos personales, tales como el uso de un servidor seguro que permita cifrar o encriptar el intercambio de datos personales entre el usuario y el sitio o página web del prestador de servicios de comercio electrónico.

4. Cuando sea aplicable, cuestiones relativas a la conservación de los datos personales que se traten ya sea, por ejemplo, con fines de cumplimiento del contrato con el usuario de los servicios de comercio electrónico, cuestiones relativas al pago de los productos y/o servicios, cuestiones fiscales aplicables o, en su caso, marketing o envío de comunicaciones comerciales por correo electrónico u otros servicios de comunicación electrónica equivalentes.

Designación de un delegado de protección de datos 

Ya sea que la designación se produzca de manera obligatoria o voluntaria, el prestador de servicios de comercio electrónico debe atender, específicamente, a que la persona que vaya a ser designada como delegado de protección de datos tenga los conocimientos especializados necesarios de la práctica en materia de protección de datos en este sector.

En este caso es necesario que se trate de una persona , sin perjuicio de que pueda ser un equipo de trabajo  o de que ser recurra a otras personas, según los conocimientos y capacidades necesarias en cada caso; que tenga conocimientos tanto en materia del Derecho de la protección de datos como tecnológicos, ya sea por lo que se refiere al funcionamiento mismo de los servicios de comercio electrónico que implican o pueden implicar un tratamiento de datos personales, como a la seguridad del tratamiento. Es decir, tiene que ser una persona que, sin perjuicio de la necesidad de actualizar constantemente sus conocimientos, conozca también las buenas prácticas en el sector del comercio electrónico.

Al margen de lo anterior, en relación con la figura del delegado de protección de datos deben cumplirse con las mismas obligaciones y garantías que en cualquier otro caso o ámbito en el que se produzca su designación.

Seguridad del tratamiento 

Al igual que en cualquier otro sector, la seguridad es clave en el comercio electrónico. Se trata de un factor esencial por lo que se refiere a impulsar la confianza de los usuarios.

En particular, debe tenerse en cuenta que en el caso del comercio electrónico, dado que las transacciones son electrónicas, debe prestarse especial atención tanto a que el prestador de servicios de comercio electrónico utilice un servidor y/o servicios electrónicos, tales como la nube, seguros, como a que se apliquen estándares de seguridad en las transacciones, en particular por lo que se refiere al pago mediante el uso de tarjeta.

Estándar PCI-DSS 

En materia de pago mediante el uso de tarjetas de crédito, un estándar internacional relevante es el PCI-DSS (Payment Card Industry Data Security Standard), que es el estándar de seguridad de datos para la industria de tarjetas de pago.

Este estándar fue elaborado en el seno del Consejo sobre Normas de Seguridad de la PCI (PCI Security Standards Council), que es un foro global destinado a la formulación, mejora, difusión y aplicación de normas de seguridad para la protección de datos de cuentas.

El Consejo sobre Normas de Seguridad de la PCI está integrado por empresas emisoras de tarjetas de pago, ya sean de crédito o de débito. Fue fundado en 2006 por American Express, Discover, JCB International, MasterCard y Visa.

El objetivo del estándar es ayudar a las empresas que tratan, almacenan y/o transmiten datos de los titulares de tarjetas de pago a proteger los datos, evitando así fraudes.

En concreto este estándar incluye requisitos sobre seguridad, mencionados en los requisitos y procedimientos de evaluación de seguridad del Consejo sobre Normas de Seguridad de la PCI.

En cuanto a la aplicación del estándar, cada emisor de tarjetas de pago tiene su propio programa de cumplimiento PCI. Es decir, el emisor de la tarjeta es quien, en el marco de este estándar, determina quién y cómo tiene que cumplir con su programa de cumplimiento PCI.

Compras seguras y protección de datos 

Al respecto, la Agencia Española de Protección de Datos junto con el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional, publicaron una guía práctica sobre la compra segura en Internet que puede ser de utilidad tanto para prestadores de servicios de comercio electrónico como para usuarios a la hora de, respectivamente, ofrecer sus servicios en Internet y realizar compras de manera segura.

En concreto, la guía se refiere a los derechos de los usuarios  cuando compran o contratan en línea (online), tanto en materia de protección de datos como sobre consumo, e incluye también recomendaciones en materia de ciberseguridad por lo que se refiere a la seguridad de las redes y los dispositivos utilizados para la realización de transacciones en línea.

En la guía se incluyen, en particular, consejos básicos para comprar en Internet de forma segura que deberían ser tenidos en cuenta tanto por el usuario como por el prestador de servicios de comercio electrónico.

Conservación de los datos personales 

El prestador de servicios de comercio electrónico debe prestar atención específica a su tratamiento para responder de responsabilidades surgidas durante el tratamiento de los datos personales, considerando al respecto la finalidad o finalidades del tratamiento; cuestiones relativas a cumplimiento de obligaciones en materia fiscal así como en materia mercantil.

 

Notícias relacionadas | Civil,Inmobiliario,Protección de Datos

Afiliaciones

Estar adheridos a reputadas asociaciones nacionales e internacionales es siempre garantía de calidad en el asesoramiento jurídico.

Utilizamos las cookies de "Google Analytics" para analizar nuestros servicios y la actividad de la web con el fin de mejorar su contenido. Para aceptar las cookies, pulse “Aceptar”. Para rechazarlas, pulse “Cerrar”. Para más información o configurar sus preferencias, pulse “Configurar”.

Aceptar Cerrar Configurar