Seguridad

¿Cómo afecta el RGPD a mi tienda online Magento?

¿Tu tienda recoge y almacena datos de ciudadanos de la Unión Europea? Si la respuesta es afirmativa, estará afectada por el nuevo reglamento. En pocas palabras, con un simple formulario de contacto ya estaremos manipulando datos del usuario.

Ampliando el ejemplo anterior si, en nuestro ecommerce, los usuarios:

  • pueden suscribirse al newsletter
  • pueden enviar un formulario de presupuesto
  • pueden finalizar pedido en tu tienda
  • hacen comentarios de producto

deberemos adaptarnos a la nueva ley de protección de datos.

Incluso si no tuviéramos nada de esto pero tuvieramos enviando datos a Google Analytics tendríamos que adaptarnos.

¿Cuando entró en vigor?

Está aprobado desde el 2016 y durante este tiempo ha estado en periodo de adaptación. Pasa a ser obligatorio el 25 de mayo de 2018.

Cómo cumplir con el RGPD si tienes un ecommerce

Un profesional debería hacer una auditoría de tu tienda/negocio para reflejar que puntos se cumplen o no, tareas a realizar y un calendario de adaptación.

Primeramente vamos a indicar una lista de acciones en la gestión de ecommerce que a partir de ahora quedan invalidadas:

  • Enviar emails a personas que no lo hayan solicitado explícitamente. Prohibido (antes ya lo estaba) comprar listas de terceros o enviar a una lista de otra fuente.
  • No se pueden enviar emails relacionados con carritos abandonados, compras anteriores, cupones, ofertas, si el usuario no ha aceptado previamente el envio este tipo de emails. Esto es expandible a los SMS.
  • Si el cliente solicita sus datos personales que nos confió, es ilegal no facilitarselos.

En segundo lugar se indican nuevas obligaciones que entran en vigor con la nueva Ley:

Eliminar cuentas de usuarios.

A partir de ahora el usuario debería tener a su disposición una sección donde podrá “Eliminar cuenta” o similar para cumplir con el Derecho al Olvido. Esta funcionalidad eliminaría la cuenta y los datos personales que tengamos sobre este usuario, menos los datos de carácter fiscal.

Esto es extensible a terceros, es decir, tienes que informar a esos proveedores de servicios, que en su día enviaste esa información,  para que lo eliminen.

Este borrado de datos afecta también a las copias de seguridad. Plantéate esta nueva situación a tu webmaster/hosting para que aplique la mejor solución.

Edición de datos

Para cumplir con el derecho de rectificación es necesario que los usuarios puedan rectificar los datos recabados. Esto se amplía a datos recopilados por otras fuentes como Facebook, Google, Amazon, etc. con la opción “Inicio de Sesión con Facebook, Amazon, Google,…” Esa es la parte compleja técnicamente ya que la edición de datos desde la cuenta de cliente registrado (no invitado) viende por defecto en la mayoria de CMS permiten.

Exportación de datos del usuario

Igual que con el borrado o la edición de datos, el usuario deberá poseer la opción de exportar sus datos para cumplir con el derecho de portabilidad. El cliente podrá descargarlos y visualizarlos desde su cuenta de usuario.

Consulta de datos de usuario

El usuario podrá consultar en cualquier momento qué datos suyos están siendo tratado por parte de una tienda online en cualquier momento. Además del origen de esos datos, la finalidad del tratamiento, si va a ser comunicado en el futuro, si se ha enviado sus datos a un tercero o fecha/hora en que acepto los Términos y condiciones y Política de privacidad.

En el caso de compras como invitados también hay que darles una opción para esta consulta aunque no tenga cuenta de cliente creada:

  • Mediante un contacto directo con el responsable del fichero para que le proporcione esta información.
  • Mediante un sistema que al introducir un email u otro identificador se muestre los resultados asociados a esa información, al menos, de manera temporal.

Restringir el procesamiento de datos

Similar al apartado de eliminación de cuenta, con esta implementación, el RGPD busca una desactivación temporal de su cuenta hasta que el usuario decida activarla de nuevo.

Ley de Cookies

Con la aplicación de este nuevo reglamento, al igual que con la anterior LOPD, el consentimiento no puede ser explicitado y tiene que ser aceptado para aplicar las cookies.

Las cookies deben cargarse en el equipo del usuario después (no antes) de que éste otorgue su consentimiento. Pero esto no es nuevo, sólo que nadie lo cumple a rajatabla.

Verificación de la edad del usuario

En caso de menor de 16 años, el sistema no debería permitir el registro o la compra, a menos que sus padres o tutor de autorización. Si se introduce un nuevo campo fecha en el formulario podremos validarlo y llevar a cabo con la acción o  mostrar un aviso de error. Y en caso de falseo de datos, el propietario estará exento de responsabilidad.

Caducidad de los datos

Si los datos provenientes de nuestros usuarios han dejado de tener validez, han caducado o su fin ya no tiene sentido no debemos seguir conservando esa información. Los datos fiscales de pedidos/facturas/albaranes/devoluciones deberemos mantenerlos 4 años para cualquier consulta o inspección fiscal.

Pasos para adaptarse al nuevo reglamento

Los siguientes consejos hacen referencia a la parte técnica, formularios e email marketing. Como cada empresa tiene sus particularidades, debería buscar más información o consultar con un experto en este tema para cumplir con la ley al 100% y no dejar cabos sueltos o, al menos, ser consciente de ese cabo suelto.

Indicar que muchas de estas premisas ya las exigía la LOPD por lo que, si estabas ya al día en el cumplimento de la ley, tendrás menos trabajo para la adaptación.

Adaptar los formularios eliminado todos los checkboxs marcados automáticamente

En todos los formularios presentes en la tienda, registro, newsletter, proceso de compra, comentario de producto, etc. deberemos tener una casilla de consentimiento que el cliente deberá hacer click obligatoriamente para que el formulario sea enviado. No sirve el típico . “Al enviar este formulario acepta nuestra política de privacidad”. Eso pasó a la historia hace tiempo.

Conjuntamente se añadirá una capa de información con los principales aspectos del tratamiento de datos:  Responsable, Finalidad, Legitimación, Destinatarios, Derechos y Información adicional. En esta primera capa se mostrará un enlace a una segunda capa, página de política de privacidad, donde el usuario podrá ampliar la información. En otro post sobre RGPD se informaba de ello.

Eliminar todas las suscripciones automáticas

Si un cliente realiza un pedido, no sele debe enviar emails no transaccionales si no lo ha marcado explícitamente. O si ha realizado un pago como invitado está prohibido guardarlo como cliente registrado.

Adecuar/actualizar la política de privacidad

Debemos indicar que cumplimos y nos sometemos al RgPD.

Debes especificar qué información recogemos de los usuarios (por ejemplo, sus direcciones IP, desde qué tipo de dispositivo navegan, cookies, duración de la visita y páginas visitadas, su email, teléfono, nombre, dirección de envío y dirección de facturación, etc.)

Especificar quién, además de usted, tiene acceso a la información que guardas de tus usuarios (como por ejemplo Google, Mailchimp, Disqus…) Todos ellos son destinatarios de la información de tus usuarios y deben quedar consignados en tu Política de Privacidad.

Especificar la identidad del responsable de la gestión de los datos personales (puede ser un delegado en tu nombre).

Especificar que los usuarios tienen derecho a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.

Especificar la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.

Por último, si hay procesos automatizados como por ejemplo meter a un usuario en un segmento u otro de tu lista según qué acciones hayan realizado, esto debe estar explicado, siempre que vaya a tener consecuencias jurídicas para el afectado (si tienes dudas sobre esto, ya sabes, consulta con un experto).

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (Califica este artículo)
Cargando…

Dejar un comentario

Clientes

¿Hablamos?

Una vez que has llegado aquí ¿tienes alguna duda? Déjame tus datos de contacto y te llamaré en el primer hueco que encuentre.

Contactar