Si tienes una tienda On-line o un blog a través del cual comercializas tus servicios, u ofreces productos o servicios de terceros, marketing de afiliación, entonces, estás dentro del sector del comercio electrónico. ¿Qué te parecería saber lo cuáles son los elementos a los que más atención presta la Agencia Española de Protección de Datos, y así revisar tu plataforma para saber qué pasaría si mañana mismo le “echaran un vistazo”?
© Victoria – Fotolia.com
Pues prepárate, porque te voy a listar el resultado de un estudio realizado que evidencia que estos son las 4 “bestias negras” del Comercio Electrónico, en materia de protección de datos:
1. Falta de identificación del titular del Fichero o Tratamiento
Una cosa es que aparezca el titular del dominio de la web, y otra muy distinta que consten los datos del titular, ya sea una persona física o jurídica, de los ficheros que almacenan los datos de carácter personal, o de quien los recaba para cederlos a otros, ya sea en régimen de cesión de datos o ya sea como encargado del tratamiento. Lo cierto es que, como ya he explicado en posts anteriores, la LSSI obliga a que se indiquen los datos de identificación del titular, (nombre o razón social, CIF/NIF, datos del registro, domicilio…), y a la luz de las revisiones e inspecciones de la AEPD, la mayoría de las webs no indican estos datos, lo que hace que tengan que ser sancionadas en caso de inspección. La verdad es que cumplir con este requisito es facilísimo, y además es muy útil para tu web/blog, porque aumenta exponencialmente la confianza de los prospectos, pues pueden saber con quien tratan específicamente, cómo localizarle si surge algún problema… especialmente en Internet, un medio en el que todo el mundo puede ser lo que quiera, y quien quiera. Estos datos de identificación son los que suelen colocarse en el apartado “legal”, aunque en realidad pueden colocarse en cualquier apartado, pues lo importante es que estén.
2. Deficiencias en el cumplimiento del deber de información al afectado cuyos datos se recaban
Según el mencionado estudio, el 27% de las webs estudiadas no hacía ninguna referencia a la información del art. 5.1 de la LOPD (la existencia del fichero, quien es titular del mismo, su finalidad…). El resto de las webs, en su mayoría, incluye un texto que PRETENDE cumplir con dicha obligación en mayor o menor medida, aunque en una alto porcentaje de manera deficiente. También es un aspecto muy fácil de cumplir, por lo que tener una web o un blog que adolezca de esta falta es más por “dejadez” o “rebeldía” que por dificultad técnica. Yo mismo he publicado en posts anteriores una plantilla de formulario web para tu sitio, que cumple al 100% con este requisito, (Puedes descargarlo en Herramientas Profesionales:La Info en Tu Formulario Web).
3. Falta de registro de los Ficheros
A la fecha de las inspecciones, el 36% de las webs revisadas, no habían inscrito sus ficheros en la AEPD, cuando resultaba evidente que dichos ficheros existían. Además, por mi experiencia puedo decir que, en muchísimos casos, cuando sí se inscriben, o bien no se inscriben todos los que se han creado, o bien luego no se mantienen actualizados, (se crean nuevos ficheros por segmentaciones de clientes realizadas y ya no se inscriben, o bien dejan de utilizarse por sustituirlos por otros, y no se dan de baja…). Nuevamente es sorprendente este dato, pues la inscripción de los ficheros es muy sencilla y rápida, por lo que es una forma de “ganarse” una multa que no tiene excusa aceptable.
4. Cumplimiento deficiente de las medidas de seguridad
Finalmente, solo un 54% de las webs analizadas utilizaban el protocolo HTTPS (SSL) para establecer un “canal seguro”. Al no utilizarse este protocolo, los datos del prospecto viajan desencriptados, lo que los hace vulnerables a cualquier ataque para su robo. Parece ser que solo se le da importancia a este punto cuando los datos que han de transmitirse son de naturaleza económica, por ejemplo, los de la tarjeta de crédito, pero se piensa que en los demás casos no es tan necesario.
Pues bien, estos cuatro puntos deficientes no son el resultado de una hipótesis, sino más bien, el de la labor inspectora de la AEPD, que llevan aparejada la imposición de sanciones económicas. La mayoría de ellos son muy fáciles de corregir, y en caso de la identificación de titular, incluso incide de manera directa en la confianza de los prospectos para hacer negocios contigo. Por ello, yo te he dado 4 puntos que debes de vigilar, pero la cuestión a hora es, ¿qué vas a hacer con esta información?. Si no te sirve para corregir tus deficiencias, mi esfuerzo no habrá servido de nada.
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.