ECOMMERCE i LOPD: un cas pràctic

Durant unes setmanes he estat ajudant uns emprenedors a terminar de perfilar un projecte d’ecommerce que han llançat i que encara tenia pendent el compliment d'alguns aspectes legals importants.

Igual que molts altres emprenedors, havien posat tot el seu entusiasme en el desenvolupament d’un catàleg de productes equilibrat que pogueren administrar fàcilment, i havien triat bé la raó social i tots els aspectes burocràtics.

Però, com tants d’altres també, havien relegat a un segon pla l’adequació i el compliment de la normativa en matèria de protecció de dades (LOPD 15/1999 de 13 de desembre) i la Llei de Servicis de la Societat de la Informació i el Comerç Electrònic (LSSICE 34/2002 d'11 de juliol).

No està de més fer ací un recordatori: la LOPD obliga tots aquells projectes que facen ús de dades personals de tercers, com és el cas que ens ocupa, a dur a terme les mesures de seguretat suficients per tal de garantir la seguretat d'aquestes dades, així com el compliment dels drets que preveu. La norma no distingeix diferents tipus d’entitat: ni per dimensions, ni per tipus de raó social, etc.

Fet este incís, tornem al projecte que ocupava este post.

Les majors deficiències que es van trobar en el projecte d’adequació i que s’estan esmenant són les següents:

• Manca de registre davant l’Agència de Protecció de dades, dels tractaments de dades que gestionarem. No oblidem que només per arreplegar un nom i un correu electrònic per a la gestió d’un butlletí de notícies ja estem davant d’un tractament de dades i, per tant, amb l'obligació de garantir tots els aspectes que la norma defineix. No hem d’oblidar que a més de l’obligatorietat de figurar al registre, la consulta d’este és lliure i gratuït per part de qualsevol usuari. De manera que la pregunta que cal fer-se és la següent: si no compleix la norma i presenta tractaments de dades registrades, puc fiar-me d'un ecommerce?
• L’arreplegada de dades en formularis de contacte i d’altres no complia amb el previst per la norma. L’arreplegada de dades personal ha d’estar sempre precedida d’una informació on queden clars aspectes com qui és el responsable del fitxer, per què s'arrepleguen i quin ús es farà d'ells. Esta informació ha de ser prèvia a l’arreplegada i el consentiment que l’usuari que dóna les seues dades ha d’atorgar.
• En cap moment s’arreplegava en el lloc web mateix informació sobre aspectes purament legals de la web ni de condicions del seu ús. És fonamental una adequada Política de Privacitat on determinem quines mesures de seguretat es posen a disposició dels usuaris i altres dades relacionades amb el tractament de dades personals. No s'ha d'oblidar en este cas que cada entitat té la seua pròpia personalitat i que, per tant, les polítiques de seguretat que es determinen seran sempre diferents. Hem d’oblidar-nos de tallar i apegar.
• No estava desenvolupat el Document de Seguretat de l’entitat. Si les dades arreplegades (com és el cas que ens ocupa) són dades de nivell mitjà o alt, caldrà desenvolupar un Document de Seguretat. Fonamentalment es tracta d’un manual de procediments on es detallen les mesures de seguretat concretes, tant a nivell tècnic com els procediments que s’utilitzen per dur a terme la gestió de les dades personals.
• En l’exemple que comente, les dades de les vendes a través de la plataforma web s’envien a una gestoria que s'encarregarà de tramitar els apunts contables i processar els impostos corresponents. Per tant, ens trobem davant la figura d’Encarregat de Tractament, i serà necessària la seua regulació.

No oblidem també que la LSSICE determina algunes obligacions importants a l’hora de gestionar el nostre ecommerce. Vegem-ne algunes:

• La instal·lació de galetes en el navegador de l'usuari ha d'estar precedida d'una informació i, a més, és necessari el seu consentiment.
• És obligatòria la identificació concreta del prestador del servici. És a dir, de la societat (en qualsevol forma) que està darrere del projecte d'ecommerce o, si estem en el cas d'una persona física, del seu responsable.
• Cal informar de terminis de lliuraments, garanties, preus i impostos, etc. A més, des de l’1 de gener de 2015, els impostos que els clients paguen són els que existeixen al seu país, no al país on està situada la botiga en línea, de manera que cal tindre cura per tal de conéixer quin tipus d'IVA o impost hi ha en cada mercat on vulguem vendre.
• És un punt fonamental a l’hora de realitzar treballs de promoció del nostre negoci tindre el consentiment per poder enviar comunicacions comercials. En este cas, es va aplicar un filtre en la base de dades i es van eliminar completament totes aquelles adreces de correu electrònic de les quals no es tinguera constància de tindre un consentiment exprés i clar.

Amb estos treballs previs, el projecte d’ecommerce que comentava al principi inicia la seua activitat amb unes majors garanties: per al seu propietari, tan exigent com la LOPD, i per als clients, ja que veuen garantides les seues dades i els drets que els pertanyen.