Leyes de Protección de Datos en páginas web: lo que necesitas saber

Entorno digital
2021.01.28
La privacidad de los datos de los usuarios está ampliamente protegida por la legislación europea y española, y debemos seguir a rajatabla la normativa vigente en nuestras páginas web si no queremos recibir sanciones y multas. ¿A qué nos enfrentamos? Por ejemplo, la Autoridad Francesa de Protección de Datos sancionó a Google en 2019 por 50 millones de euros, al considerar que la información que ponía a disposición de los usuarios no era accesible ni fácil de entender, y obligaba a una búsqueda más profunda. En España, la Agencia Española de Protección de Datos impuso a La Liga una multa de 250.000€ por incumplimiento del principio de lealtad y transparencia.  Obviamente, en consultorías y empresas más pequeñas la cuantía de la multa no será la misma, pero los organismos reguladores están realizando un trabajo muy exhaustivo para que todas las compañías se adecuen al marco normativo. Pero, ¿cuáles son las principales leyes que deben seguir las empresas en materia de protección de datos?

Leyes de Protección de Datos en páginas web que nos afectan

  • Reglamento General de Protección de Datos (RGPD).  Normativa principal, de carácter europeo y que regula la recogida, almacenamiento y gestión de los datos personales por parte de las empresas.
  • Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), Ley Española que complementa y desarrolla al RGPD.
  • Payment Services Directive (PSD2). Normativa que regula los servicios de realización de pagos y la  información sobre cuentas
  • Reglamento contra el bloqueo geográfico. Ley europea que impide el geobloqueo de clientes en el mercado interior de la Unión Europea. 
  • Reglamento ePrivacy. Esta ley aún está en proceso de aprobación, pero se espera que entre en vigor a lo largo de 2021. Sería un complemento a la RGPD con medidas un poco más restrictivas. 
A continuación,+ ampliaremos información sobre cada una de estas normativas, qué implica para las empresas y para los usuarios y cuáles son los detalles más importantes a tener en cuenta, especialmente en temas de comercio electrónico. Y no olvides que, si incluyes un e-commerce en tu web, debes seguir la Ley de Comercio Electrónico  (LSSI) que regula la venta a través de Internet. 

¿Qué es el GPDR?

GPDR son las siglas de General Data Protect Regulation, en español Reglamento General de Protección de Datos. Entró en vigor en el año 2016, pero no fue de obligatoria aplicación hasta el 25 de mayo de 2018 y es una normativa europea que ha unificado las diferentes legislaciones de cada país de la UE en la materia. Regula la recogida, almacenamiento y gestión de los datos personales por parte de las empresas, tanto si se ubican en la UE, como si se encuentran localizados fuera de la UE, pero ofertan bienes y/o servicios dentro del ámbito comunitario.  La GDPR implica cambios en los textos legales de los sitios web que tengan almacenamiento de datos, como el aviso legal, política de privacidad y la política de cookies. Pero no es suficiente sólo con cambiar los textos correspondientes sino que es clave modificar la forma en que se prestan los consentimientos en los formularios web, no siendo válidos ya los consentimientos tácitos y no inequívocos. De este modo, el consentimiento para tratar los datos de usuarios implica que las empresas deben captar los datos para cada finalidad concreta de tratamiento, ofreciendo un opt in independiente (el opt in es la famosa casilla que hay que marcar cuando queremos recibir email comerciales). Lo que la GDPR supone es que debe haber un check para cada acción diferenciada que queramos aceptar (recibir newsletter, recibir promociones o permitir que utilicen tus datos, entre otros ejemplos).  Esta nueva legislación es necesaria tanto por las fuertes sanciones económicas que supone no cumplirla (hasta 20.000.000 €), como sobre todo por la desconfianza para los usuarios que supone que un sitio web no cuente con ella, y que afecta a nuestra reputación.

¿Qué es LOPDGDD?

Entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD). Complementa y desarrolla al RGPD, y establece algunas novedades, como por ejemplo, la posibilidad de incorporar una primera información básica sobre protección de datos en cada uno de los formularios donde se recaben datos personales (art.11 LOPDGDD). Concretamente, los formularios de contacto y/o de recogida de información deberán contener al menos la identificación del Responsable, Datos de contacto del DPO, si lo hubiera, finalidad, ejercicio de derechos y la posibilidad de acceder a una política de privacidad completa.

¿Qué es el PSD2?

  gdpr psd2 cookies eprivacy PSD2 = Payment Services Directives. Es también una norma comunitaria para los estados miembros de la Unión Europea, que se trasladó a la legislación española en el Real Decreto-ley 19/2018. Regula no sólo los servicios relacionados con la realización de pagos, sino también los de información sobre cuentas. El número 2 es porque se trata de una segunda directiva sobre el mismo tema, más adaptada a la era digital, de manera que se unan las condiciones en las que los proveedores de servicios de pago prestan sus servicios en el ámbito europeo. Por ejemplo: una empresa americana que tenga datos guardados en una base de datos europea, o esté formada por usuarios europeos está obligada a cumplir con esta ley. Desde el 1 de enero de 2021 todos los comercios que aplican la compraventa online por medios electrónicos están obligados a implementar esta regulación, así que es importante conocerla. Con la normativa PSD2 se permite la apertura de los datos del cliente bancario a terceras personas (también conocido como TPP, third party providers), lo que implica que otras compañías, si cuentan con la autorización previa del cliente tendrán la posibilidad de consultar sus datos, ofrecer servicios financieros personalizados y también ejecutar pagos a través de la cuenta bancaria. Por todo ello, a partir de este momento los e-commerce podrán ser emisores de pago y podrán ejecutar el cobro directamente a través de la API que facilite el banco, agilizando de esta forma los pagos. A su vez esto podría amenazar ciertas formas de experiencia de compra porque esta nueva normativa da la responsabilidad del emisor del pago de verificar la identidad del usuario en cada una de las transacciones.

Geobloqueo o #freefronteras

  gdpr psd2 cookies eprivacy A finales de 2018 la Unión Europea puso en vigor una ley que, en la práctica, ponía fin a las fronteras del comercio electrónico en el mercado común. Se trata del Reglamento 2018/302 y desde el momento de su activación los ecommerce cuya sede pertenezca a países de la Unión Europea no pueden impedir a los usuarios de otros países comprar productos y servicios. Se considera la UE como un único mercado en el que los consumidores participan en igualdad de acceso.  No obstante, esto no quiere decir que el comercio esté obligado a hacer los envíos a cualquiera de esos países, sino que tendrá la obligación de remitirlos a la dirección dentro del país en el cual el ecommerce ofrezca la posibilidad de envío. Además, tampoco se puede bloquear el acceso de usuarios por razones de IP o cualquier factor relacionado con la nacionalidad o ubicación del usuario.

El reglamento ePrivacy

  gdpr psd2 cookies eprivacy Aquí aparece la política de cookies y privacidad. La relación entre el GDPR y ePrivacy es importante: el reglamento ePrivacy aún no ha sido aprobado, pero se espera que lo haga durante 2021, aunque desde su primera propuesta ha sido ampliamente debatido y polémico. Se considera que el reglamento ePrivacy es más estricto con la protección de datos que el actual reglamento; pretende ser una versión actualizada del marco legal de privacidad online que implantó la Unión Europea en 2002. Casi 2 décadas de antigüedad para una legislación de privacidad digital suponen un problema, y por ello se planteó su renovación.  De aprobarse, ePrivacy no anularía el GPDR, sino que lo complementaría y matizaría. En concreto, exigiría un consentimiento inequívoco y mucho más preciso de los usuarios para el tratamiento de sus datos de lo que ya hace la ley actual, e implicaría la desaparición del aviso legal de cookies. La gestión del consentimiento de las cookies se haría desde el propio navegador de búsqueda, no en cada web a la que entramos. Así que el usuario tendrá más libertad para configurar el nivel de privacidad de su navegación. 

¡Guía CRM gratuita!

Todo lo que necesitas saber sobre el universo CRM y cómo potenciar esta herramienta al máximo para tu proyecto. Nuestros expertos te dan las claves

Descargar ahora