Club de emprendedores Online

Protección de datos personales en las compras por Internet

Protección de datos personales en las compras por Internet

Protección de datos personales en las compras por Internet

 

Presentación

La Guía de autodiagnóstico Protección de datos personales en compras por Internet ofrecerá información sobre los derechos que tiene un particular en el tratamiento de sus datos personales ofrecidos con fines comerciales a una empresa proveedora de productos o servicios por internet, así como las precauciones a tomar por el consumidor o cliente a la hora de entregar sus datos en los procesos de contacto, compra o navegación por páginas corporativas. Además la guía informará sobre el tipo de información que debe suministrar obligatoriamente la empresa antes de solicitar cualquier dato personal con el fin de garantizar la privacidad y el derecho al honor recogido en la LOPD

La guía incorpora una herramienta de autoevaluación para el consumidor que permite detectar la seguridad de sus hábitos según el tipo de información que entrega habitualmente en sus contactos comerciales.

Introducción

La seguridad y confidencialidad de los datos de particulares que se manejan en internet está regida por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) que regula su uso, tratamiento, almacenamiento, derechos del consumidor y obligaciones de la empresa que los emplea con fines comerciales.

La Agencia Española de Protección de Datos (AEPD) es el organismo encargado de vigilar el cumplimiento de la ley y de recibir las demandas de particulares o empresas que han visto vulnerados sus derechos.

La AEPD también es la encargada del Registro General de Protección de Datos que identifica los ficheros automatizados correspondientes a datos personales empleados por las empresas con objetivos de promoción u organización interna.

Las empresas que realizan transacciones online en España, están sujetas al cumplimiento de la LOPD, y además tendrán que informar a todos sus usuarios del tratamiento que vayan a realizar, en el presente y en usos futuros, con los datos recogidos a través de cualquier proceso de recogida de datos online.

Tratamiento de datos personales

La aplicación de la LOPD pretende marcar los límites entre los intereses relativos a las actividades comerciales con fines promocionales de la empresa y los derechos a la intimidad personal y al honor de los clientes particulares, garantizando así el cumplimiento de los derechos y obligaciones de ambas partes.

Para ello la LOPD exige que cualquier empresa que utilice un fichero electrónico con fines comerciales tendrá que notificar su existencia a la AEPD, entendiendo por fichero ¿’todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso’.

Esta notificación deberá realizarse cumplimentando el formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA) disponible en www.agpd.es para tal fin y remitiéndolo a la agencia una vez cumplimentado a través de internet o en soporte papel.

Niveles de protección

Dependiendo del tipo de datos que una empresa solicite a un cliente para su tratamiento y/o almacenamiento se deberán articular diferentes niveles de seguridad que incluirán la adopción tanto de medidas técnicas (control de acceso, seguimiento de acciones sobre registros como consultas, modificaciones, envíos,¿o control de niveles de usuario) como de medidas organizativas internas para garantizar la protección y el control de acceso a estos ficheros.

Los niveles de seguridad que la LOPD exige, atendiendo a la naturaleza de los datos del cliente, son tres: básico, medio y alto.

El nivel básico es el de los datos personales, como los referidos a nombre, dirección y contacto, incluyendo entre ellos el correo electrónico.

El segundo nivel, denominado medio, incluye información relativa a infracciones penales y administrativas, Hacienda Pública, servicios bancarios o datos personales como estado civil, preferencias o hábitos genéricos de cualquier tipo (hobbies, hábitos de compra, clase social, etc).

El tercer nivel, alto, lo integran los datos que por su naturaleza puedan ser motivo de discriminación. Entre ellos se encuentran raza, hábitos sexuales, salud, ideología o afiliación, religión, además de los datos obtenidos con fines policiales y un amplio etcétera que exigen que las empresas que los traten deban tener un control exhaustivo sobre quién accede a ellos, cuándo y con qué finalidad. Además su almacenamiento debe estar totalmente justificado, no pudiendo guardarse datos que no sean estrictamente necesarios para el desarrollo de la actividad del organismo o empresa responsable.

La LOPD sanciona a los responsables de los ficheros atendiendo a estos tres niveles de protección con infracciones leves, graves o muy graves, en función de la normar inflingidas que puedan llegar a afectar a ciudadanos, al registro de ficheros, a las medidas de seguridad implantadas, etc.
En general cualquier tipo de dato puede ser almacenado y tratado a nivel estadístico, siempre y cuando se obtengan a través de metodologías que garanticen el anonimato del encuestado, por ejemplo empleando cuestionarios online. En este caso sólo se identificaría el segmento de mercado o población al que pertenece el encuestado.

Inscripción de un fichero a través del formulario NOTA

El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) la empresa o profesional que desea inscribir un fichero deberá indicar la información relativa al fichero de datos. Una vez cumplimentado no podrá ser modificado, por lo que se ofrece un modo de borrador para revisión, pero que no tendrá validez ante la agencia. Los datos obligatorios del formulario son:

Tipo de solicitud de inscripción Deberá señalar si se trata de una nueva inscripción, una modificación o una cancelación.

Modelo de declaración: indica la forma en que se presenta el formulario: internet con firma electrónica, internet a través de la hoja de solicitud o en papel empleando un código de barras que envía la agencia.

Cumplimentación de la notificación: El responsable deberá rellenar la obligatoriamente Hoja de Solicitud con los apartados de Responsable (nombre y CIF/NIF), Identificación y finalidad (nombre del fichero y uso final),Origen y procedencia de los datos, Tipos de datos, estructura y finalidad del fichero, y Medidas de seguridad. Además se incluyen otros campos de cumplimentación opcional.

Envío de la notificación: Una vez cumplimentado, la Hoja de Solicitud deberá ser firmada por el responsable del fichero o por un representante de la entidad indicando su cargo, indicando además el domicilio para las notificaciones de la agencia. Una vez firmado la solicitud se remitirá siguiendo las indicaciones del Modelo de declaración elegido (internet con firma digital, internet sin firma digital o papel).

La notificación de un fichero NO invalida o sustituye una inscripción previa, por lo que se deberá solicitar la supresión de la inscripción anterior para evitar un duplicado. .

Formas de obtención de datos personales

El modo de obtención de los datos personales de un usuario por parte de la empresa proveedora no incluye ningún derecho de uso preestablecido, independientemente de la forma que se haya utilizado para su obtención o almacenamiento.

Cualquier uso fuera del contacto comercial puntual o la compra realizada, exige según la LOPD una autorización expresa por parte del propietario de los datos, así como un mecanismo sencillo de modificación o cancelación de sus datos personales en los ficheros de la empresa (incluidas las cesiones a terceros).

Algunas de las formas más habituales de obtener datos personales durante el proceso de compra o de contacto comercial en la Red son:

Formularios de contacto.

Es uno de los mecanismos de contacto más extendidos entre las empresas que comercializan por internet, ya que permite recoger los datos para atender tanto a las preguntas de los clientes como a los procesos de venta.

Un formulario debe solicitar información adecuada y ajustada al tipo de producto o servicio que ofrece la empresa. En caso de solicitar información adicional, es aconsejable que la empresa informe de su uso, dejando como opcional su cumplimentación..

Todos los formularios deben ir acompañados de un enlace a la Política de Privacidad que ofrece la empresa y su automatización exige la inscripción en el RGPD.

El segundo nivel, denominado medio, incluye información relativa a infracciones penales y administrativas, Hacienda Pública, servicios bancarios o datos personales como estado civil, preferencias o hábitos genéricos de cualquier tipo (hobbies, hábitos de compra, clase social, etc).

Proceso de compra.

Durante el proceso de compra es habitual que la empresa solicite información adicional de carácter personal como DNI, dirección, teléfono o nº de tarjeta para efectuar el pago (aunque si la empresa utiliza una pasarela de pago de un banco no tendrá acceso a este nº).

Los datos solicitados en este caso son de uso exclusivo para el proceso de compra, no pudiendo utilizarse en ningún otro contacto comercial ni cederse a terceros, salvo autorización expresa de su propietario. .

Un proceder habitual durante este proceso es intentar obtener hábitos de consumo personales para ofrecer productos complementarios al adquirido, suscripciones a boletines, listas de distribución o similar. En cualquier caso, la LOPD exige una autorización expresa por parte del propietario de los datos, así como un mecanismo sencillo de modificación o cancelación de sus datos.

Suscripciones a boletines .

Aunque las suscripciones a boletines necesitan simplemente un email de referencia, algunas empresas ofrecen contenidos o servicios gratuitos a cambio de ofrecer los datos personales con fines comerciales.

Cookies .

Las cookies se emplean para obtener información sobre hábitos de navegación de los usuarios de una web, y poder ofrecer publicidad personalizada cada vez que accede o recoger datos estadísticos sobre frecuencia y tiempo de uso de esa página. Uno de los sistemas más empleados es el ofrecido por Nielsen//NetRatings.

El empleo de cookies exige un aviso al usuario y la inclusión de su finalidad en la página de Política de Privacidad.

Las cookies pueden ser desactivadas, a través de las opciones de cualquier navegador.

Bases de datos comerciales .

Existen varias formas de crear bases de datos para marketing mail. Una es la obtención directa de la autorización de uso de los correos electrónicos de nuestros clientes para recibir información comercial.

Otra de las fórmulas es la compra de una base de datos con fines comerciales a empresas que ofrecen listados segmentados de emails autorizados propios o cedidos por terceros.

Y una de las más habituales es la creación de un fichero con direcciones de email obtenidos directamente de las páginas web de empresas, de los directorios en internet o de organismos públicos que los ofrecen.

En el caso de emails de empresas, si la dirección empleada es pública la ley permite su uso comercial, con dos condiciones: que se especifique claramente en el mail que se refiere a Publicidad y ofreciendo un mecanismo sencillo de cancelación o modificación de datos desde el propio email.

Sin embargo, si los datos son de clientes particulares la ley exige la autorización expresa de dichos usuarios para recibir esta información, considerándose en caso contrario SPAM.

Derechos en el tratamiento de los datos personales.

Toda persona tiene derecho a conocer para qué y cómo son tratados sus datos personales y decidir acerca del uso que desea autorizar. Estos derechos aplicables en el proceso de recogida y tratamiento de los datos están plasmados en la LOPD, y se resumen en:

Ser informado antes de la recogida de los datos, de que se está realizando con fines comerciales.

Consultar la existencia de cualquier fichero de datos en el Registro General de Protección de Datos.

Acceder, rectificar, cancelar u oponerse al tratamiento de sus datos personales ante el responsable del fichero. Estos derechos pueden ser ejercidos exclusivamente por el propietario de los datos o en su caso un representante fehacientemente acreditado..

A continuación se desarrollan en detalle estos derechos:

Derecho de Información en la recogida de datos

Durante el proceso de recogida de datos el ciudadano debe estar informado de que sus datos serán incluidos en un fichero de datos y cómo se van a explotar estos datos.

Además se deberá indicar la identidad y dirección del responsable, la finalidad del fichero, los destinatarios de la información, la cesión a terceros, así como la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Esta información debe estar incluida en los formularios o impresos empleados en la recogida de datos

Derecho de consulta al Registro General de Protección de Datos

La LOPD autoriza a cualquier ciudadano la obtención de información de los responsables de ficheros donde se encuentren sus datos personales, mediante una solicitud personal. Dicha solicitud se puede realizar por escrito o por internet a través de un formulario disponible en la web de AEPD

Derecho de acceso

El derecho de acceso permite comprobar la veracidad de los datos, y en caso necesario, proceder a su rectificación o cancelación. Para ello el propietario de los datos debe ponerse en contacto con el responsable del fichero, presentando fotocopia de DNI o documento que acredite su personalidad y solicitando el envío de la totalidad de los datos disponibles que le afecten, el origen de estos, las comunicaciones realizadas y las que se prevean realizar, y las transferencias realizadas o previstas de sus datos a otros países.

Esta solicitud debe ser remitida empleando un modo de envío que acredite su envío.

El responsable del fichero tiene la obligación de modificar los datos en un plazo máximo de 10 días, respondiendo al solicitante con un justificante de la rectificación. Si se hubieran cedido datos a terceros, el responsable del fichero será el encargado de comunicar dichas rectificaciones.

Derecho de rectificación

La solicitud de rectificación debe dirigirse al responsable del fichero indicando el dato erróneo y la corrección a realizar.

El responsable del fichero tiene la obligación de modificar los datos en un plazo máximo de 10 días, respondiendo al solicitante con un justificante de la rectificación. Si se hubieran cedido datos a terceros, el responsable del fichero será el encargado de comunicar dichas rectificaciones.

Derecho de cancelación

Si un ciudadano verifica que los datos personales empleado son inexactos o se han tratado ilegalmente, tiene derecho a solicitar su supresión. La supresión deberá realizarse en el plazo máximo de 10 días originando un bloqueo de dichos datos, que podrán ser empleados exclusivamente por las Administraciones públicas ante posibles responsabilidades. Si el responsable hubiera cedido datos a terceros será el responsable de su cancelación.

El responsable del fichero podrá denegar la cancelación si le protege un deber legal de conservación de estos datos, si son necesarios para el cumplimiento de un contrato con el interesado o si pueden causar un prejuicio al propio ciudadano,

Derecho de oposición

Un ciudadano puede solicitar su oposición que sus datos sean tratados con fines comerciales, publicitarios o prospectivos.

El responsable del fichero dispone de un plazo máximo de un mes a contar desde la recepción de la petición para resolver la solicitud de oposición.

Este derecho se encuentra limitado cuando los datos personales son empleados en algunos de los ficheros de titularidad pública como Hacienda, servicios de seguridad, Seguridad Social, censo, etc.

Casos particulares de ficheros de datos personales

Algunos de los ficheros de datos personales que más dudas causan son:

Ficheros de solvencia patrimonial y crédito: Los responsables de este tipo de ficheros se encuentran habilitados por la LOPD para realizar tratamientos sobre datos de carácter personal obtenidos de los registros y fuentes accesibles al público ((censo, listados telefónicos, directorios profesionales, diarios y boletines oficiales, medios de comunicación), o bien de informaciones facilitadas por el interesado o con su consentimiento para ofrecerlos mediante pago a cualquier interesado. Las demandas más habituales en estos casos son por presentar datos incompletos, inexactos o sin actualizar. El proceso de rectificación es idéntico al de los otros ficheros personales, aunque existe un derecho de oposición o cancelación más restringido.

Ficheros de morosos: La LOPD permite tratar datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por los acreedores o sus representantes. Solo podrán incluirse los datos personales cuando exista una deuda vencida e impagada y el acreedor demuestre haberla comunicado al deudor. A su vez, la Ley exige que el acreedor comunique la inclusión de los datos del deudor en cada uno de los ficheros de morosos, así como los datos específicos que se envían. Una vez saldada la deuda, el acreedor deberá comunicar la cancelación al fichero de morosos, debiéndose bloquear en un plazo máximo de una semana. Los derechos sobre este tipo de ficheros se limitan al acceso, información y rectificación.

Ficheros de marketing y publicidad: Las empresas dedicadas a recopilar direcciones de contacto (correo postal o electrónico) para remitir o recopilar información comercial de cualquier tipo pueden crear ficheros con los datos disponibles en fuentes públicas, indicando siempre al interesado su origen. Al ciudadano le asisten la totalidad de derechos reflejados en la LOPD, pudiendo oponerse al uso de sus datos personales para estos fines. La lista Robinsoe es una opción que permite a un ciudadano inscribirse para no recibir ninguna comunicación comercial.

Precauciones de un consumidor online.

Muchos problemas en los usos de datos personales de consumidores se crean por la sensación de vulnerabilidad que se presenta cuando en un contacto comercial se emplean datos que consideramos muy personales.

La mayoría de las veces dichos datos han sido ofrecidos por el propio consumidor en alguno de los procesos de compra, contacto o encuesta sin ser consciente del tipo de uso que autorizó al enviarlos. Por ello es aconsejable seguir algunas indicaciones básicas que, aunque no evitarán el problema en su totalidad minimizarán el riesgo ante un mal uso por parte de terceros:

Revise detenidamente a quien ofrece los datos personales. Navegue por la web y verifique que se informa correctamente del responsable del fichero y de la forma de contacto..

Léase la Política de Protección de datos antes de enviar información personal. Este apartado indica los usos que la empresa hará de los datos del cliente, así como la posible cesión a terceros. Aspecto clave a tener en cuenta si no se desea recibir publicidad de otras empresas

Incluya sólo los datos obligatorios y necesarios para realizar la operación deseada. Si entre los datos obligatorios se encuentran algunos que considera innecesarios o inapropiados, no envíe el formulario.

Cuando no desee que sus datos sean utilizados en un futuro, desactive la pestaña de autorización de uso. Esta opción autoriza el uso exclusivo para la operación actual (compra, información, estadística¿).

Ante cualquier problema con el uso de sus datos contacte con la empresa responsable y solicite la cancelación o rectificación de su fichero de datos. Si la empresa no responde en un plazo máximo de 10 días, puede presentar una reclamación ante la AEPD.

No responda a ningún correo no solicitado (SPAM) ni envíe información personal de ningún tipo sin conocer fehacientemente al remitente. La simple respuesta a un correo de este tipo le confirmará en numerosos envíos fraudulentos. Si es posible contacte directamente con la empresa remitente o elimine este correo con filtros antispam.

Durante la navegación bloque el uso de cookies en su navegador. De esta forma impedirá la recogida de datos sobre sus hábitos personales.

Si no desea recibir publicidad comercial inscríbase en la Lista Robinsoe, que las empresas de marketing y publicidad deben chequear antes de realizar un envío comercial.

Si desea recibir información comercial, es aconsejable que indique un correo opcional para evitar problemas en su correo personal.

Al completar un formulario desactive siempre la pestaña de autorización de envío a terceros, así evitará desagradables sorpresas.

Conclusiones.

La Ley de Protección de Carácter Personal (LOPD) protege a los consumidores online del uso inapropiado de sus datos con fines comerciales. Sin embargo, la efectividad de esta ley debe ir acompañada por una práctica responsable por parte del interesado evitando posibles malos usos de estos datos.
La cantidad y calidad de los datos solicitados por algunos responsables de ficheros deben ser evaluadas por el consumidor antes de su envío, analizando además la política de privacidad que la empresa aplicará y la posible cesión a terceros.

Cualquier fichero de datos personales, informatizado o manual, que se emplea para uso comercial debe ser inscrito en el Registro General de Protección de Datos de la AEPD, indicando su responsable, tipos de datos incluidos y usos.

Cualquier ciudadano puede ejercer los derechos de acceso, información, rectificación, cancelación y oposición a sus datos personales en cualquier momento enviando una solicitud al responsable del fichero, donde se identifique fehacientemente al interesado. El responsable del fichero estará en la obligación de responder en un plazo máximo de 10 días a la solicitud, ya que en caso contrario el interesado podrá interponer una demanda ante la Agencia Española de Protección de Datos para que proceda de oficio.

Cuestionario

Sí No

  1. ¿ La LOPD se aplica para regular los derechos de los ciudadanos en el tratamiento de sus datos personales?
  2. ¿Conoce los niveles de seguridad que deben implantar las empresas con ficheros de datos personales según la información solicitada?
  3. ¿Conoce la función de la Agencia Española de Protección de Datos?
  4. ¿Puede conocer de alguna forma quién está detrás del envío de una información comercial?
  5. Antes de enviar un correo electrónico para una consulta comercial, ¿ se informa de quién está detrás de esa web?
  6. Cuándo remite un formulario ¿completa solamente los datos que considera imprescindibles cuestionándose para qué se van a emplear?
  7. ¿Antes de enviar un formulario o cuestionario online, lee detenidamente la política de privacidad que la empresa va a realizar?
  8. ¿Nunca envía datos confidenciales en respuesta a un correo electrónico remitido aparentemente por su banco, seguro, centro de trabajo¿?
  9. ¿ Antes de suscribirse a un boletín electrónico desactiva todas las opciones de uso comercial de su correo electrónico?
  10. ¿Cuándo detecta algún dato erróneo en sus comunicaciones comerciales ejercita sus derechos de rectificación o cancelación?

Glosario.

Datos de carácter personal: Cualquier información relativa a personas físicas identificables a través de dichos datos.

Fichero: Conjunto organizado de datos, independientemente del formato, soporte y tratamiento.

Tratamiento de datos: Relación de operaciones que se realizan sobre un fichero de datos para su recogida, grabación, almacenamiento, explotación, cesión.

Responsable del fichero: Persona física o jurídica, de naturaleza pública o privada, que tenga en su poder un fichero de datos personales con cualquier fin o contenido.

Afectado o interesado: Persona física titular de los datos personales recogidos en un fichero de datos para su tratamiento.

Consentimiento del interesado: Es la manifestación de la voluntad del interesado en cuanto al tratamiento de sus datos personales comunicada de forma libre, informada e inequívoca.

Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.

Fuentes de acceso público: Son los ficheros que pueden ser consultados libremente por cualquier persona, de forma gratuita o previo pago. Son el censo promocional, los listados telefónicos, listas de grupos profesionales, diarios y Boletines oficiales, y medios de comunicación.

Referencias.

Agencia Española de Protección de Datos.

Guía Práctica de Adaptación a la LOPD de Microsoft

Blog dedicado a la LOPD y a la LSSICE

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal

Reglamento de desarrollo de la LOPD

Deja una respuesta

Tu dirección de correo electrónico no será publicada.