¿Cómo puedes adaptar tu tienda online a la nueva RGPD?

En un artículo anterior te contamos toda la información referente a la nueva Ley de RGPD Europea, que entrará en vigor el próximo 25 de mayo de 2018. Para la mayoría de usuarios, sobre todo los que tienen una tienda online, no tienen aún claro qué cambios deben llevar a cabo en su negocio online. Por ello, en este artículo te contamos paso a paso a modo de guía, cómo puedes adaptar tu negocio online a la nueva RGPD (en inglés GDPR – General Data Protection Regulation).

Índice de las Adaptaciones tecnológicas a la RGPD de 2018 para ecommerce

• Eliminar una cuenta de usuario
• Editar los datos de la cuenta de un usuario
• Exportar los datos del usuario
• Consultar los datos del usuario
• Restringir el procesamiento de los datos
• Consentimiento de Aceptación de los Términos y Política de Privacidad
• Verificación de la edad del usuario
• Vida útil de los datos
• Ley de Cookies

A continuación, exponemos una serie de pautas sobre las adaptaciones que deben hacer las tiendas online con la entrada en vigor de la nueva Ley de Protección de Datos en Europa. Los ejemplos visuales de redes sociales o plataformas online, son muestras de las que podríamos implantar nosotros para adaptar nuestro ecommerce al nuevo reglamento.

#1 Eliminar una cuenta de usuario

A pesar de que esta adaptación tiene una serie de excepciones como la de conservar los datos de un usuario por temas fiscales, es necesario que en nuestra tienda online pongamos a disposición del usuario, un apartado de «Eliminar mi cuenta«, en su cuenta de acceso para cumplir con el Derecho al Olvido. Esto tiene que ser sencillo de llevar a cabo y que no solo elimine su cuenta como tal sino que también pueda eliminar sus datos personales, comentarios, pedidos y demás.

Posiblemente te estés preguntando, qué pasarían con las copias de seguridad. Bien, lo ideal sería poder mantener una base de datos independiente de los datos que identifican a nuestros usuarios tales id, identificador único, email, entre otros. Así, si deciden eliminar su cuenta de usuario por ejemplo, en caso de que tengamos que restaurar nuestra base de datos, estos datos en concreto no se vuelvan a activar.

Si en tu caso trabajas con terceros, debes notificarles para que eliminen los datos por supuesto. Tú controlas tu tienda online a la hora de gestionar los datos almacenados pero ¿qué pasa con los terceros o proveedores de servicios? Como decíamos, tienes que informarles de que esa información que en su día les enviaste (previamente consentida por el usuario), deben eliminarla.

Si estos proveedores de servicios tipo plataformas de email marketing o servicios en la Nube te facilitan una API de integración, es mejor que lo automatices y así se eliminen de manera automática. Respecto a Google y a este asunto, lo normal no es tener la página de datos del usuario indexada porque lo lógico es que no sean públicas pero, por si las moscas y ya que Google no proporciona una API sino que habría que hacerlo de manera manual, recomendamos que la página de datos del usuario devuelva un código de estado HTTP 404 porque así Google entiende que esa página no existe y desindexe esto de los resultados. Además, debes añadir la URL como «Disallow» en tu robots.txt.

#2 Editar los datos de la cuenta de un usuario

A día de hoy, algunos ecommerce siguen sin ofrecer la posibilidad de poder rectificar los datos que tienen recabados de los usuarios por lo que si no implementan esto, no cumplen con el Derecho de Rectificación. Éstos tienen que tener la oportunidad de poder cambiar o corregir todos sus datos, incluso los que has recopilado mediante otras fuentes como por ejemplo Facebook con la opción de «Inicio de Sesión con Facebook».

Todos y cada uno de los campos que tengas en las tablas de clientes de tu tienda online, deben ser editables a través de la interfaz del usuario. Lo mismo ocurre en este punto con el tema de los terceros. El usuario debe tener acceso a una página donde tienen sus datos almacenados para que éste pueda rectificarlos. Con esas API que el proveedor nos facilita, también podemos automatizarlo.

#3 Exportar los datos del usuario

Desde la misma cuenta del usuario, éste tiene que poder exportar todos sus datos mediante un botón de exportar y en formato csv o xls por ejemplo, para cumplir con el Derecho de Portabilidad.

Lo más recomendable es automatizar esto ya que así, evitamos problemas. Bastaría con un proceso en el que se permita a los usuarios solicitar sus datos y que un administrador de manera manual y en un plazo máximo de un mes desde la solicitud, se los facilitase. Además de poder descargárselos, también debería poder visualizarlos desde su cuenta de usuario. Punto que vemos a continuación.

#4 Consultar los datos del usuario

El Derecho de Acceso de la normativa tiene como principal objetivo que los usuarios puedan conocer en cualquier momento qué datos de carácter personal suyos están siendo tratados por parte de nuestro ecommerce, el origen de los datos, si va a ser comunicado o se ha comunicado ya a un tercero y la finalidad de dicho tratamiento.

Si el usuario está registrado, le damos acceso desde el apartado de «Mi cuenta». Si ya le damos la opción de poder eliminar o modificar sus datos, podría consultarlos directamente por lo que este punto ya estaría adaptado 😉 También hay que mostrarle la Política y Términos que aceptó y la fecha/hora en la que fueron aceptadas, si ha aceptado comunicaciones comerciales o que sus datos sean comunicados a un tercero, también son aspectos que debe tener opción a consultarlos.

¿Qué ocurre cuando el usuario no se ha registrado? Pues que también hay que permitirle que pueda consultar los datos recabados de él aunque no esté registrado como usuario en nuestra tienda online.

Podemos:

1. Poner a disposición de este usuario un contacto responsable del fichero y que se comunique con él para facilitarle la información.
2. Automatizarlo. Un sistema que permita introducir el email y que a partir de ahí muestre los resultados en caso de que esté almacenado ese email. Si no está disponible en la base de datos dicho email, podemos facilitarle un código o enlace temporal para que pueda acceder durante x tiempo al sistema y así ver los datos de manera segura.

#5 Restringir el procesamiento de los datos

El usuario puede ejercer su Derecho de Restringir el Procesamiento de sus Datos en cualquier momento con motivo de dejar que sean visibles o que sean utilizados por ningún tercero o nosotros mismos. Es similar al apartado de «Eliminar Cuenta» pero en este caso, no se elimina sino que se inhabilita durante un periodo temporal, pudiendo el usuario decidir el momento en el que quiere volver a activarla. Podemos ofrecerle un botón para que pueda desactivar su cuenta temporalmente y funcionaría igual que el apartado de «Eliminar mi cuenta».

#6 Consentimiento de Aceptación de los Términos y Política de Privacidad

Esta casilla de verificación tiene que estar presente en cualquier formulario de nuestra tienda virtual o cualquier página que vaya a recabar información como los avisos de stock, la suscripción a newsletter, comentarios… Además de la casilla, que con eso no basta, tenemos que mostrar la información básica de estos Términos que el cliente acepta como:

• Responsable
• Finalidad
• Legitimación
• Destinatarios
• Derechos
• Información adicional

Así el usuario a golpe de vista puede ver los términos y condiciones que está aceptando a la hora de rellenar un formulario de nuestra web sin tener que leerse toda la página de Términos.

Ojo con tener la casilla de Verificación activada por defecto ya que la autorización implícita desaparece y la frase «No deseo recibir más…» debe estar clara y sin florituras.

Para aquellos usuarios que aceptaron los términos anteriores, cuando inicien sesión podemos mostrarles una pantalla que anuncie que hemos actualizado nuestros términos a la nueva ley que para continuar debe de aceptarlos para que podamos actualizarles en nuestro sistema.

Para los usuarios que no tienen los términos actualizados también tendríamos que enviarles un email para solicitarles y almacenar de nuevo su consentimiento. Esto lo están llevando a cabo muchos ecommerce, redes sociales e incluso Google. Para aquellos que no nos den de nuevo su consentimiento, tendremos que darles de baja para evitar problemas posteriores.

#7 Verificación de la edad del usuario

En la nueva normativa se deben solicitar la fecha de nacimiento o edad del usuario y si éste es menor de 16 años, no podremos permitirle que proceda a menos que sus padres o tutor legal lo autorice. Si como tienda online diseñamos una casilla que solicite de manera requerida la fecha de nacimiento a la hora de registrarse en un formulario, podremos aceptar su solicitud en caso de que sea mayor de 16 años o mostrarle un mensaje de error en el registro debido a la nueva normativa de RGPD.

En caso de que falseen la edad, nosotros estaremos cubiertos ya que de acuerdo a la normativa, habremos solicitado la verificación de la edad del usuario.

#8 Vida útil de los datos

Este apartado quiere decir que, según la GPDR, si hemos recabado los datos de nuestro usuario con un fin, si ese propósito ha caducado o ya no tiene ningún sentido, no debemos por tanto seguir manteniendo sus datos en nuestro sistema. Muchos ecommerce ofrecen la posibilidad de comprar sin necesidad de registarse, en este caso, el consentimiento solo es para ese pedido en particular. Recuerda que queda exento de esto los datos fiscales de pedidos y/o facturas que tendremos que guardar durante 4 años.

#9 Ley de Cookies

Respecto a la ley de cookies, esta se mantiene igual excepto que para el consentimiento, ya no puede ser explícito y tienen que ser aceptadas.

Esperamos que te haya servido esta guía de adaptación tecnológica a la nueva RGPD para ecommerce. Si todavía te quedan dudas, puedes visitar la web oficial de la agpd, la Agencia de Protección de Datos Española. Fuente: La Agencia de Protección de Datos Española e Israel Gaviño para Denox.