Lo llevamos anunciando desde hace meses, y la temida GDPR ya está aquí, ha entrado en vigor desde el pasado 25 de mayo de 2018.

Muchas empresas están preocupadas por el tema ya que según un informe de la Federación Mundial de Anunciantes (WFA) sólo el 41% de ellas asegura que sus departamentos de marketing están totalmente al corriente de las implicaciones que trae consigo la nueva ley.

En el caso de infracciones las sanciones pueden suponer un 4% de los ingresos de la empresa, así que hay que tomárselo muy en serio.

Sólo hay que ver la avalancha de emails que casi todos estamos recibiendo estos días para renovar nuestro consentimiento en el tratamiento de datos. ¿Por qué tanto revuelo? Muchos de nuestros clientes asustados por tal marea de correos piensan que deben hacer lo mismo y realizar campañas en la misma línea. Estamos ante un panorama de caos y desinformación donde todos reaccionan imitándose unos a otros.

Pues bien, el Grupo de Trabajo del Artículo 29 de la Comisión Europea, encargada de elaborar guías y recomendaciones sobre la implantación de la GDPR elaboró una guía el pasado 10 de abril sobre el procedimiento de obtención de datos. Aquí se habla del consentimiento obtenido bajo la Directiva 95/46/CE y aclara que siempre que el consentimiento se haya obtenido con transparencia y siendo claro en sus finalidades, continuará siendo válido.

Obviamente debemos adaptar las cláusulas de nuestro E-Commerce a los nuevos requisitos de la GDPR, pero no es necesario renovar consentimientos que ya tenemos, algo que por otra parte podría conducir a la pérdida de una buena parte de los registros, ya que muchos suscriptores no abrirán esos correos o no completarán de nuevo los formularios.

¿Cómo poner al día tu E-Commerce?

Como hemos comprobado que todavía existe mucha desinformación con respecto a los principales cambios que introduce la GDPR para el comercio electrónico, nos hemos propuesto explicarte algunos puntos clave de la nueva normativa. Al final de este artículo encontrarás también una práctica infografía que podrás consultar cuando creas oportuno (ya sabéis que nos gusta presentar las cosas de forma muy gráfica y sencilla :))

Te mencionaremos las cuestiones más importantes que deben tener en cuenta las empresas que traten con datos personales.

Ámbito de aplicación

La GDPR es obligatoria para todas las empresas de la Unión Europea que registran datos de ciudadanos europeos. También se aplica a empresas fuera de la Unión Europea que utilizan datos de ciudadanos europeos con fines comerciales.

Deber de informar

Las empresas están obligadas a informar a los interesados sobre el uso que harán de sus datos y el período de conservación de los mismos. Por lo tanto, lo primero que debes hacer es definir una correcta Política de uso de bases de datos.

En el caso de que la empresa haya designado a un Delegado de Protección de datos, facilita el contacto a los usuarios e infórmales sobre el derecho que les asiste para hacer reclamaciones si consideran que sus datos están siendo tratados de forma inadecuada.

Implementa un sistema de verificación de edad

Respecto al consentimiento de los menores de edad, será lícito presentarlo sin tutores cuando éstos tengan 16 años o más, aunque la Agencia Española de Datos está estudiando reducir la edad hasta los 13 años.

Nuevos derechos de los usuarios

La GDPR mantiene los derechos de acceso, rectificación, cancelación y oposición y, además, introduce otros nuevos.

• Derecho a la limitación de tratamiento: los interesados pueden solicitar que no se apliquen sus datos personales a las operaciones de tratamiento.
• Derecho al olvido: está ligado al ejercicio de los derechos de cancelación u oposición que darán lugar al borrado de datos personales.
• Derecho a la portabilidad de datos: el interesado puede solicitar la recuperación de sus datos para su posterior transmisión a otra entidad.

Necesidad de un consentimiento explícito

La GDPR establece que el consentimiento para el tratamiento de datos personales debe ser específico e inequívoco.

Si cuentas con un sistema de consentimiento tácito para el uso de datos en tu web, esto ya no será válido. El usuario debe realizar una acción afirmativa para consentir el tratamiento de sus datos (por ejemplo hacer click en una casilla que no esté marcada por defecto). Esto es especialmente importante cuando se manejan datos sensibles.

Protege tu web contra ciberataques

La ciberseguridad es una medida imprescindible si registras datos de carácter personal en tu web.

Además, se exige que las empresas notifiquen en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos cualquier brecha de seguridad que ponga en riesgo los derechos de privacidad de los usuarios.

La nueva figura del Delegado de Protección de Datos (DPO)

Es obligatorio para las administraciones o para empresas que utilicen datos de usuarios a gran escala. En estos casos también se debería implementar un Canal de Protección de Datos que sirva para registrar los incidentes y riesgos de violaciones de seguridad.

El DPO puede pertenecer a la propia empresa o ser externo.

Evaluación y prevención de riesgos en la gestión de la empresa

Los responsables del tratamiento de datos en la empresa deben realizar una Evaluación de Impacto sobre la Protección de Datos si van a iniciar un tratamiento que pueda suponer un alto riesgo para los derechos de los interesados.

Transferencias internacionales de datos

Estarán limitadas a aquellos países que ofrezcan la protección de datos adecuada.

Además de estos aspectos, si te dedicas a la venta en Internet, deberías contar también con un seguro de Responsabilidad Civil frente a Ataques Informáticos.

Y ahora ¡lo prometido es deuda! Te dejamos esta infografía en la que te explicamos de forma resumida pero paso a paso, cómo adaptar tu E-Commerce a las exigencias de la GDPR.