RGPD: respondemos a las preguntas más frecuentes

El "RGPD", o el nuevo Reglamento General de Protección de Datos, entrará en vigor el 25 de mayo de 2018.

Desde hace varios meses en Internet se pueden leer artículos que tratan sobre la nueva normativa en diferentes páginas web, pero son pocos aquellos que han dedicado atención específica a sitios de comercio electrónico y, por lo tanto, es probable que todavía tengas algunas dudas.

Para evitar que no estés preparado el día de laentrada en vigor del GDPR, pensamos que era apropiado publicar en este artículo las preguntas más frecuentes que nos han enviado por correo electrónico, con las respuestas relacionadas.

1. ¿Debo cambiar la política de privacidad y las cookies publicadas en mi Ecommerce?

拉política de privacidad debe ser necesariamente modificada. El RGPD plantea algunas nuevas obligaciones de información para tu sitio de comercio electrónico; en particular, la información debe indicar:

1. el período de retención de los datos personales o, si esto no es posible, los criterios utilizados para determinar este período;
2. que los usuarios disfruten de la portabilidad de datos (es decir, el derecho a transmitir datos personales a otro controlador de datos sin obstáculos desde tu sitio de comercio electrónico);
3. el derecho del usuario a presentar una queja ante una autoridad supervisora;
4. el derecho del usuario a retirar el consentimiento en cualquier momento sin perjuicio de la legalidad del tratamiento basado en el consentimiento otorgado antes de la revocación;
5. la lógica utilizada para "perfilar" a los usuarios, así como la importancia y las consecuencias de este tratamiento.

"Perfilar" significa "cualquier forma de procesamiento automatizado de datos personales que consiste en el uso de dichos datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir aspectos relacionados con el desempeño profesional, la situación económica, la salud, preferencias personales, intereses, confiabilidad, comportamiento, ubicación o movimiento de dicha persona física "(ver artículo 4, párrafo I, número 4, de la RGPD).

Con referencia particular al sector de comercio electrónico, podemos afirmar que si a través de tu sitio envías mensajes publicitarios personalizados a tus clientes en función de las compras realizadas por este último (por ejemplo, si envías anuncios para promocionar tus bolsos de colores a clientes que hayan comprado previamente este tipo de artículo) entonces estarás "perfilando" a tus clientes, a medida que crees un "agrupes" de cada uno de tus usuarios en base a alguna característica común como por ejemplo: la compra de bolsos, o los que abandonaron un carrito con una promoción determinada, por género, entre otros.

En este caso, en la declaración de privacidad donde, en particular, indique la lógica que subyace a esta forma particular de procesamiento de datos personales, por ejemplo,podrías informar a tus usuarios que la lógica subyacente al perfilado depende de compras anteriores realizadas en el sitio.

Infórmale a tus usuarios que la lógica que subyace al perfilado depende de compras anteriores realizadas en el sitio.

Sin embargo, la política de cookies no debe modificarse, ya que GDPR no se ocupa de las cookies.

En resumen: sí, debes cambiar la política de privacidad.

2. Como propietario de un sitio de comercio electrónico, ¿tengo la obligación de designar a la agencia web que administra el sitio como "procesador de datos"?

Por "procesador de datos" se entiende la personafísicaojurídica, autoridad pública, servicio u otro organismo queprocesa datos personales en nombre del controlador de datos.

Con referencia específica al dominio de comercio electrónico, la persona física o jurídica que procesa datos personales en nombre del controlador de datos (el propietario del sitio web de comercio electrónico) es ante todo la agencia web que administra el sitio, si corresponde.

De hecho, generalmente, la agencia web que creó el sitio de comercio electrónico ofrece al propietario del sitio también el servicio de gestión de plataforma y, por lo tanto, procesa los datos personales de los usuarios del sitio (por ejemplo, información general, correo electrónico, direcciones de envío).

En este caso, el propietario del sitio debe designar, con un contrato específico, a la agencia web como "procesador" de acuerdo con el art. 28 de la GDPR.

El nombramiento como procesador debe redactarse a la luz de las disposiciones del art. 28 del GDPR, que, en particular, establece que con el nombramiento el responsable (en nuestro caso, la agencia web) se compromete a:

1. Procesar los datos personales de los usuarios del sitio solo de conformidad con instrucciones documentadas del controlador de datos (el propietario del sitio web);
2. Adoptar las medidas de seguridad específicas previstas por el GDPR en el art. 32;
3. Eliminar o devolver todos los datos personales de los usuarios (a elección del propietario del sitio web), tras la culminación del contrato de gestión del sitio web, comprometiéndose a cancelar las copias existentes, a menos que la legislación de la Unión o los Estados miembros prevean la retención de datos;
4. Garantizar que las personas autorizadas a procesar datos personales se hayan comprometido con la confidencialidad o que tengan una obligación legal apropiada de confidencialidad.

Además, el nombramiento como procesador de datos debe indicar específicamente los datos personales procesados por la persona o empresa responsable, la duración y el propósito del procesamiento.

3. ¿A qué sanciones me arriesgo si no respeto el RGPD?

El incumplimiento de las normas de la RGPD puede ser muy costoso en términos de multas: hasta 10.000.000 de euros, o para las empresas, hasta el 4% de la facturación anual total en el año anterior, si es mayor.

Obviamente, el alcance de la pena debe ser proporcional a algunos factores, en particular, la gravedad y la duración de la violación.

No solo eso.

El Garante para la protección de datos personales es el titular de poderes correctivos particularmente invasivos que proporcionan, entre otros, la posibilidad de restringir o prohibir el procesamiento ilegal.

En esta hipótesis, las consecuencias económicas pueden ser aúnmás graves que las derivadas de una sanción administrativa.拉imposibilidad de llevar a cabo un procesamiento podría implicar, por ejemplo, la suspensión de la prestación de un servicio a los clientes, con las consiguientes causas legales por parte de este último.

Además, las disposiciones sancionadoras del Garante son públicas y visibles en elsitio web institucionalcorrespondiente; por lo tanto, también debes tener en cuenta el "daño a la reputación" derivado del conocimiento de la sanción por parte de terceros ...

4. Mi empresa tiene su sede en los EE. UU. Y la vendo principalmente a estadounidenses a través de mi sitio web (que tiene una extensión ".us"). El sitio, sin embargo, tiene páginas traducidas al italiano, inglés y francés, y los usuarios que hablan estos idiomas pueden realizar compras sin problemas. ¿Tengo que respetar el GDPR incluso si, de hecho, el sitio web no es europeo y está dirigido a una clientela mayoritariamente estadounidense?

Artículo. 3 del GDPR establece que el Reglamento también se aplica a las empresas no establecidas en la Unión Europea, pero que llevan a cabo el tratamiento de los datos personales que se refieren a la oferta de bienes o servicios a los usuarios ubicados en la Unión Europea.

El GDPR nos ayuda a entender qué se entiende por "suministro de bienes y servicios", especificando como ejemplo que el uso de un idioma o una moneda usualmente utilizado en uno o más Estados Miembros, con la posibilidad de ordenar bienes y servicios en ese otro idioma puede resaltar la intención de una compañía de ofrecer bienes o servicios a aquellos interesados en la Unión Europea.

Por lo tanto, si a través del sitio, aunque administrado por una empresa no europea y con la extensión ".us", los usuarios europeos se ponen en condición, utilizando su idioma y moneda, para pedir bienes y servicios,la empresa deberá cumplir sus obligaciones del GDPR;当你,反对el objetivo主要避免是瞧s ciudadanos europeos se vean privados de la legislación para proteger su privacidad.

En resumen: sí, debes cumplir con las nuevas normas GDPR, incluso si tu sitio no es europeo y está dirigido a una clientela principalmente no perteneciente a la UE.

5. ¿Por qué debería invertir tiempo y dinero para adaptar mi sitio al GDPR? Si el riesgo de sanciones es casi inexistente.

拉respuesta más inmediata a esta pregunta podría ser esta: la adaptación al GDPR representa una obligación legal que, como tal, debe ser respetada.

En cualquier caso, hay razones de oportunidades que deberían «tentarte" a respetar las obligaciones del GDPR:

1. El Garante de Privacidad realiza de manera efectiva (siempre) encuestas de muestra que, cada 6 meses, se traducen en informes y encuestas (para un ejemplo de encuesta cognitiva, hazclic aquí). Después de estas investigaciones, el Garante puede decidir iniciar procedimientos de sanción independientes contra sitios que no cumplan con la legislación de privacidad;
2. comercio electrónico significa "visibilidad": es suficiente para informar a un usuario que se queja de la violación de sus derechos de privacidad para iniciar un procedimiento ante el Garante de Privacidad;
3. adaptarse al GDPR también puede representar una ventaja competitiva para las empresas que descuidan la privacidad de sus usuarios que, en cambio, tendrán un buen ojo para los comerciantes que se toman en serio el tema de la privacidad (p. Ej .: política de privacidad del sitio web escrita) de manera correcta, fórmulas de consenso consistentes con el propósito del sitio, ausencia de "spamming", etc.);

En resumen: porque es la ley, y estar en buena posición es imprescindible.

6. He leído que una de las principales novedades del Reglamento de Privacidad es la obligación de mantener un "registro de procesamiento". La compañía a través de la cual administro mi comercio electrónico, sin embargo, es relativamente pequeña (10 empleados): ¿estoy obligado a mantener el registro?

Artículo. 30 del GDPR establece que cada controlador de datos debe mantener "un registro de las actividades de procesamiento" llevado a cabo bajo su propia responsabilidad.

Este registro debe contener información importante como:

1. el nombre y los datos de contacto del procesador de datos:
2. los fines del procesamiento;
3. una descripción de las categorías de los sujetos interesados y las categorías de datos personales;
4. las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios de terceros países u organizaciones internacionales.

拉obligación de mantener el registro no se aplica a las empresas con menos de 250 empleados, a menos que:

1. el procesamiento, realizan喝水presentar联合国riesgo para los derechos y libertades del interesado;
2. el tratamiento no sea ocasional o incluya el procesamiento de datos confidenciales (datos que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos, datos biométricos destinados a identificar inequívocamente a una persona física, datos relacionados con la salud o la vida sexual u orientación sexual de una persona),
3. se procesen datos personales relacionados con condenas penales.

Excepto para las empresas con más de 250 empleados (que, como acabamos de ver, están en cualquier caso obligados a mantener el registro), en la práctica es difícil derivar (incluso) de la actividad de un sitio de comercio electrónico un riesgo para los derechos y las libertades de los usuarios, o que un sitio de comercio electrónico procese datos confidenciales (sin embargo, existen excepciones: piensa en sitios que venden medicamentos en línea) o datos relacionados con condenas penales.

Sin embargo, esto no significa que un sitio de comercio electrónico "clásico" (con menos de 250 empleados, que no maneja datos confidenciales o judiciales de cuya actividad no se deriva un riesgo para los derechos y libertades del interesado) esté exento de la obligación de mantener un "registro de procesamiento".

De hecho, un elemento clave del GDPR es el principio de "rendición de cuentas", según el cual el responsable del tratamiento debe establecer (así como revisar y actualizar) las medidas técnicas y organizativas apropiadas para garantizar y ser capaz de demostrar que las operaciones de procesamiento se llevan a cabo de acuerdo con el nuevo marco.

Es razonable suponer que entre estas "medidas organizativas" también está el mantenimiento de un "registro" que indica el procesamiento de datos personales realizado por el titular.

El consejo para todos los propietarios de un sitio de comercio electrónico, por lo tanto, es el siguiente: incluso si para tu actividad no estas obligado a mantener un registro, es mejor preparar y mantener actualizado un documento que contenga toda la información mencionada en el art. 30 del GDPR (resumido anteriormente).

¿Cual es la utilidad de tal cumplimiento?

• Te mantendrás siempre al tanto con respecto a tu actividad de procesamiento de datos personales;
• Puedes mostrarle a tus clientes que tu negocio es un operador "virtuoso" en el ámbito de la privacidad;
• En la hipótesis de seas sometido a un control por parte del Garante de Privacidad, será fácil demostrar que tu negocio ha sido particularmente escrupuloso en el cumplimiento de las obligaciones impuestas por el Reglamento de Privacidad.

¿Tienes alguna otra duda? ¡No dudes en contactarnos!

Acerca del autor

Lorenzo Grassano(lgrassano@cbmlaw.it) es miembro del bufete de abogadosCBM & Partnersof Milan. Experto en comercio electrónico y derecho de privacidad, Lorenzo asiste desde el punto de vista legal a sitios web y empresas emergentes italianas y extranjeras. En los últimos años, ha comprado casi todo en línea solamente.

Traducción del italiano al español:Jenny Izaguirre

---