Al poseer un negocio online, debes haber oído hablar de las normativas de datos como el GDPR (Reglamento General de Protección de Datos de la UE), que regula cómo se deben recolectar y utilizar los datos de los clientes, y con qué fines.
Dicho esto, no es de extrañar que pueda afectar a tu negocio y la forma de interactuar con tus clientes. «Pero, ¿cómo?», podrías preguntarte. Esto es lo que analiza este artículo: cómo se relacionan el GDPR y el ecommerce, qué significa la conformidad con el GDPR para el minorista, qué se necesita para cumplirlo y cómo utilizarlo en beneficio de un negocio online.
¿Qué es la normativa de datos?
La normativa de datos se refiere generalmente a un conjunto de leyes destinadas a proteger los datos de las amenazas internas y externas, y a evitar que se vean comprometidos o corrompidos. Dado que la cantidad de datos que se crean y almacenan aumenta constantemente, la protección de datos se vuelve cada vez más indispensable. Dependiendo de dónde se encuentre un individuo y/o un sitio web, se aplican diferentes leyes a los datos con los que se entra en contacto, según el continente, la región y el estado. He aquí algunos ejemplos:
- El Comité Permanente de la Asamblea Popular Nacional de China publicó el primer borrador de su Ley de Protección de Datos Personales (PIPL) para que el público realizara comentarios a partir de octubre de 2020. La Ley de Protección de Datos, que unifica las leyes chinas existentes en materia de privacidad de datos, también añade varias novedades importantes a la protección de los datos personales en China. La PIPL reforzará los nuevos derechos adquiridos por los titulares de datos que residen en China, independientemente de su nacionalidad, como el derecho a la supresión y el derecho a revocar el consentimiento para la recolección de datos.
- Se espera que en 2021 se complete una amplia revisión de la Ley de Privacidad de Australia de 1988. En respuesta al informe de la Comisión Australiana de Competencia y Consumo (ACCC) sobre las plataformas digitales, el gobierno australiano anunció el 12 de diciembre de 2019 que llevaría a cabo una revisión de la Ley de Privacidad.
- El 17 de noviembre de 2020, el Ministro de Información, Ciencia y Desarrollo Económico de Canadá presentó la Ley de Aplicación de la Carta Digital (DCIA). Si se aprueba, la DCIA sustituirá a la actual ley de protección de datos del sector privado, la Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA).
El reglamento de datos más famoso sigue siendo el GDPR de la Unión Europea. A continuación, profundizamos en cómo afecta a las tiendas de ecommerce y a las empresas.
¿Qué es el GDPR?
El Reglamento General de Protección de Datos (GDPR) y la Directiva sobre intimidad y comunicaciones electrónicas (ePR) afectan la forma en que los propietarios de sitios web deben obtener y almacenar el consentimiento de cookies de sus visitantes de la Unión Europea. Cuando los usuarios abren una página web y aparece el banner que dice «este sitio web utiliza cookies», es porque los sitios los utilizan para personalizar el contenido y los anuncios, proporcionar funciones de redes sociales y analizar el tráfico. Para saber más sobre el consentimiento de cookies, haz clic aquí.
La aplicación del GDPR se debe a la creciente cantidad de datos que se recolectan, transfieren, gestionan y utilizan en la actualidad. Sin embargo, no es el primer reglamento de datos de la Unión Europea: la región ya contaba con su Directiva de Protección de Datos, promulgada en 1995, que hoy en día está desfasada y no es del todo aplicable a la era digital, llevando a la creación del GDPR.
Si dirigía un negocio de comercio electrónico cuando el GDPR entró en vigor, probablemente ya se haya adaptado y esté familiarizado con él. Pero si estás empezando en el ecommerce y todavía te estás familiarizando con el GDPR, es justo que te sientas abrumado.
Es necesario entender que cumplir con el GDPR da mucho trabajo. Pero también es extremadamente importante y ciertamente no es algo que se pueda ignorar y esperar que desaparezca. El incumplimiento del GDPR puede dar lugar a multas y sanciones bastante cuantiosas, de hasta el 4 por ciento de la facturación anual de una empresa. Un ejemplo: hace poco, un minorista polaco recibió la mayor multa del GDPR, de 650.000 euros.
¿Cómo afectan las leyes de GDPR a una empresa?
Para los propietarios de sitios web, los dos aspectos principales que deben tener en cuenta son: cómo administrar y almacenar datos personales, así como las cookies y el seguimiento en uso en el sitio web.
Para cumplir con los requisitos, asegúrate de tener una configuración completa y compatible para obtener y almacenar de forma segura los consentimientos para las cookies en el sitio web. Se recomienda completar una descripción general de cómo la empresa almacena y recopila datos actualmente, centrándose en el consentimiento otorgado. Esto es especialmente importante si la empresa utiliza métodos de marketing en el extranjero, tales como publicaciones en redes sociales y anuncios en sitios web.
Asegúrate de configurar y presentar el banner de cookies desde la perspectiva del comprador, donde el mensaje para ellos se simplifica. El RGPD da la máxima importancia al consentimiento del consumidor, así que las empresas deben obtener un consentimiento explícito sobre el tipo de datos que recopilarán y cómo los procesarán.
¿Por qué es esto importante para mí como minorista online?
La recopilación y el uso de datos a través de los sitios web (incluidas las tiendas online) son responsabilidad del propietario de casa uno. Significa que solo la empresa propietaria o la entidad autorizada opera y es responsable de los datos recogidos a través del sitio de su propiedad.
Como minorista online, tienes que pensar en cómo y por qué recopilas los datos de tus usuarios: ¿es con propósitos de marketing? ¿Qué otras finalidades tiene la recolección de esos datos? Para responder a estas y otras preguntas, he aquí algunas consideraciones que deben tenerse en cuenta:
1. Revisa tus procesos y elabora un plan
Sin conocer las prácticas actuales de tu empresa, será impracticable realizar cambios notables para cumplir con el GDPR. Si recopilas datos de clientes, debes asegurarte de que estén protegidos. Aunque trabajes con terceros, debes tener la seguridad de que la información recopilada está protegida contra las amenazas externas y los malos manejos. Antes de realizar cualquier cambio notable, prepara un plan sobre cómo gestionar las solicitudes de datos personales.
2. Desarrolla un proceso fácil para que tus clientes se comuniquen
El Consejo Europeo ya ha facilitado a los clientes la presentación de reclamos contra los sitios web que no cumplen las normas. Por lo tanto, es necesario desarrollar sistemas sencillos para que los usuarios puedan solicitar y comunicarse contigo sobre sus datos esenciales. Además, tus clientes deben poder solicitar una copia de sus datos o su eliminación completa de forma sencilla y rápida. El consentimiento de cookies incluye proporcionar a los visitantes de tu web una visión completa de lo que aceptan al enviar sus datos.
3. Entiende cómo se afronta una violación de datos
De acuerdo con el GDPR, se requiere en situaciones específicas identificar y reportar a una «autoridad supervisora» dentro de las primeras 72 horas contadas a partir de la violación de los datos, en caso de que suceda. Además, las empresas deben notificar al cliente después de enterarse de una violación en determinadas situaciones. Poder descubrirla y notificar inmediatamente es un paso importante para muchas empresas que tratan con países europeos. Sin embargo, debes tomar esto como una responsabilidad para discutir con tus equipos de seguridad sobre la capacidad de tu empresa para detectar y trabajar a través de una violación de datos.
4. Rediseña los formularios de consentimiento
Los visitantes de tu sitio web deben dar su aprobación cuando se trata de almacenar o procesar sus datos, y deben poder revocarla en cualquier momento. Tanto si pides información personal para atender el pedido, para terceros, o con fines de marketing, debes poner una casilla distinta para cada solicitud y explicarla con un lenguaje sencillo. Esto significa que no deben haber más casillas seleccionadas previamente y debe asegurarse de desactivar todos los opt-ins.
5. Garantice al cliente la legitimidad de los datos recolectados
Con el GDPR, no puedes pedir a los consumidores que proporcionen información personal que no sea relevante para un producto ofrecido en tu tienda online. Por lo tanto, debes pedir y recoger los datos de los usuarios solo cuando sean imprescindibles. En caso de una investigación, tendrás que demostrar que esta información personal es necesaria.
Además, no olvides revisar tus bases de datos existentes: si conservas algún dato personal no obligatorio, deberás eliminarlo. Además, si tu sitio web tiene una ventana emergente o una sección en la que se pide al cliente que cree una cuenta para obtener un 10% de descuento u otros puntos de recolección de datos, todos estos campos tienen que mencionar explícitamente para qué se utilizará su información.
6. Asegúrate de tener un certificado SSL
Para cumplir con las directrices para webmasters proporcionadas por Google, las tiendas online deben tener una cobertura completa de HTTPS en todo el sitio web, incluyendo la página del checkout. Ahora bien, esta directriz también entra dentro de la normativa GDPR, ya que los sitios que utilizan HTTPS procesan los datos de los clientes a través de una conexión cifrada. Por lo tanto, todo el sitio web de ecommerce debe tener un certificado SSL para cumplir con el Reglamento General de Protección de Datos.
7. Designa un responsable de la protección de datos y consulta a un abogado
Un delegado de protección de datos puede ayudarte a garantizar que tu empresa cumpla de la mejor manera posible con el GDPR. Es posible que hayas pasado por alto algunos puntos importantes en los recursos online que no han quedado claros, por lo que también se recomienda consultar a un abogado experto en la materia; hablar con un especialista es la única manera de asegurarse de que está totalmente preparado.
Una observación final sobre la privacidad de datos y el ecommerce
El proceso de cumplimiento del RGPD puede ser costoso y lento, dependiendo de tus procedimientos e infraestructura existentes. No obstante, debes aclarar todos los pasos necesarios antes de gastar tu valioso dinero. Todos los consejos mencionados anteriormente son solo el comienzo para trabajar en conformidad con el GDPR en tu empresa, pero sin duda te proporcionarán una gran base para empezar. Una vez que hayas implementado soluciones adecuadas para cumplir con los requisitos del GDPR, debes comenzar a trabajar en los procedimientos para responder rápidamente y proteger los derechos de tus clientes. Si eres transparente y sigues las mejores prácticas, no tendrás que enfrentarte a las enormes sanciones que conlleva el GDPR.
Montar una tienda online es una verdadera oportunidad para iniciar un negocio de éxito. La principal ventaja es la reducción de la interacción a nivel físico (que representa un beneficio en el contexto social actual) y el desarrollo de una interacción virtual, que se logrará de forma rápida y eficiente. De este modo, existe la posibilidad de una identificación directa del comprador potencial, pero también de su información completa y correcta sobre todos los aspectos, desde el nivel organizativo, hasta las formas de entrega, medios de pago, etc. Un aspecto importante de la configuración de un negocio online es la necesidad de proteger los datos de las personas que tienen acceso directo a los servicios prestados. Así, cuando abrimos una tienda online, debemos tener en cuenta las disposiciones sobre protección de datos personales.