Las nuevas regulaciones de privacidad de la UE entrarán en vigor el 25 de mayo de 2018. El Reglamento General de Protección de Datos (GDPR) tiene un alcance más amplio, castigos más estrictos y se aplica a más empresas que la legislación de privacidad anterior. Como mínimo, las empresas de eCommerce en todo el mundo deberían comprender las implicaciones del GDPR y los riesgos de incumplimiento.

El GDPR se aplica a datos que podrían utilizarse para identificar a personas en la UE (incluidas personas que no son ciudadanos de la UE). Los datos que no están cubiertos por las regulaciones de privacidad anteriores, incluidas las direcciones IP, ahora entran en la categoría de información de identificación personal (PII).

"Una persona puede ser identificada a partir de información tal como nombre, número de identificación, datos de ubicación, identificador en línea u otros factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona. Esto incluso incluye direcciones IP, cadenas de cookies, publicaciones en redes sociales, contactos en línea e ID de dispositivos móviles".

Las sanciones por incumplimiento del GDPR son duras e incluyen multas de hasta 20.000.000 euros o el 4% de los ingresos globales, el que sea mayor. Conforme a la legislación, las autoridades de protección de datos reciben poderes que incluyen la imposición de acciones correctivas tales como limitaciones a las actividades de recopilación de datos e incluso una prohibición total del procesamiento de datos o el movimiento de datos a otros países. El GDPR se aplica a todas las empresas que recopilan o procesan datos personales dentro de la UE, incluidas las empresas extranjeras.

Si no está seguro de si el GDPR se aplica a su negocio, es posible que desee buscar asesoramiento legal. Este artículo es una guía general, no un consejo legal.

¿Qué empresas deben respetar el GDPR?

Un negocio no es alcanzado por el GDPR solo porque su sitio web se puede ver en la UE. Pero si un negocio minorista comercializa y vende específicamente a personas en la UE, sí se espera que se ajuste a los requisitos del GDPR.

El GDPR se aplica a "procesadores" y "controladores" de datos personales. Un controlador es una persona u organización que recopila información personal y decide qué se hace con ella. Los minoristas de eCommerce es probable que caigan bajo la definición de un controlador. Recopilan datos para vender y comercializar productos.

Los procesadores procesan datos en nombre de un tercero. Por ejemplo, un proveedor de pago que utiliza datos recopilados por un comerciante de comercio electrónico (el controlador) se consideraría un procesador.

Bajo el GDPR, los controladores pueden ser responsables de las acciones de los procesadores y se espera que tengan contratos y acuerdos de externalización para controlar el uso de los datos personales. Los controladores no pueden trasladar sus obligaciones bajo el GDPR a los procesadores mediante la contratación externa.

¿Qué requiere el GDPR?

El GDPR es un documento grande y complejo, e instamos a los minoristas de comercio electrónico a que echen un vistazo a las directrices oficiales porque aquí solo podemos cubrir algunos de los requisitos. Visitar: https://www.eugdpr.org

Para recopilar y procesar información de identificación personal, un comerciante de comercio electrónico debe tener bases legales bajo el GDPR para hacerlo. Existen varios motivos que justifican el uso de PII, incluido el cumplimiento de una obligación legal o contractual, pero el motivo más pertinente para los minoristas de comercio electrónico es el consentimiento.

Lo que cuenta como consentimiento está más estrictamente definido que en las regulaciones de privacidad actuales de la UE. El consentimiento debe ser otorgado libremente, específico, informado y una indicación inequívoca de los deseos del sujeto. El consentimiento no debe ser optativo o automático: debe ser explícitamente otorgado. El consentimiento no se debe incluir con términos de uso o condiciones.

Derechos

El GDPR también otorga a los interesados el derecho a controlar los datos que los identifican personalmente. Estos derechos imponen obligaciones a los controladores y procesadores de datos, por lo que esta es la parte más importante del GDPR para que los minoristas (eCommerce) comprendan.

• Derecho de acceso. Los clientes tienen derecho a acceder a la información de identificación personal que los minoristas almacenan y procesan.

• Derecho a borrado y rectificación. Los clientes pueden solicitar que se borren sus datos y los minoristas deben cumplir dentro de un mes. Este derecho a menudo se llama el derecho a ser olvidado. El derecho de rectificación permite a los clientes solicitar que se corrija la información incorrecta. Ambos derechos tienen excepciones, pero se espera que los comerciantes de eCommerce tengan sistemas e interfaces para que puedan manejar las solicitudes de manera eficiente.

• Derecho a la portabilidad de datos. Los clientes tienen derecho a utilizar información de identificación personal recopilada por una empresa para sus propios fines, incluida la entrega a otra empresa. Los datos deben presentarse en un formato estructurado, de uso común y legible por máquina.

• Notificación de incumplimiento. Las infracciones de datos se deben divulgar a los clientes relevantes dentro de las 72 horas de que el minorista conozca la infracción.
  La manera más eficiente de manejar los derechos de PII bajo el GDPR es proporcionar formularios para que los clientes puedan realizar solicitudes y sistemas que puedan reunir los datos necesarios en el formato requerido. Existen complementos (plugins) de WordPress (https://wordpress.org/plugins/wp-gdpr-compliance/) para ayudar a los usuarios de WooCommerce a cumplir con el GDPR. No sabemos si estos complementos cumplen con la totalidad de los requisitos del GDPR.

GDPR y los minoristas ubicados fuera de la UE.

Los minoristas de comercio electrónico ubicados geográficamente fuera de la UE se preguntan si la legislación de la UE les impone obligaciones. Si no se dirige a clientes de la UE, puede ignorar el GDPR. Pero si vende en la UE o procesa la IIP de ciudadanos de la UE por otras razones, debe considerar el costo de cumplimiento y el costo potencial de no cumplir.

Si su empresa tiene locales en la UE, los reguladores de la UE pueden sancionarlo directamente. Este también puede ser el caso si la empresa almacena y procesa datos en un centro de datos ubicado en la UE. Esto no es solo un riesgo teórico: por ejemplo, los estados miembros de la UE han perseguido agresivamente a las empresas estadounidenses por cuestiones de privacidad y, a raíz de las recientes revelaciones sobre Facebook, es probable que sean más agresivos en el futuro.

Bajo el GDPR, las empresas sin una presencia física en la UE que manejan regularmente los datos personales cubiertos por el GDPR deben designar a un representante en la UE a quien se puedan dirigir las comunicaciones pertinentes.

¿Cómo puede la UE multar a las empresas (con base fuera de la UE) sin una presencia física en la UE? Al momento de escribir este artículo, aún no está claro qué mecanismos se utilizarán, pero el derecho internacional, los acuerdos de privacidad recíprocos y los tratados internacionales pueden ser las herramientas a utilizar.

En resumen, si Usted tiene negocios en la UE es mejor no ignorar el GDPR.