Cuestiones legales para adaptar tu e-commerce a la ley
Cuestiones legales para adaptar tu e-commerce a la ley
Sin duda alguna, una de las actividades económicas que más crecimiento ha experimentado en los últimos años es el comercio electrónico. La imparable digitalización de los negocios ha supuesto que las ventas mundiales de bienes y servicios a través de portales de internet se hayan visto triplicadas en 6 años, pasando de 1,3 trillones de USD en 2014 a 4,1 trillones de USD en 2020[1], datos que sin duda se verán ampliamente superados por los efectos de la pandemia mundial provocada por el Covid-19, esperando que alcancen cifras de 6,3 trillones de USD en 2024.
El objetivo de este artículo es aportar un punto de vista práctico y general sobre los requisitos que, desde el punto de vista jurídico, debe reunir un e-commerce radicado en Europa o que, aun encontrándose fuera del Espacio Económico Europeo, esté dirigido a un público europeo. No se pretende realizar un análisis en profundidad de la legislación aplicable a este tipo de actividad económica, sino simplemente ofrecer unas pinceladas que orienten al lector en algunos aspectos relevantes a tener en cuenta para la adecuación legal de un e-commerce.
E-COMERCE. DEFINICIÓN Y TIPOS
Un e-commerce es un comercio que gestiona los cobros y pagos a través de medios electrónicos. En función de los sujetos intervinientes en este tipo de transacciones podemos clasificar los portales de e-commerce en los siguientes tipos: B2B (Business-to-Business); B2C (Business-to-Consumer); C2B (Consumer-to-Business) o C2C (Consumer-to-Consumer).
«Además de cumplir con toda la normativa en materia de consumo, deben estar diseñados para garantizar la protección de los datos personales que se facilitan»
Pues bien, todos estos tipos de e-commerce tienen que ofrecer la información legalmente requerida para identificarse en el mercado, y, en el caso de los portales cuya actividad comercial va destinada a consumidores, además de cumplir con toda la normativa en materia de consumo, deben estar diseñados para garantizar la protección de los datos personales que se facilitan, tanto a través de la navegación del usuario, como aquellos que se facilitan en el proceso de compra.
Para ello, además de cumplir con la normativa específica de servicios de pago[2] que ha venido a fortalecer la seguridad de las transacciones online exigiendo, por ejemplo, la autenticación reforzada del cliente, es necesario incorporar en la página web a través de la que se prestan los servicios de e-commerce diversos textos legales: (i) un aviso legal que, entre otras cosas, identifique al titular de la página web; (ii) unas condiciones generales de compra que regulen la compraventa de los productos o servicios a través del portal; (iii) una política de privacidad en la que se informe al usuario del tratamiento que se va a realizar de los datos que se recaben a través de los distintos formularios incorporados en el site; y (iv) una política de cookies para advertir a los usuarios antes de acceder al sitio web, de la posibilidad de que se instalen pequeños dispositivos de almacenamiento en sus equipos terminales para recuperar información sobre sus hábitos de navegación o intereses con la finalidad de conocer mejor sus gustos y de esa forma mejorar sus servicios, o bien ofrecerles publicidad más acorde con sus preferencias.
AVISO LEGAL
En este apartado se recogen las condiciones que se imponen a los usuarios para navegar por la página web. Además, en estas condiciones de uso se identificará al titular de la página web dando con ello debido cumplimiento a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) que establece que debe incluirse información sobre: la denominación social del titular de la web, domicilio y datos de contacto; el código de identificación fiscal (CIF) o Número de identificación fiscal (NIF); los datos de inscripción en el Registro Mercantil si fuese el caso o en el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión, entre otras cuestiones.
Además de esta información identificativa, se incluyen cláusulas de propiedad intelectual e industrial donde se reservan los derechos sobre los contenidos de la página web, de manera que ningún tercero pueda hacer uso de ellos sin su autorización, o cláusulas de exoneración de responsabilidad en el caso de que el usuario sufra algún incidente navegando por la web, así como la legislación aplicable para la interpretación de las condiciones y los juzgados y tribunales competentes en caso de que exista algún conflicto entre el titular y el usuario.
POLÍTICA DE PRIVACIDAD
Para determinar el contenido de la Política de Privacidad debemos acudir al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“Reglamento General de Protección de Datos” o “RGPD”).
A pesar de su aplicación directa en todos los países de la UE, el RGPD ha sido incorporado a los ordenamientos de los estados miembros a través de modificaciones o aprobaciones específicas de leyes de protección de datos nacionales, que vienen a “aterrizar” alguno de los conceptos genéricos establecidos en el RGPD y sobre los que se deja libertad a cada uno de los estados miembros. En el caso de España, este ejercicio se hizo a través de la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Una de las novedades del RGPD es su ámbito de aplicación. De manera que será de aplicación la normativa europea tanto a responsables de tratamiento establecidos en la UE como a responsables establecidos fuera de la UE que traten datos de residentes en Europa para la oferta de bienes o servicios o para el control de su comportamiento. En ese caso, cuando el responsable del tratamiento no esté establecido en la UE pero trate datos de residentes en la UE, deberá designar por escrito un representante en la UE, en concreto en el estado en el que estén los interesados cuyos datos personales se traten. Por lo tanto, en el ámbito del e-commerce, el RGPD se aplicará a sitios web cuyos titulares tenga su establecimiento en Europa, pero también a sitios web de personas o entidades que operen fuera de Europa a los que accedan europeos.
Por lo tanto, todo e-commerce que recabe datos personales de usuarios establecidos en Europa, con independencia del lugar desde el que opere, debe ofrecer la información sobre el tratamiento de dichos datos que se regula en el art. 13 y 14 del RGPD. En concreto deberá informarse de: (i) la identidad y los datos de contacto del responsable o de su representante en la UE; (ii) los datos de contacto del delegado de protección de datos; (iii) los fines de tratamiento y la base jurídica que lo legitima; (iv) el destinatario o categoría de destinatarios de los datos; (v) la intención de transferir los datos fuera del Espacio Económico Europeo; (vi) el plazo durante el que se conservarán los datos; (vii) la existencia del derecho a solicitar el acceso, la rectificación, la supresión de los datos o la limitación u oposición al tratamiento; (viii) la posibilidad de retirar su consentimiento en cualquier momento; (ix) el derecho a presentar una reclamación ante la autoridad de control; (x) si la comunicación de los datos es un requisito legal o contractual y si existe obligación de facilitar los datos y las consecuencias en caso de no hacerlo; (xi) la existencia de decisiones automatizadas, incluida la elaboración de perfiles.
Esta información puede ofrecerse en dos capas, de manera que, en una primera capa, deberá incluirse, por ejemplo, al pie de formulario donde se recogen datos personales, información general sobre el responsable del tratamiento, la finalidad del tratamiento y la posibilidad de ejercitar los derechos que asisten a los titulares regulados en el RGPD. El resto de la información podrá detallarse en una segunda capa, por ejemplo, a través de un enlace a la política de privacidad.
POLÍTICA DE COOKIES[3]
Las cookies son el “vehículo” utilizado por muchos prestadores de servicios de la información, e-commerce entre otros, para optimizar sus campañas publicitarias. Mediante el uso de estos dispositivos de almacenamiento y recuperación de datos, los prestadores de servicios obtienen datos relacionados con los usuarios, tanto identificativos como de hábitos de navegación, con el objetivo de servir publicidad o para mejorar o diseñar nuevos productos o servicios, por lo tanto, el uso de cookies (o cualquier otra tecnología similar que sirva para almacenar recuperar datos de un equipo terminal) incide directamente sobre la privacidad de los usuarios.
«Las cookies son el vehículo utilizado por muchos prestadores de servicios de la información para optimizar sus campañas publicitarias»
Es por ello que los usuarios deben de ser informados de la existencia de estos dispositivos y, en algunos casos, según los datos que se recaben y el uso que se haga de los mismos, deben además prestar su consentimiento.
La Agencia Española de Protección de Datos publicó en julio de 2020 una Guía sobre el uso de cookies[4] en la que incorporaba las directrices del Comité Europeo de Protección de Datos, y en la que se consagra como regla general la necesaria obtención del consentimiento del usuario de forma previa a la instalación de las cookies, salvo para aquellas cookies técnicas necesarias para el funcionamiento de la página. Es decir, para las cookies de preferencia o personalización, de análisis o medición, o de publicidad comportamental.
La información se puede prestar en dos capas: en una primera capa previa a la instalación de la cookie, debe indicarse: (i) el responsable del sitio web; (ii) las finalidades de las cookies; (iii) si las cookies son propias o de terceros; (iv) tipo de datos que se van a recopilar; (v) modo en el que el usuario puede aceptar, configurar y rechazar las cookies; (vi) un enlace a la segunda capa de información, que será la política de cookies, que debe encontrarse disponible de forma permanente en el sitio web y preferiblemente de forma separada y autónoma al resto de los textos legales.
Sobre estos tres conceptos: aceptar, configurar y rechazar, podrían diseñarse diferentes estrategias, si bien siempre debe tenerse en cuenta que el consentimiento debe ser inequívoco y debe otorgarse a través de una clara acción afirmativa del usuario, de manera que no podrá darse por válida la inacción del usuario o el “seguir navegando”. Por ello es conveniente incluir un botón “aceptar”. Junto con este botón podría incluirse el botón “configurar”, que puede dirigir a un panel de configuración o CMP (consent management platform) para que el usuario, de manera granular, pueda aceptar las cookies que desee, o bien podría incluirse el botón “rechazar” para facilitar al usuario su oposición a la instalación de cookies.
«La información debe ser concisa, transparente e inteligible, usando un lenguaje claro y sencillo»
La segunda capa de información, que es la política de cookies, debería ofrecer la información de la primera capa con más detalle y en concreto: (i) definición y función genérica de las cookies; (ii) tipo de cookies que se utilizan y su finalidad; (iii) identificación de quien utiliza las cookies, identificando a los terceros que vayan a acceder a dicha información; (iv) explicación sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies; (v) información sobre las transferencias de datos a terceros países; (vi) si se van a elaborar perfiles que impliquen la toma de decisiones automatizadas y, en su caso, la lógica utilizada y (vii) periodo de conservación de los datos.
La información debe ser concisa, transparente e inteligible, usando un lenguaje claro y sencillo y debe ser de fácil acceso, por lo que se recomienda que conste como un apartado específico en la página web.
CONDICIONES DE COMPRA
Por último, dado que el objeto de todo e-commerce es la venta de productos o servicios, debe incorporarse como texto legal en la página web el contrato de compraventa o de arrendamiento que rige la adquisición por parte del usuario, de los productos o servicios ofertados por el titular del comercio online. En este contrato deberá tenerse en cuenta las especialidades respecto a la legislación aplicable a consumidores siempre que el usuario del e-commerce tenga esta categoría. Lo más habitual es que se incorpore como texto estándar las condiciones generales de compra, donde se regulan cuestiones como edad mínima para contratar, condiciones de envío, responsabilidad, garantías, derecho de desistimiento en caso de aplicar, devolución de productos defectuosos, legislación y jurisdicción competente, etc. Estas condiciones generales se completan con las condiciones particulares, es decir, las condiciones del producto o servicio específicamente contratado que suelen mostrarse en el proceso de compra donde se indican todas las características del mismo o cualquier otra especialidad que venga a completar y/o modificar las condiciones generales anteriormente indicadas.
[1] https://www.shopify.com/enterprise/global-ecommerce-statistics
[2] Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior traspuesta al ordenamiento jurídico español por el Real Decreto Ley 19/2018, de 23 noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
[3] En la actualidad estamos inmersos en una revolución en el mundo de la publicidad online, porque se prevé que en 2022 dejarán de existir las cookies de terceros, lo cual cambiará el ecosistema de la publicidad digital y, es posible, que mucho de lo aquí dicho quede obsoleto.
[4] https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf