Cómo afecta el GDPR a las tiendas online en Shopify: Información adicional

Cómo afecta el GDPR a las tiendas online en Shopify: Información adicional

Maggiori informazioni circa l'impatto del GDPR sui merchant di Shopify

El Reglamento General de Protección de Datos(GDPR) afecta a cualquier comerciante de Shopify en Europa o que preste servicios a clientes europeos. Si bien Shopify ha trabajado arduamente para asegurarse de acatar el GDPR y permitir que sus comerciantes cumplan con dicho reglamento de manera inmediata a partir del 25 de mayo de 2018, es importante señalar que la aplicación del GDPR también requerirá que ejecutes acciones de forma independiente a la plataforma de Shopify.

Shopify quiere ayudar a sus comerciantes para que estén en la mejor posición posible de cumplir con la ley. Este artículo incluye preguntas que debes considerar para ayudarte a evaluar tus obligaciones y asegurarte de haber configurado tu tienda de una manera que cumplas con la ley.

No obstante, no se trata de asesoría legal. El GDPR es un reglamento complicado, y se aplicará según el comerciante. Debes consultar a un abogado para averiguar exactamente qué debes hacer.

Debes consultar a un abogado para averiguar exactamente qué debes hacer.

Para obtener información sobre el procesamiento de solicitudes de datos, consulta la sección Procesamiento de solicitudes de datos del GDPR.

¿Por qué Shopify no puede manejar el cumplimiento del GDPR por los comerciantes?

El GDPR impone distintas obligaciones a los controladores y procesadores de datos. Como procesador de datos, Shopify cumple con sus propias obligaciones legales bajo el GDPR. Sin embargo, los comerciantes (como controladores) también tienen sus propias obligaciones separadas que deben considerar.

Shopify proporciona a los comerciantes una plataforma que se puede configurar para que sea compatible con el GDPR, pero debes considerar la forma en la que te gustaría dirigir tu negocio.

Para mayor orientación, los siguientes reguladores dentro de la Unión Europea han dado orientación específica sobre el GDPR:

Recolección de datos personales

El GDPR protege los derechos fundamentales de las personas dentro de la Unión Europea en cuanto al procesamiento de datos personales.

Ejemplos de datos personales incluyen:

  • Nombre
  • Dirección
  • Dirección de correo electrónico
  • Cuenta de redes sociales
  • Identificador digital como una dirección IP o una ID de cookie.

Piensa en las siguientes preguntas:

  • ¿Estás recopilando datos personales de clientes en Europa? La mayoría de los sitios web están disponibles para los residentes de Europa, y estarán bajo el GDPR.
  • Si tu tienda usa aplicaciones o temas externos, ¿estos recopilan y procesan datos según el GDPR? Para simplificar este proceso, Shopify requiere que todas las aplicaciones publiquen una política de privacidad que detalle sus prácticas de manejo de datos, para que puedas evaluar si te sientes cómodo con las prácticas de datos de dicha aplicación. Las aplicaciones desarrolladas por Shopify se incluyen en el Anexo de procesamiento de datos, y Shopify es responsable de su cumplimiento.
  • ¿Los canales o pasarelas de pago que utilizas recopilan y procesan datos de acuerdo con el GDPR? Debes verificarlo con ellos para confirmar esta información.
  • ¿Tienes una lista de todos los tipos de datos personales que recopilas de tus clientes y todas las formas en que utilizas dicha información? El Artículo 30 del GDPR requiere que mantengas un mapa actualizado de tus prácticas de manejo de datos.

Aviso de Privacidad

El GDPR (y en particular sus artículos 12 a 14) requiere que proporciones información específica a las personas cuyos datos estás procesando, generalmente como un aviso de privacidad o política de privacidad.

Puedes utilizar el generador de políticas de privacidad de Shopify para comenzar. Puedes encontrarlo en tu configuración en la sección Pantalla de pago o en línea.

Piensa en las siguientes preguntas:

  • ¿Tienes una política de privacidad en tu sitio web que incluya toda la información que debes proporcionar según el reglamento? ¿Incluye información sobre cómo los clientes pueden contactarte en caso de tener inquietudes sobre el manejo de su privacidad y cómo los clientes pueden ejercer sus derechos, por ejemplo, los derechos de supresión (borrado) o rectificación (modificación o corrección) de sus datos y su derecho para acceder a la misma?
  • ¿Tu política de privacidad incluye información sobre cómo Shopify puede usar los datos personales de tus clientes para la calificación automática de riesgo y fraude? El GDPR requiere que divulgues cuando tú (o tus proveedores de servicios) usan la información personal de los clientes, en relación con la toma de decisiones automatizada. Shopify usa la información personal de tus clientes para bloquear ciertas transacciones que parecen ser fraudulentas a través de una toma de decisiones automatizada. El Generador de políticas de privacidad de Shopify incluye esta información. Para obtener más información sobre este sistema, consulta la sección Toma de decisiones automatizada.

Designa un Responsable de Protección de Datos

Un Responsable de Protección de Datos (RPD) supervisa cómo tu organización recopila y procesa datos personales. Si las actividades principales de tu negocio incluyen un seguimiento en línea a gran escala, el GDPR requiere que desgines un RPD y proporciones la información de contacto para el RPD en tu Política de Privacidad.

El GDPR incluye las tareas específicas de un RPD, como realizar evaluaciones de impacto de protección de datos cuando tu organización cambia el método en que recopila y procesa datos personales. El RPD puede ser una persona interna que tenga experiencia en los requisitos de protección de datos y el GDPR, pero también puedes considerar trabajar con un consultor o una empresa para que actúe como un RPD externo.

Piensa en las siguientes preguntas:

  • ¿Cuántas personas se ven afectadas por las tecnologías de seguimiento de tu tienda? Estos pueden incluir aplicaciones de publicidad conductual, o incluso apps de retargeting. Independientemente si la cantidad de personas afectadas es o no "a gran escala" es una decisión legal, por lo que debes consultar con un abogado dependiendo de tus circunstancias.
  • ¿Debes designar voluntariamente un RPD? Incluso si no tienes la obligación legal de designar un RPD, si tu presencia en Europa es lo suficientemente grande, puedes hacerlo voluntariamente para asegurarte de que estás protegiendo adecuadamente los datos de tus clientes.
Debes consultar a un abogado dependiendo de las circumstancias.

Acuerdos de procesamiento de datos

Como controlador de datos bajo el GDPR, el Artículo 28 requiere que cuando contrates un procesador de datos (como Shopify) para procesar los datos de tus clientes, impongas requisitos contractuales estrictos sobre cómo se pueden usar y procesar esos datos. Normalmente esto se realiza a través de un Anexo de procesamiento de datos o DPA, por sus siglas en inglés.

Shopify ha incorporado automáticamente un Acuerdo de procesamiento de datos (https://www.shopify.com/legal/dpa) en sus términos de servicios, diseñado para cumplir los requisitos del Artículo 28.

Para los comerciantes de Shopify Plus, sus contratos negociados regirán su relación con Shopify. Además, los comerciantes pueden firmar un Anexo de procesamiento de datos para satisfacer sus necesidades. Los comerciantes de Shopify Plus que no suscriban un Anexo de procesamiento de datos se regirán por el Anexo de procesamiento de datos en línea de Shopify.

Piensa en las siguientes preguntas:

  • ¿Los otros procesadores de datos con los que trabajas fuera de Shopify están comprometidos contractualmente a proteger los datos de tus clientes? Muchas aplicaciones, canales, pasarelas de pago u otros procesadores de datos de terceros también incorporarán automáticamente un Acuerdo de procesamiento de datos en sus términos. ¿Has consultado con cada uno de estos proveedores externos?

  • ¿Eres un comerciante Plus con un contrato negociado? Si deseas firmar un Anexo de procesamiento de datos, comunícate con tu Ejecutivo de cuenta (Merchant Success Manager). Pueden proporcionarle la plantilla DPA de Shopify para firmar.

Consentimiento del cliente

Según el GDPR, es posible que debas obtener consentimiento para procesar datos personales de tus clientes o cambiar el método con el que actualmente obtienes dicho consentimiento.

Por ejemplo, quizá necesites obtener el consentimiento de tus clientes si les estás enviando mensajes de marketing, o si estás usando aplicaciones de publicidad o de retargeting online.

En qué situación necesitas obtener el consentimiento, el GDPR dice que debe ser:

  • Otorgado libremente: debe ser completamente voluntario y no debe incluirse con otros bienes o servicios.
  • Específico: debe estar vinculado a casos de uso claramente explicados.
  • Informado: sólo se puede proporcionar si el interesado recibe suficiente información sobre los datos personales que se recopilarán y utilizarán.
  • No ambiguo: debe demostrarse mediante un acto afirmativo del comerciante (es decir, no simplemente mediante la continuación del uso de los servicios).

Esto significa que el cliente necesita recibir información detallada sobre el uso particular, y el consumidor debe tomar alguna medida afirmativa para dar su consentimiento.

Finalmente, si le ofreces a tus clientes la oportunidad de dar su consentimiento, el GDPR también requiere que tus clientes tengan una forma de retirar el consentimiento. Esto a menudo se puede lograr a través de una funcionalidad de cancelación de suscripción. Si tiene preguntas sobre cuándo y cómo debes obtener el consentimiento para la recopilación de datos personales, o la medida en que tus clientes deberían poder retirar su consentimiento, entonces debes hablar con un abogado familiarizado con las leyes de protección de datos.

Sin embargo, el consentimiento es solo una de las muchas bases legales en el GDPR que pueden justificar el procesamiento de datos personales. También puedes procesar datos personales para cumplir con los requisitos contractuales o si la ley le exige que proceses los datos.

Algunos reguladores europeos han sugerido que, si al principio solicitas consentimiento y tu cliente rechaza o acepta pero luego retira su consentimiento, es posible que ya no puedas recurrir a ninguna otra base legal para procesar datos personales. Como resultado, sólo debes confiar en el consentimiento cuando no tengas la intención (o no necesites) recurrir a otra base legal para procesar datos personales.

Nota: Puedes leer más sobre las diferentes bases legales para apoyar el procesamiento de datos en el sitio web del Comisionado de información del Reino Unido(en inglés).

Piensa en las siguientes preguntas:

  • Por cada forma diferente en la que usas o procesas los datos de tus clientes, ¿cuál es la base legal para hacerlo? ¿Estás procesando según su consentimiento? ¿Estás procesando para cumplir una obligación contractual con el cliente? ¿Estás procesando para promover sus intereses comerciales legítimos? Debes registrar la base legal como parte del mapa de tus prácticas de datos, que se describen en la sección Recopilación de datos personales.
  • Cuando recurres al consentimiento, ¿lo obtienes en conjunto con los bienes o servicios que ofreces? Por ejemplo, declaraciones como "al comprar estos productos, usted acepta que hagamos uso de su información personal" puede que ya no estén permitidas bajo el GDPR.
  • ¿Estás brindando suficientes detalles sobre cómo utilizarás los datos personales en cuestión para asegurarte de que el cliente dé su consentimiento de manera informada?
  • ¿El consentimiento del cliente se registra y queda almacenado en algún lugar?
  • ¿Necesitas el consentimiento para enviar comunicaciones de marketing a tus clientes? Incluso si no necesitas el consentimiento según el GDPR, las leyes locales pueden requerir o no que obtengas el consentimiento para enviar las comunicaciones de marketing a tus clientes. Conversa con un abogado sobre los requerimientos específicos que podrían aplicarse a tu tienda.
  • Si crees que necesitas consentimiento para enviar comunicaciones de marketing, entonces ¿la casilla de consentimiento de marketing de tu tienda está desactivada por defecto? Considera configurar tu tienda para que la casilla de verificación de consentimiento de marketing presentada a los clientes no esté marcada previamente por defecto para garantizar que tus clientes tengan que actuar afirmativamente para dar su consentimiento.

Consentimiento de padres

El GDPR incluye requisitos específicos sobre consentimiento de los padres para procesar datos personales de usuarios menores de 16 años (esta edad puede ser menor en ciertos países).

Piensa en las siguientes preguntas:

  • ¿Necesitas cambiar el método con el que procesas datos de clientes, para dejar de procesar datos de usuarios menores de 16 años o para obtener el consentimiento de sus padres? Puedes hacerlo prohibiendo a los usuarios menores de 16 años acceder a tu sitio, utilizando una aplicación de control de edad de la Tienda de apps de Shopify, o solicitando a los visitantes que confirmen que son mayores de edad.

Toma de decisiones automatizada

El GDPR requiere que notifiques a los clientes si estás utilizando su información personal para realizar cualquier toma de decisiones automatizada.

La toma de decisiones automatizada implica el uso de algoritmos automáticos para tomar una decisión sobre si un individuo es elegible para ciertos servicios u ofertas, si se le debe cobrar un precio en particular o si está interesado en ciertos tipos de bienes o servicios.

Si estás utilizando cualquier proceso que incluya una toma de decisiones totalmente automatizada (es decir, sin intervención humana) que tendrá un efecto legal significativo en el cliente, entonces necesitas su consentimiento.

Proceso Requisito
Toma de decisiones automatizada Notificación
Toma de decisiones totalmente automatizada con un efecto legal significativo Consentimiento


En general, Shopify no participa en la toma de decisiones totalmente automatizadas con los datos personales de tus clientes.

La única excepción es la evaluación de riesgos y fraude de Shopify, donde Shopify puede bloquear automáticamente un número de tarjeta de pago o una dirección IP después de una cierta cantidad de intentos de pago fallidos. Shopify no cree que esto tenga un efecto legal significativo en los clientes debido a que el bloqueo automático dura sólo por un corto período de tiempo.

Piensa en las siguientes preguntas:

  • ¿Has incluido en tu política de privacidad que la evaluación de riesgo y fraude de Shopify podría utilizar la información personal de los clientes para la toma de decisiones automatizada? Puedes leer más sobre las prácticas automatizadas de toma de decisiones de Shopify en la Sección 13 de la Política de privacidad. También debes confirmar con un abogado, según tus circunstancias particulares, que este servicio no tiene un efecto legal significativo en tus clientes.
  • ¿Estás utilizando alguna app externa que pueda estar involucrada en la toma de decisiones automatizada? Debes prestar especial atención a la revisión de cualquier servicio de fraude o riesgo de terceros que estés utilizando vinculados a tu tienda, o cualquier tipo de aplicaciones de marketing o publicidad que puedan generar perfiles o que apunte a segmentos de tus clientes.
  • Si utilizas apps externas que participan en la toma de decisiones automatizada, ¿necesitas notificar a tus clientes u obtener su consentimiento para utilizar estas aplicaciones?

Notificación de violación de datos

Si ocurre una violación de datos y se aplica el GDPR, quizá debas notificar a los usuarios afectados o a organismos reguladores específicos.

En particular, el GDPR requiere un aviso cuando una violación de datos puede causar un alto riesgo de afectar negativamente los derechos y libertades de las personas.

Es probable que este sea el caso si la información violada:

  • Incluye detalles de pago.
  • Podría usarse para revelar información vergonzosa o personal.
  • Podría usarse para acceder a las cuentas o servicios de un individuo.

Cuando corresponda, debes notificarlo dentro de las 72 horas después de que tengas conocimiento de la violación de datos.

Piensa en las siguientes preguntas:

  • ¿Has hablado con un abogado para determinar, según el tipo de información que recopilas y procesas, si en caso de que sufras una violación de datos, debes comunicarlo a tus clientes?
  • ¿Tu negocio tiene un plan de acción ante una posible violación de datos, de modo que estés preparado para tal incidente?

Aplicaciones de terceros

El GDPR exige que tomes una serie de pasos afirmativos sobre la recopilación y el uso de información personal por parte de tu negocio y de proveedores de servicios externos. Esto incluye a Shopify, pero también cualquier aplicación de terceros que uses en relación con tu tienda Shopify.

Shopify ha tomado medidas para que puedas comprender más fácilmente a qué datos personales tienen acceso las aplicaciones que instalas.

Para revisar los datos personales a los que tienen acceso tus apps, completa los siguientes pasos:

  1. Haz clic en Apps en tu panel de control de Shopify.

  2. Haz clic en Ver detalles en la aplicación para la que deseas revisar los permisos.

También puedes revisar los permisos de la aplicación antes de instalar una aplicación en la pantalla de instalación en la tienda de apps.

Además, hay una sección de la tienda de apps para que cada aplicación se vincule a una política de privacidad que explica con más detalle qué datos recopilan los desarrolladores de apps y cómo los están utilizando.

Si bien Shopify desea que facilitarte tanto como sea posible que puedas acceder a las prácticas de datos de las apps que instales, depende de ti asegurarte de que estés usando las apps externas de forma tal que cumpla con el GDPR.

Depende de ti asegurarte de que estés usando las apps externas de forma tal que cumpla con el GDPR.

Piensa en las siguientes preguntas:

  • Basado en tu ubicación, la de tus clientes de tus clientes, y la de los desarrolladores de apps, y la implementación de cada aplicación, ¿estás utilizando las apps externas de una manera que cumpla con el GDPR? Consulta con un abogado si tienes preguntas sobre si las prácticas de datos de una aplicación en particular pueden requerir consideración adicional o trabajo de tu parte para garantizar el cumplimiento con el GDPR.

Transferencias internacionales de datos

El GDPR prohíbe transferir los datos personales de residentes europeos se transfieren fuera de Europa, a menos que esa información esté debidamente protegida.

Shopify protege los datos personales de acuerdo con los requerimientos del GDPR, mientras se transfieren y se procesan en Estados Unidos y Canadá.

Shopify ha configurado sus flujos de datos para atender estos requerimientos para los comerciantes. Tal como se describe en la Sección 12 de la Política de Privacidad de Shopify, todos los datos personales europeos se reciben inicialmente de los comerciantes y se procesan en Irlanda por la filial irlandesa de Shopify, Shopify International Ltd. Shopify luego transfiere esos datos en conformidad con el GDPR.

Para obtener más información sobre cómo Shopify recibe y procesa los datos personales provenientes del Espacio Económico Europeo (EEE), de acuerdo con los estándares del GDPR y las prácticas adecuadas de seguridad de la información, consulta el documento técnico de GDPR de Shopify (en inglés - aún en proceso de traducción al español).

Piensa en las siguientes preguntas:

¿Te has asegurado de que las otras partes a las que transfieres datos transferirán esa información a través de las fronteras internacionales de una manera que cumpla con el GDPR? Para ello, consulta las políticas de privacidad de sus apps externas, canales, pasarelas de pago u otros proveedores, y vea si explican cómo protegen los datos europeos.

Descarga el documento técnico del GDPR de Shopify

Para más información sobre cómo trabaja Shopify para asegurarse de que cumple con el GDPR cuando entre en vigencia el 25 de mayo, y para asegurarse de que cumplirás con las normas en cuanto a tu uso de Shopify, descarga el Documento técnico del GDPR de Shopify.

Acerca del autor

Jenny IzaguirreJenny Izaguirre es la editora en jefe de Shopify para España y América Latina. Fiel creyente del talento en español, amante de los animales, viajera apasionada, emprendedora, conferencista y escribe historias para motivar a otros. Sigue sus pasos en Instagram.

 


¿Tienes preguntas sobre el funcionamiento de Shopify?

Escríbele un correo electrónico a nuestro equipo de Soporte Técnico, y ellos responderán en español a la brevedad posible.

soporte@shopify.com

Temas:

Empieza tu periodo de prueba de 14 días gratis con Shopify