Ir al contenido principal

Cumpla con la ley al implementar edrone

Consejos y pasos que debe seguir una tienda antes de implementar la herramienta edrone

Wioleta Jednaka avatar
Escrito por Wioleta Jednaka
Actualizado hace más de una semana

La legislación sobre comercio electrónico evoluciona tan rápido como las posibilidades de tu negocio. Sabemos que a veces es difícil estar al día de todo. Este artículo es una breve guía sobre cómo actuar de forma legal al gestionar una tienda online e implementar las soluciones de edrone.

El RGPD en el comercio electrónico

El Reglamento General de Protección de Datos, en vigor desde 2018, que regula la privacidad de los datos personales, se ha consolidado definitivamente en nuestra conciencia jurídica, por lo que

en este artículo no nos centraremos en la teoría, sino que solo te daremos consejos y pasos que debes seguir como propietario de una tienda online antes de implementar edrone.


Tú eres el administrador de los datos

Al gestionar una tienda online, tú decides qué datos personales de tus clientes vas a recopilar, cómo lo vas a hacer, para qué los vas a utilizar y a quién se los vas a transmitir (por ejemplo, a edrone en el marco de nuestra colaboración). Son precisamente estos elementos los que te convierten en el administrador de los datos personales de tus clientes.


Como administrador de datos personales, debes:

  • asegurarte de que los datos personales de los clientes se tratan de conformidad con la ley
    El tratamiento de datos está regulado por el Reglamento General de Protección de Datos (RGPD), en menor medida por la Ley de Protección de Datos Personales y otros actos, pero el RGPD es la base jurídica que hay que conocer. (RECUERDE: de acuerdo con el RGPD, todas las operaciones con datos personales se considerarán «tratamiento», por ejemplo, cuando obtiene los datos personales de un cliente para enviarle un boletín informativo o le envía un mensaje relacionado con el proceso de compra, está tratando sus datos);

  • Cumplir con la obligación de informar a sus clientes.
    Es decir, informar quién tratará sus datos, sobre qué base, con qué finalidad, si se transferirán a otros sujetos (por ejemplo, edrone), si se enviarán a terceros países, etc. (aquí solo señalamos esteproblema; la cuestión de la obligación de informar se regula en el artículo 13 del RGPD);

  • velar por la seguridad de los datos
    Usted es quien implementa las soluciones adecuadas para que los datos de sus clientes estén seguros, usted es quien lleva la documentación necesaria y, si ocurre algo con los datos de sus clientes, usted puede ser responsable de ello

Tus obligaciones como responsable del tratamiento de datos personales están reguladas por el artículo 24 del RGPD.

Es una disposición que debes conocer.


¿Por dónde empezar?

Para empezar, lee los artículos 13 y 24 del RGPD. Revisa tu documentación del RGPD, prestando especial atención a tu política de privacidad. Probablemente hayas notado que la mayoría de los sitios web tienen políticas de privacidad. Curiosamente, la obligación de crear dicho documento no se deriva directamente de la normativa. Sin embargo, se ha aceptado que, en lugar de crear varios documentos separados sobre el tratamiento de datos personales y otras obligaciones derivadas de la normativa legal vigente, se cree un único documento que regule de forma exhaustiva todas estas cuestiones.

Los sitios web que no tratan datos personales no tienen que preocuparse por el cumplimiento del RGPD y no tendrán que elaborar una política de privacidad.


Sin embargo, como propietario de una tienda online, usted tratará los datos personales de los clientes, por ejemplo, mediante:

  • recoger suscripciones al boletín informativo;

  • la recopilación de inscripciones en clubes de fidelización, clubes de clientes habituales, etc.;

  • la venta de sus productos;

  • contactar con el cliente a través de formularios;

  • la posibilidad de que los clientes añadan opiniones sobre los productos;

  • actividades relacionadas con el análisis del tráfico en el sitio web, cookies
    y otros archivos de seguimiento (hemos preparado un artículo aparte sobre las cookies).

Para mayor comodidad y conformidad con la ley, conviene garantizar una política de privacidad transparente, completa y actualizada.


Más adelante en este artículo hablaremos de los cambios necesarios en la política de privacidad relacionados con el uso de edrone.


Consentimientos de marketing (RGPD y otras normativas)

Es imposible imaginar el funcionamiento de una tienda online sin medidas de marketing eficaces. La mayoría de ellas (por ejemplo, el envío de boletines informativos) implicarán el tratamiento de datos personales, por lo que actuaremos basándonos en el RGPD, pero no solo en el RGPD, ya que la necesidad de obtener el consentimiento para la mayoría de las actividades de marketing se deriva de la ley de telecomunicaciones y la ley de prestación de servicios por vía electrónica.


Según el RGPD, toda operación de tratamiento de datos personales requiere una base jurídica adecuada (artículo 6, apartado 1, del RGPD). En pocas palabras, cualquier cosa que hagamos con los datos personales de nuestros clientes debe basarse en los motivos mencionados en la disposición anterior del RGPD. El fundamento más conocido es el consentimiento para el tratamiento de los datos del interesado, pero también hay otros, como el interés legítimo del responsable del tratamiento o la ejecución de un contrato.

¡Recuerde! Antes de empezar a tratar los datos personales de sus clientes, consulte el artículo 6 del RGPD para ver cuál de los motivos allí mencionados se ajusta a sus actividades. Sin ello, no puede tratar legalmente los datos de sus clientes.

Lo lógico sería que la base adecuada para el tratamiento de datos con fines de marketing directo fuera el consentimiento del interesado (artículo 6, apartado 1, letra a) del RGPD), ¡pero eso sería un error!

La base adecuada para el tratamiento de datos de marketing es su interés legítimo (artículo 6, apartado 1, letra f) del RGPD), es decir, a la luz del RGPD, podemos tratar los datos personales de los clientes sobre la base del interés legítimo del responsable del tratamiento.

Esto ya lo sabemos . Ahora debemos recordar que, además del RGPD, en el contexto del marketing directo son importantes las regulaciones derivadas de la ley de telecomunicaciones y la ley de prestación de servicios por vía electrónica.


¿Qué significa esto para nosotros? En pocas palabras, si queremos enviar información de carácter comercial, en la mayoría de los casos necesitaremos el consentimiento del cliente.

¡Recuerda! Los envíos de marketing pueden requerir el consentimiento del cliente (esto no se deriva del RGPD, sino de otras disposiciones vigentes: las disposiciones de la ley de telecomunicaciones y la ley sobre la prestación de servicios por vía electrónica).


¿Qué condiciones debe cumplir el consentimiento de marketing?

Para que el consentimiento del cliente para recibir contenidos de carácter comercial sea legal, debe ser:

  • VOLUNTARIO: el cliente debe tener la posibilidad de rechazar la recepción de contenidos de marketing;

  • CONCRETO: el cliente debe saber a qué acciones de marketing da su consentimiento y cuál es su alcance (no recopilamos consentimientos generales, en blanco, que puedan confundir al cliente);

  • CONSCIENTE: el cliente debe saber a qué está dando su consentimiento realmente;

  • UNÍSIMA: acción clara de confirmación por parte del cliente (las casillas de verificación ya no pueden estar marcadas por defecto, lo que impide que el cliente las marque por sí mismo);

  • EXPRESADO EN FORMA DE DECLARACIÓN O ACCIÓN EXPRESA DE CONFIRMACIÓN: al gestionar una tienda, debe demostrar que el cliente realmente ha dado su consentimiento para recibir comunicaciones de marketing (en caso de inspección, será usted quien deba demostrar que los consentimientos se han obtenido correctamente).

En resumen, no podemos tener ninguna duda de que el cliente desea recibir contenidos de marketing de nuestra parte.


Consejos para el consentimiento de marketing

  • formulamos el consentimiento en un lenguaje lo más sencillo posible;

  • en la cláusula de consentimiento añadimos la información de que puede ser retirada
    en cualquier momento

¡IMPORTANTE! Retirar el consentimiento debe ser tan fácil como otorgarlo: no dificultemos a los clientes la posibilidad de retirar su consentimiento.

  • al obtener el consentimiento, utilice el modelo Single Opt-In (más adelante en este artículo descubrirá sus ventajas);

  • recuerde que la obligación de informar (art. 13 del RGPD) puede cumplirse por capas (por ejemplo, remitiendo a su política de privacidad disponible en su sitio web).

Ejemplos de cláusulas de consentimiento para fines de marketing

A continuación, presentamos un ejemplo de cláusula de consentimiento de marketing que puede utilizarse al crear una cuenta en una tienda:


⬜ Declaro que soy mayor de 16 años (*16 años es la edad mínima de una persona

que, de acuerdo con el RGPD, puede dar su consentimiento para el tratamiento de sus datos), conozco y acepto las disposiciones del Reglamento (enlace) y de la Política de Privacidad (enlace) («campo obligatorio»).


⬜ Doy mi consentimiento para el tratamiento de mis datos personales con fines de marketing y para recibir información comercial de [nombre_tienda] utilizando los dispositivos de telecomunicación (por ejemplo, el teléfono) y los medios de comunicación electrónica (por ejemplo, SMS o correo electrónico) que he introducido voluntariamente. («campo opcional»)


Actualización de la política de privacidad

En el artículo, ya hemos mencionado que la política de privacidad es un documento que regula de forma exhaustiva las cuestiones relacionadas con el tratamiento de datos y otras obligaciones derivadas de la normativa relativa al funcionamiento de una tienda, por lo que le sugerimos que añada el siguiente fragmento a su política de privacidad:


Sobre la base de este consentimiento, podremos ponernos en contacto con usted, por ejemplo, por teléfono, SMS o correo electrónico (dependiendo de los datos que nos facilite al registrarse) con el fin de promocionar los servicios o productos de [nombre_de_la_tienda], incluyendo, entre otros, la presentación de información sobre promociones actuales o campañas de marketing. Puedes dejar de recibir información comercial de [nombre_tienda] en cualquier momento retirando tu consentimiento.


Ejemplos de consentimientos de marketing para suscribirse al boletín informativo

Las actividades de marketing se llevan a cabo muy a menudo a través del boletín informativo. A continuación, presentamos un ejemplo de consentimiento de marketing para suscribirse al boletín informativo:


Doy mi consentimiento para que XYZ procese mis datos personales con el fin de recibir información comercial sobre productos y servicios a través de medios de comunicación electrónicos (correo electrónico). Puede consultar las normas de procesamiento de sus datos en nuestra Política de privacidad (ENLACE)

o

Doy mi consentimiento para recibir información comercial y de marketing gratuita en forma de boletín informativo según las condiciones establecidas en los Términos y condiciones (enlace) / Política de privacidad (enlace).

¡IMPORTANTE! A partir de enero de 2023, al formular la casilla de verificación relativa a la suscripción al boletín informativo, debemos tener en cuenta las disposiciones de la Directiva Omnibus.


Para más información sobre la Directiva Ómnibus y la suscripción al boletín informativo, consulte: https://help.edrone.me/pl/articles/6819403-dyrektywa-omnibus-zapis-do-newslettera-2023


Single opt-in, double opt-in: ¿qué modelo elegir al crear una base de destinatarios?

Al crear una base de destinatarios del boletín informativo, puede utilizar los siguientes modelos de suscripción:

  1. DOBLE OPT-IN: el cliente recibirá un mensaje con un enlace para activar la suscripción al boletín informativo, el llamado mensaje de confirmación de registro.

  2. SINGLE OPT-IN: el cliente se añadirá inmediatamente a la base de datos del boletín informativo sin necesidad de confirmar la suscripción en el mensaje de activación.

Recomendamos elegir el modelo Single Opt-in, que consiste en que, tras introducir la dirección de correo electrónico en el formulario de suscripción al boletín informativo, el usuario se añadirá inmediatamente a la base de suscriptores.


¿Cómo debe ser el mensaje de confirmación de registro?

A continuación, presentamos un ejemplo de contenido de un correo electrónico (en el modelo de suscripción única): Mensaje de confirmación de suscripción al boletín informativo:


¡Gracias por suscribirte a nuestro boletín informativo! A partir de ahora estarás al día de todas las novedades y promociones. Consulta también nuestra Política de privacidad haciendo clic aquí (enlace a la Política de privacidad).

Recuerde que el administrador de sus datos es: XYZ con sede en XYZ.

Siempre puede corregir, rectificar sus datos, retirar su consentimiento en cualquier momento e incluso solicitar la transferencia o eliminación de sus datos. La lista de entidades a las que confiamos sus datos se encuentra aquí. Lo hacemos para poder prestar nuestros servicios de la mejor manera posible. Tus datos se conservarán durante el tiempo que sea necesario para proteger tus derechos (por ejemplo, el periodo de garantía o de prescripción cuando compras un producto). Si tienes alguna pregunta o duda, escríbenos a rodo@xyz.com. ¡Tu seguridad y confianza son lo más importante para nosotros!

P.D.: Recuerda que siempre puedes presentar una reclamación ante el Presidente de la Oficina de Protección de Datos Personales con sede en Varsovia.


Cree su base de clientes de forma legal

Las soluciones que presentamos para crear una base de datos de clientes (modelo Single Opt-in, directrices sobre consentimientos de marketing, actualizaciones propuestas de la política de privacidad) tienen como objetivo ayudarte a crear una base de datos de clientes de forma segura y conforme a la normativa.

IMPORTANTE: El uso de bases de datos de clientes compradas es peligroso y puede exponerle a inspecciones, sanciones económicas e incluso a procedimientos judiciales.

Actualización de la política de privacidad al comenzar a utilizar edrone

Ya hemos mencionado que el documento básico en el que puede incluir todo el contenido legalmente obligatorio es la Política de privacidad.

Recuerda que la Política de Privacidad debe adaptarse a las necesidades individuales de tu tienda y debe servir principalmente a ti y a tus clientes, por lo que te recomendamos encarecidamente que no utilices plantillas prefabricadas de estos documentos ni los copies de las páginas web de otras tiendas. No existe un modelo único de política de privacidad, las normas solo contienen indicaciones sobre el contenido de dicho documento.

¡Recuerda! De acuerdo con el RGPD, edrone será el procesador, es decir, la entidad a la que transfieres los datos personales de tus clientes en relación con la prestación de servicios por parte de edrone. Debes informar de ello a tus clientes. Hazlo actualizando tu política de privacidad.

SMS: cuestiones legales

¿Puede un SMS ser un mensaje transaccional?


Sí, un SMS puede seguir siendo un mensaje transaccional si se refiere a la ejecución de un contrato (por ejemplo, confirmación de un pedido, estado de la entrega, factura).

En ese caso, la base para el tratamiento de los datos es el artículo 6, apartado 1, letra b) del RGPD, y no el consentimiento para fines de marketing.

En este caso no se aplica el régimen de consentimientos del PKE, ya que el objetivo no es el marketing, sino la gestión de la transacción.

Sin embargo, si el contenido del SMS contiene un elemento promocional, un incentivo para la compra o un enlace a una oferta, entonces entramos en el ámbito del marketing directo y se aplica el artículo 393, apartado 1, del PKE:

«Se prohíbe el uso de sistemas automáticos de llamada o de terminales de telecomunicación con fines de marketing directo, salvo que el abonado o usuario final haya dado su consentimiento».

Es decir, se requiere el consentimiento independientemente de la forma de comunicación (SMS, correo electrónico, WhatsApp) si el mensaje tiene carácter comercial.


¿Cómo recopilar suscripciones al boletín informativo por SMS, de conformidad con el PKE y el RGPD?

El consentimiento debe ser:

  • voluntario,

  • específico,

  • consciente,

  • inequívoco (art. 4, punto 11 del RGPD + art. 391, apartado 1 del PKE).

La opción más segura: una casilla de verificación separada. A continuación encontrará un ejemplo de contenido:

«Acepto recibir información comercial por SMS».

Admisible: una casilla de verificación que abarque varios canales, siempre que sea precisa, por ejemplo:

«Doy mi consentimiento para recibir información comercial en la dirección de correo electrónico y el número de teléfono (SMS) facilitados». Insuficiente: consentimiento «oculto» en la política de privacidad o suposición automática de que facilitar el número de teléfono equivale a dar el consentimiento.

Esto no cumple los requisitos de la PKE, ya que no hay una acción activa por parte del usuario.


¿Se requieren consentimientos separados para SMS y WhatsApp?


Sí, aunque se pueden combinar en una sola casilla de verificación, debe indicarse claramente que se aplica a ambos canales. El consentimiento según la PKE es específico para cada canal: solo cubre el medio de comunicación para el que se ha otorgado.

Ejemplo de contenido a continuación:

«Doy mi consentimiento para recibir información comercial por correo electrónico, SMS y WhatsApp».


¿Pueden los SMS y el correo electrónico estar cubiertos por un solo consentimiento?


Sí, pero solo si se informa expresamente al usuario de que el consentimiento se refiere a ambos canales.


Sin embargo, en la práctica se recomienda utilizar casillas de verificación separadas (para el correo electrónico y los SMS) a fin de garantizar una elección real y evitar el riesgo de que la UODO o la UKE cuestionen el consentimiento.


Extracto de SMS: ¿es necesario añadir la información sobre la baja en cada mensaje?


No es obligatorio añadir un extracto en cada mensaje, pero, de conformidad con el artículo 391, apartado 3, del PKE y el artículo 7, apartado 3, del RGPD, el usuario debe tener la posibilidad de retirar su consentimiento de forma fácil y gratuita en cualquier momento.

En la práctica:

  • se puede añadir en el contenido del SMS una abreviatura del tipo «STOP»,

  • o un enlace a la página con la cláusula de exclusión (por ejemplo, en el primer mensaje o en la página de los términos y condiciones).

La falta de esta posibilidad puede considerarse un incumplimiento de las obligaciones de información y dar lugar a un procedimiento de la UKE.


¿Qué información sobre los SMS debe figurar en los términos y condiciones y en la política de privacidad?


Información mínima:

  • finalidad del tratamiento: marketing directo por SMS,

  • base jurídica: consentimiento del usuario (art. 6, apartado 1, letra a) del RGPD + art. 393, apartado 1 del PKE + art. 10, apartado 2 de la UŚUDE),

  • derecho a retirar el consentimiento,

  • período de conservación de los datos,

  • destinatarios de los datos (por ejemplo, operador de pasarela SMS, encargados del tratamiento),

  • información sobre la ausencia de perfilado (si no se aplica)

En el caso de envíos transaccionales (no de marketing), basta con indicar que los datos se tratan con el fin de ejecutar el contrato.


¿Qué hacer si el usuario afirma que no ha dado su consentimiento y ha recibido un SMS?


En primer lugar, hay que determinar:

  • si el SMS era transaccional o de marketing,

  • de qué fuente procedía el número

  • si el consentimiento se otorgó de manera documentada

Si se trataba de un mensaje transaccional, la comunicación es legal. Si era de marketing y no hay prueba del consentimiento, se debe suspender el envío y eliminar el número de la lista.

En la comunicación con el destinatario, conviene utilizar un tono educativo:


«El mensaje se ha enviado en relación con la realización del pedido. No utilizamos los números de teléfono con fines de marketing sin consentimiento expreso. Si lo desea, podemos eliminar permanentemente el número de nuestra base de datos».


Preguntas más frecuentes:


¿Puedo combinar el consentimiento por correo electrónico y SMS?

No, recomendamos separar los consentimientos. Esta práctica se recomienda en la jurisprudencia polaca y europea.


¿Debo informar a los clientes tras introducir cambios en la política de privacidad? ¿De qué forma?

Hay varias formas de hacerlo. Recomendamos enviar un boletín informativo a toda la base de clientes, en el que se mencionen los cambios en la política de privacidad y se añada un enlace a la política correspondiente. Aquí tiene un ejemplo de cómo lo hacen los clientes de edrone: https://support.edrone.me/newsletter

¿Necesita ayuda adicional?

Si tienes alguna pregunta adicional sobre cuestiones legales, ponte en contacto con nosotros en hello@edrone.me.

Artículos relacionados
Opciones de suscripción en edrone
Activa tu base de clientes: envía un boletín con la actualización de la política de privacidad.
¿Cómo enviar el primera campaña?
¿Cómo construir una base legítima de suscriptores de un boletín informativo?
Implementa edrone cumpliendo con la ley - LFPDPPP
¿Ha quedado contestada tu pregunta?