La evolución de las nuevas tecnologías ha propiciado un cambio radical de nuestro modo de vida: cualquier persona puede, a través de un ordenador con conexión a internet, adquirir fácilmente y a distancia una amplia gama de productos. No obstante, desde un punto de vista normativo, las actividades de comercio electrónico se encuentran sujetas a una amalgama legislativa que puede dificultar su desarrollo. Por ejemplo, y más allá de la legislación sobre comercio electrónico en sentido estricto, pueden ser de aplicación las normativas en materia de publicidad, firma electrónica, consumo o protección de datos, entre otras.
Si bien un estudio en detalle de todas estas cuestiones excede el objetivo de este artículo, a continuación se analizarán algunos aspectos prácticos que, desde una perspectiva de la protección de datos de carácter personal, pueden surgir en el desarrollo de actividades de comercio electrónico.
Proveedores de servicios
Suele ser común que terceros ajenos a la empresa nos presten servicios esenciales, tales como el servicio de hosting o de mensajería para la entrega de los pedidos. En todos estos casos, en la medida que estos terceros acceden a datos personales, debemos celebrar un contrato por escrito que incluya para el proveedor una serie de obligaciones básicas que fija el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, (“LOPD”). En particular, dichas obligaciones son las siguientes: (i) tratar los datos según las finalidades del contrato y las instrucciones que se puedan dar a tal efecto; (ii) no comunicar los datos a terceros (ni para su conservación); (iii) implementar las medidas de seguridad necesarias en atención a la sensibilidad de los datos a tratar (vid. artículo 81 del Real Decreto 1720/2007, de 21 de diciembre, “RLOPD”) y, (iv) destruir o devolver los datos personales y los soportes o documentos donde estén recogidos cuando termine el contrato.
En caso contrario, es decir, si no hay acceso a datos personales, en el contrato con el proveedor se deberá prohibir el acceso a dichos datos y se deberá incluir una obligación de secreto (artículo 83 RLOPD).
“Invita a un amigo”
Debe tenerse especial cuidado con el uso de herramientas tipo “invita a un amigo”, mediante las cuales un usuario de una web facilita datos personales de un tercero (del destinatario de la invitación; normalmente esos datos suelen estar limitados a dirección de e-mail, aunque también pueden incluir nombres y apellidos).
Uno de los principios básicos de la LOPD consiste en la obligación de obtener el consentimiento previo e informado del afectado por el tratamiento. Por ello, el uso de estas funcionalidades puede entrar en conflicto con este principio, dado que el tercero puede no haber autorizado el tratamiento de sus datos personales.
Al margen de lo anterior, téngase también presente que el envío de estas invitaciones/publicidad deberá hacerse, en su caso, cumpliendo con lo que dispone la Ley 34/2002 sobre comunicaciones comerciales electrónicas.
Cesión o compraventa de bases de datos
La compraventa de una base de datos conlleva que se produzca una cesión de datos personales, la cual sólo se puede efectuar lícitamente si se obtiene el consentimiento previo e informado de los afectados (hay excepciones. Ver los artículos 11.3 y 27 de la LOPD sobre los extremos de los que hay que informar al afectado).
Para obtener el mencionado consentimiento, y siempre que no nos encontremos ante datos especialmente sensibles (salud, ideología, afiliación sindical y religión y creencias) se podrá utilizar la vía del artículo 14 RLOPD. Básicamente consiste en enviar una comunicación al afectado usando para ello un medio que permita saber si se ha recibido o no, y en la que se informará del tratamiento de datos que se va a efectuar. Si el afectado no se opone en un plazo de treinta días a contar desde la fecha de su recepción, se considera que consiente la cesión (para más detalle, ver el artículo 14 RLOPD).
Menores de edad
A efectos de la normativa en materia de protección de datos, los menores que tengan 14 años o más podrán dar su consentimiento de forma autónoma (sin necesidad de ningún complemento de capacidad) para tratar sus datos personales. No obstante, debido a su inexperiencia, la ley los protege especialmente, por lo que se les deberá facilitar información de una forma entendible y, en cualquier caso, no se podrá obtener datos sobre los miembros de la unidad familiar o sobre sus características socioeconómicas (ver artículo 13 RLOPD). En caso de que los menores tengan menos de 14 años, será necesario obtener el consentimiento del progenitor o tutor. En cualquier caso, debe tenerse presente que se han de adoptar procedimientos que permitan verificar la edad del menor o que los progenitores o tutor del menor han consentido el tratamiento.
–
Daniel Urbán, abogado en Cuatrecasas
