Lista de verificacíon de la LDPG para comercio electrónico: 12 puntos para evitar multas de la ANPD

Construir un checklist de cumplimiento del RGPD para un e-commerce ha dejado de ser una precaución opcional para convertirse en una parte esencial del funcionamiento legal de cualquier tienda online. El Reglamento General de Protección de Datos (RGPD) se aplica a todas las organizaciones que tratan datos personales de personas que se encuentran en la Unión Europea, independientemente del tamaño de la empresa o de su volumen de facturación. El comercio electrónico es, por naturaleza, uno de los sectores que más datos personales procesa: nombre, dirección, documento de identidad, correo electrónico, historial de navegación, preferencias de productos y datos de pago se recopilan en prácticamente todas las etapas del proceso de compra.

Toda esta recopilación es legítima, siempre que se realice sobre una base jurídica válida, con una finalidad claramente definida y mediante procedimientos debidamente documentados. Lo que diferencia a una tienda online capaz de superar una auditoría con garantías de otra que se enfrenta a sanciones y procedimientos administrativos es, en la mayoría de los casos, la existencia de esos procesos antes de cualquier inspección.

¿Qué exige el RGPD a un e-commerce?

Antes de revisar los puntos del checklist, conviene comprender dos conceptos fundamentales que sustentan todas las obligaciones descritas a continuación. En la mayoría de los casos, el e-commerce actúa como responsable del tratamiento, ya que decide por qué se recopilan los datos personales y cómo se utilizan. Cuando contrata plataformas de pago, herramientas de email marketing o sistemas de gestión de pedidos, trabaja con encargados del tratamiento, es decir, terceros que procesan los datos en nombre del responsable.

Esta distinción es importante porque la responsabilidad del responsable del tratamiento ante la normativa no se transfiere al encargado, independientemente de quién lleve a cabo el tratamiento.

Los 12 puntos del checklist RGPD para e-commerce

Ninguno de los puntos siguientes requiere una implementación simultánea, pero todos deben estar presentes antes de una posible inspección.

El orden sigue una lógica de implantación: los primeros apartados establecen la base documental, los intermedios abordan los procesos operativos y los últimos cubren las medidas técnicas y organizativas que sostienen todo el sistema.

1. Política de privacidad actualizada y accesible

La política debe estar disponible en la tienda online, redactada con un lenguaje claro y comprensible, indicando qué datos se recopilan, sobre qué base jurídica, con qué finalidad, durante cuánto tiempo se conservan y cuáles son los derechos de los interesados. Una política genérica copiada de otro sitio web no cumple con los requisitos del RGPD y puede agravar la situación durante una auditoría.

2. Bases jurídicas definidas para cada tratamiento

Cada operación de tratamiento debe estar respaldada por una base jurídica válida. Consentimiento, ejecución de un contrato, interés legítimo y obligación legal son las más habituales en el comercio electrónico. Uno de los errores más frecuentes consiste en recopilar datos sin haber definido previamente qué base jurídica justifica cada tratamiento, lo que convierte el tratamiento en irregular incluso cuando no existe mala fe.

3. Consentimiento registrado y revocable

Cuando la base jurídica elegida sea el consentimiento, este debe obtenerse de forma específica, libre, informada e inequívoca. Las casillas premarcadas no son válidas. El interesado debe poder retirar su consentimiento en cualquier momento con la misma facilidad con la que lo otorgó, y la empresa debe poder demostrar que dicho consentimiento fue concedido.

4. Cookies y tecnologías de seguimiento declaradas

El uso de cookies, píxeles de seguimiento y herramientas de analítica debe describirse en la política de privacidad y, cuando impliquen el tratamiento de datos personales, presentarse al usuario con la posibilidad de aceptarlas o rechazarlas. Ignorar este aspecto es uno de los errores más comunes en las tiendas online, especialmente cuando utilizan plugins de terceros sin verificar qué información recopilan.

5. Canal de atención para el ejercicio de los derechos de los interesados

El RGPD reconoce a los interesados el derecho de acceso, rectificación, portabilidad, supresión y retirada del consentimiento.

El e-commerce debe disponer de un canal funcional para recibir y responder a estas solicitudes dentro de los plazos legales. Una dirección de correo electrónico específica es suficiente, siempre que se supervise adecuadamente y exista un procedimiento de respuesta establecido.

6. Delegado de Protección de Datos (DPD) designado o exención debidamente justificada

El Delegado de Protección de Datos (DPD) es la persona responsable de atender las comunicaciones de la autoridad de control y de los interesados, además de orientar internamente sobre el cumplimiento normativo.

En determinados casos, especialmente en pequeñas empresas, la designación del DPD puede no ser obligatoria. No obstante, cuando proceda, esta decisión debe estar debidamente documentada y, si existe un DPD, sus datos de contacto deben figurar en la política de privacidad.

7. Contratos con los encargados del tratamiento que contemplen obligaciones de seguridad

Toda plataforma o servicio que trate datos de clientes en calidad de encargado del tratamiento debe contar con un contrato que establezca obligaciones en materia de seguridad, confidencialidad y cumplimiento del RGPD. Esto incluye pasarelas de pago, plataformas de email marketing, sistemas ERP y operadores logísticos.

Las empresas que no formalizan estas obligaciones quedan expuestas a incidentes de seguridad originados por proveedores sin disponer de mecanismos contractuales adecuados para exigir responsabilidades.

8. Registro de las actividades de tratamiento

El RGPD exige que los responsables del tratamiento mantengan un registro documentado de las actividades de tratamiento, incluyendo la finalidad, la base jurídica, las categorías de datos, los plazos de conservación y las posibles comunicaciones o cesiones de datos. Este documento, conocido como Registro de Actividades de Tratamiento (RAT), suele ser uno de los primeros requeridos durante una auditoría.

9. Medidas técnicas de seguridad de la información

La normativa exige que el responsable adopte medidas de seguridad apropiadas para proteger los datos personales que trata. En un e-commerce, esto incluye HTTPS activo en todas las páginas, políticas de contraseñas para los accesos administrativos, control de accesos a la base de datos de clientes y, cuando proceda, cifrado de los datos sensibles.

Documentar estas medidas en una política de seguridad de la información permite demostrar objetivamente su aplicación durante una inspección.

10. Protocolo de notificación de incidentes

Cuando se produzca una violación de seguridad que afecte a datos personales y pueda suponer un riesgo para los derechos y libertades de las personas, deberá notificarse a la autoridad de control competente en un plazo máximo de 72 horas desde que el responsable tenga conocimiento del incidente, conforme al RGPD.

El e-commerce debe disponer de un procedimiento interno para identificar, registrar y comunicar este tipo de incidentes. Sin un protocolo previamente establecido, ese plazo suele consumirse intentando determinar qué ha ocurrido exactamente.

11. Conservación y eliminación de datos conforme a criterios definidos

Conservar indefinidamente los datos de los clientes porque “podrían ser útiles en el futuro” no es compatible con el RGPD. Cada categoría de datos debe tener un periodo de conservación vinculado a la finalidad que justificó su recopilación, así como un procedimiento seguro para su eliminación una vez finalizado dicho plazo.

Los datos relacionados con operaciones financieras, por ejemplo, están sujetos a periodos específicos de conservación establecidos por la normativa fiscal y contable, que deben considerarse junto con las obligaciones derivadas del RGPD.

12. Formación del personal con acceso a datos personales

Los errores humanos siguen siendo una de las principales causas de incidentes relacionados con datos personales. El personal que accede a la base de datos de clientes, tramita pedidos o atiende al servicio de atención al cliente debe conocer qué puede y qué no puede hacer con esa información, cómo identificar solicitudes de los interesados y a quién debe derivar las situaciones que se salgan del procedimiento habitual.

El cumplimiento normativo depende de la tecnología, pero también de los procesos y de las personas.

¿Qué ocurre cuando una autoridad de control inspecciona un e-commerce que carece de estos procesos?

Cuando una autoridad de protección de datos inicia un procedimiento de inspección, la empresa debe demostrar que los procesos anteriores están realmente implantados, y no limitarse a afirmar que existen. La ausencia de documentación, los contratos inadecuados con los encargados del tratamiento o la inexistencia de un canal para atender los derechos de los interesados son algunos de los aspectos que más rápidamente pueden derivar en un procedimiento sancionador.

Las sanciones previstas por el RGPD incluyen apercibimientos, multas administrativas que pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio anual mundial, la limitación del tratamiento o incluso la supresión de los datos tratados de forma ilícita. Para un e-commerce de tamaño medio, cualquiera de estas medidas puede tener un impacto operativo y reputacional mucho mayor que la propia sanción económica.

¿Por dónde empezar la adecuación al checklist RGPD para e-commerce?

El primer paso consiste en realizar un mapa de datos, identificando qué información se recopila, dónde se almacena, quién tiene acceso a ella y con qué terceros se comparte. Este análisis sirve de base para el resto de la documentación y de los procesos, y suele revelar recopilaciones innecesarias que pueden eliminarse incluso antes de implantar medidas técnicas.

Para las tiendas que parten desde cero, el proceso de adaptación al RGPD abarca desde el análisis de la situación actual hasta la implantación de un programa de gobernanza que garantice el cumplimiento a largo plazo. La adecuación no tiene por qué realizarse de una sola vez, pero tampoco debe posponerse indefinidamente: cuanto mayor sea el volumen de datos acumulados sin criterios definidos, mayor será el esfuerzo de regularización y mayor el nivel de exposición durante ese periodo.

STWBrasil acompaña a los e-commerce en todo el proceso de adaptación al RGPD, desde el mapeo inicial de datos hasta la elaboración de la documentación, los contratos y los protocolos exigidos por la normativa. Si tu tienda online aún no dispone de este proceso estructurado, este es el momento de empezar.

Empresa líder en seguridad de la información. La protección digital de su empresa es nuestra prioridad. Contamos con el uso de tecnología de última generación por parte de profesionales altamente especializados.

(11) 2666-3787
R. São Bento, 365 – 8o Andar – Centro Histórico de São Paulo, São Paulo – SP,
CNPJ: 05.089.825/0001-48.

 Copyright ©️ 2024 – Todos los derechos reservados. Conoce nuestras  Políticas de Privacidad.