Blog Comercio Electr贸nico: expertos tiendas virtuales a medida
隆Comp谩rtelo!
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Twittter
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Facebook
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Google Plus
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Linkedin
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Whatsapp
Financia en plazos las compras de tus clientes en tu #tiendaonline gracias a las ventajas que nos ofrece @aplazame鈥 https://t.co/MtOt6a90C9
@denoxES

C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎

Israel Gavi帽o
18/04/2018
3 comentarios

Hace unos d铆as te contamos en nuestro blog toda la informaci贸n referente a los an谩lisis realizados por nuestro equipo sobre la nueva Ley de RGPD Europea, que entra en vigor el pr贸ximo 25 Mayo 2018 (o por sus siglas en Ingl茅s GDPR – General Data Protection Regulation). Para muchos usuarios, la normativa del聽Reglamento General de Protecci贸n de Datos no es del todo clara en lo referente a los cambios que deben realizar en su tienda virtual. Para ello, nuestro equipo ha querido extraer esta gu铆a de Adaptaciones tecnol贸gicas RGPD 2018 paso a paso para tiendas online,聽que debemos aplicar聽para adaptarnos antes del 25 Mayo 2018. 隆Seguro que si est谩s leyendo esto vas a contrarreloj!

Todos los puntos citados a continuaci贸n, tienen una explicaci贸n mucho m谩s amplia y compleja que puedes leer en esta entrada de nuestro blog (pr贸ximamente), si聽deseas profundizar much铆simo m谩s en la materia, pero ahora 隆nosotros vamos a ir a la acci贸n!

C贸mo Adaptar Tecnol贸gicamente tu #TiendaOnline a la nueva Ley de #RGPD Europea que entra en vigor el pr贸ximo 25 Mayo 2018 paso a paso. (La mejor Gu铆a Online para #eCommerce) #GDPR 锘緾lic para tuitear

Índice de contenido

Listado de Adaptaciones Tecnol贸gicas a la RGPD 2018 para Tiendas Online (paso a paso)

Eliminaci贸n de Cuenta del Usuario

Tenemos que poner a disposici贸n de todoslos clientes de nuestra tienda online la facilidad de ejercer su derecho al olvido. Para ello, deberemos de ofrecer en el apartado de Mi Cuenta,聽una forma de eliminar el usuario聽de forma sencilla, donde el cliente podr谩 eliminar su cuenta, incluyendo todos sus datos (personales, comentarios, pedidos, …).

No obstante, esta adaptaci贸n tiene una serie de excepciones. Un ejemplo son los datos que son necesarios conservar debido a temas fiscales, y cuya eliminaci贸n podr铆a perjudicarnos como empresa.

驴Qu茅 proceso de eliminaci贸n interno recomendamos?

  • Datos personales del cliente –聽 馃棏聽Eliminar
  • Direcciones del Cliente聽–聽 馃棏聽Eliminar
  • Comentarios del Cliente (Opiniones de Productos, Opiniones Generales,…) – 馃懁聽Anonimizar
  • Pedidos y Facturas: M谩s de 4 a帽os (temas fiscales) – 馃懁聽Anonimizar
  • Pedidos y Facturas: Menos de 4 a帽os – 馃梽Mantener
  • Sistema de Soporte (Tickets) –聽 馃棏聽Eliminar / 馃懁聽Anonimizar
  • Sistemas de Email Marketing –聽 馃棏聽Eliminar

En esta pantalla mostrar铆amos un texto con la informaci贸n legal y un bot贸n para continuar con la eliminaci贸n de la cuenta, en el que por seguridad pediremos que confirme su contrase帽a, evitando as铆 eliminaciones indeseadas. Si ponemos un poco de ingenio, 隆incluso podr铆amos ofrecerle un cup贸n descuento para que no elimine su cuenta!

Ejemplo ficticio de pantalla de “Eliminar Cuenta” adaptada a la RGPD en nuestro cliente Maquillalia.com

(*) Anonimizar: nos referimos a pasar los datos de los que disponemos en dichos campos a “Cliente An贸nimo”, con el fin de no perder estad铆sticas o informaci贸n que podamos necesitar en un futuro. 隆Este proceso es muy importante!

驴Qu茅 hay de las copias de seguridad?

Lo ideal ser铆a mantener una base de datos separada de los IDs de usuarios (id, email, identificador 煤nico…) que han usado su derecho al olvido, con el fin de que en una restauraci贸n de dicha base, no vuelvas a activarlo.

驴Y si trabajo con terceros? 隆No te olvides de notificarles para eliminar los datos!

Eliminar cosas de tu tienda online puede ser una cosa, pero tambi茅n est谩s obligado a informar a todos los terceros a los que les has enviado esa informaci贸n almacenada en tu sistema con los datos del usuario. Por lo tanto, si has enviado sus datos personales a cualquier proveedor de servicios deber谩s eliminarlo tambi茅n de all铆, como por ejemplo:

  • Plataformas de Email Marketing: Mailchimp, Mailrelay, Activecampaing…
  • Chats de Soporte Online: Zoopim, Livezilla…
  • CRM / ERP
  • Sistema de Tickets / Soporte
  • Otros servicios en la Nube

Si estos proveedores te ofrecen una API de integraci贸n, lo recomendable es que lo automatices para que no se te pase ninguno.

驴Y qu茅 pasa con los resultados de b煤squedas en Google?

Seg煤n lo que interpretamos en la ley, tambi茅n debemos de asegurarnos de que la informaci贸n no aparezca en los resultados de b煤squeda pero claro, Google no tiene una API para eso, s贸lo procesos manuales de eliminaci贸n.

Afortunadamente, aunque nuestra tienda online indexe informaci贸n del usuario, jam谩s va a almacenar p谩ginas de perfil con datos personales. Estas p谩ginas no son rastreables en los eCommerce por el motor de b煤squeda al no ser p煤blicas y necesitar de una identificaci贸n.

De todas formas, lo ideal ser铆a hacer que la p谩gina de los datos del usuario devuelva un c贸digo de estado HTTP 404, para que Google desindexe esto de los resultados en cuesti贸n de tiempo, en el caso de que estuvieran por alg煤n motivo 隆Y que no se te olvide a帽adir la URL como Disallow en tu robots.txt!

Editar Datos de la Cuenta de Usuario

A pesar de que es obvio, no en todos los eCommerce se cumple, por ello debes ofrecer a tus clientes la posibilidad de poder realizar su Derecho de Rectificaci贸n de los datos facilitados. Los usuarios deben ser capaces de corregir todos sus datos, incluidos los que hayas recopilado de otras fuentes como por ejemplo, utilizando un “Inicio de Sesi贸n con Facebook”.

隆Nuestra Regla de Oro! Todos los campos que tengas en las tablas de clientes (customers) de tu base de datos deben ser editables a trav茅s de la interfaz de usuario.

Ejemplo de pantalla de “Editar/Acceso a Datos” adaptada a la RGPD en nuestro cliente Maquillalia.com

Vuelven las terceras empresas…

Al igual que en el Derecho al Olvido, es muy importante tener en cuenta si estos datos han sido traspasados a terceras empresas, como en el punto anterior, con el correspondiente consentimiento del usuario, 隆no vayamos a empezar a pecar aqu铆! En tal caso, el usuario deber铆a tener la posibilidad de acceder a una p谩gina donde puedan identificarse de alguna manera (a trav茅s de la confirmaci贸n de correo electr贸nico y / o sms) y obtener acceso a sus datos para poder modificarlos.

O, 驴Por qu茅 no? 隆Usemos esas magn铆ficas APIs, si tu proveedor te la facilita, para automatizarlo!

Exportaci贸n de los Datos de Usuario

Debes facilitar desde la cuenta de usuario, un bot贸n para exportar los datos de nuestro cliente,聽con el fin de cumplir el Derecho a la Portabilidad. Cuando se hace click en 茅l, al usuario le cargar谩 una nueva pantalla donde podr谩 descargar todos los datos que tenemos almacenados en nuestro sistema sobre 茅l.

驴Qu茅 datos debemos permitir exportar al cliente?

Al menos debemos facilitarle los datos que se eliminan con la funcionalidad de Derecho al Olvido. Por nuestra parte recomendamos permitir al cliente exportar los siguientes datos:

  • Datos personales – Obligatorio
  • Direcciones de Env铆o/Facturaci贸n – Obligatorio
  • Pedidos realizados – Recomendado
  • RMA – Recomendado
  • Comentarios / Opiniones – Opcional

驴En qu茅 formato debemos permitirle exportar los datos?

En cuanto al formato de exportaci贸n no hay nada definido, pero recomendamos una exportaci贸n CSV / XLS de una forma automatizada.

A veces, la exportaci贸n de datos puede llevar mucho tiempo si nuestra base de datos es extensa. Para ello,聽 el bot贸n puede desencadenar un proceso en segundo plano e informar al cliente de que al finalizar se le notificar谩 mediante un correo electr贸nico que ya puede descargar sus datos. Compa帽铆as como Twitter o Facebook ya lo hacen, como puedes ver en la siguiente captura.

Ejemplo de pantalla de “Exportar datos de Cuenta” de Facebook (pr贸ximamente actualizaremos ejemplo por una tienda real)

Para este proceso, seg煤n lo que interpretamos en la ley, no es necesario implementar una exportaci贸n autom谩tica pero es lo m谩s recomendable para evitar problemas. A煤n as铆, ser铆a suficiente contar con un proceso que permita a los usuarios solicitar sus datos y que posteriormente, un administrador de forma manual en un plazo de un mes desde la solicitud, se lo facilite.

Analiza tu tienda virtual en busca de todo los datos que permites al usuario, 隆cada tienda es un mundo!

驴S贸lo descargarlos o hay algo m谩s?

Seg煤n la ley, tambi茅n es necesario tener la posibilidad de que desde el panel de administraci贸n de Mi Cuenta el usuario pueda ver todos sus datos. Muy similar a la opci贸n de Exportar datos, pero con la diferencia de que los datos deben de mostrarse en la propia cuenta del usuario a modo resumen.

Sigue leyendo, 隆abajo te contamos m谩s sobre esto!

Consulta de Datos de la Cuenta del Usuario

La normativa del Derecho de Acceso聽es bastante amplia, pero en resumen se debe permitir que los usuarios puedan conocer en cualquier momento qu茅 datos de car谩cter personal suyos est谩n siendo tratados por parte de nuestra tienda online.聽Tambi茅n deben de conocer la la finalidad de ese tratamiento, el origen de los datos y si se ha comunicado o se van a comunicar a un tercero.

驴Qu茅 datos debe de poder consultar el usuario?

  • Datos personales del cliente: nos valdr铆a con los campos donde pueden editarlos, ya que ah铆 podr铆an consultarlos.
  • Direcciones de Env铆o / Facturaci贸n: casi todos los CMS de eCommerce nos permiten verlas y editarlas.
  • Comentarios de Productos: esto deber铆amos de implementarlo para los usuarios que han realizado comentarios.
  • Opiniones de Clientes: si tenemos un sistema en el que nos realizan opiniones generales, deber铆amos de incorporarlo tambi茅n.
  • Pedidos: listado de pedidos del cliente con sus detalles y facturas en caso de tenerlas generadas.
  • RMA: si gestionas los RMA con un proceso automatizado donde registra los datos de tu cliente, tambi茅n debes de mostr谩rselo.
  • etc…

Para poder consultar estos datos podemos distinguir dos casos:

El usuario est谩 registrado y tiene acceso a su cuenta

En el caso de que el usuario ya exista en nuestro sistema, ya puede acceder al apartado de Mi Cuenta. Entonces como soluci贸n proponemos los siguientes puntos:

  • Desde el apartado Mi Cuenta, deberemos de mostrarle todos los datos que almacenamos de 茅l en la base de datos. Como en el punto anterior tenemos que el usuario puede editar estos campos, tambi茅n puede consultarlos 驴no?聽馃槉
  • Deberemos de mostrar en este apartado tambi茅n la Pol铆tica y T茅rminos que acept贸 y en que fecha/hora fueron aceptadas.
  • Si acept贸 comunicaciones comerciales como Boletines, Recuperador de Carritos Olvidados, etc… tambi茅n debemos de mostrarlo con la posibilidad de que pueda quitarlos, as铆 como el d铆a/fecha/hora e IP con la que acept贸 esta informaci贸n.
  • Si comunicamos los datos a un tercero, qu茅 datos y a qui茅n.

El usuario no est谩 registrado y/o no tiene acceso a su cuenta

Adem谩s debemos permitir a cualquier usuario consultar qu茅 datos tenemos almacenados de 茅l aunque no se encuentre como usuario registrado en nuestra tienda online.

Para este punto en concreto tenemos dos soluciones v谩lidas:

  1. Forma sencilla: ponemos a disposici贸n del usuario un contacto para que se comunique con el responsable del fichero y 茅l le facilite la informaci贸n.
  2. Forma automatizada: un sistema que te permita ingresar tu e-mail y te diga si disponemos datos de dicho e-mail o no. En el caso de disponer de datos, se le enviar谩 un enlace validado con un token a dicho e-mail para que pueda acceder durante X horas al sistema para poder ver dichos datos que tenemos de forma segura.

Por nuestra parte siempre decimos que automatizar procesos es ahorrar tiempo, dinero a la larga y sobre todo evitar errores cometidos por humanos… Ahora, 隆decide que soluci贸n te quedas!

Restringir el procesamiento de Datos

Seg煤n la Ley de la RGPD, el usuario puede en cualquier momento ejercer su Derecho de restringir el procesamiento de sus datos聽para que estos no sean visibles ni est茅n en uso, 隆ni por nosotros ni por un tercero con el que nos integremos! Este punto es bastante parecido al Eliminar Cuenta, con la gran diferencia de que no la elimina sino que la inhabilita durante un per铆odo temporal que el usuario definir谩 cuando quiera volver a activarla para recuperarla.

Ejemplo de pantalla de “Restringir el Procesamiento de Datos” de Instagram (pr贸ximamente actualizaremos ejemplo por una tienda real)

驴C贸mo aplicar la restricci贸n de datos?

La soluci贸n que proponemos punto por punto es la siguiente:

  • Desde el apartado聽Mi Cuenta, nuestro cliente dispondr谩 de un nuevo apartado al lado de Eliminar cuenta para聽Desactivar mi cuenta temporalmente. Esto funcionar谩 como el Eliminar Cuenta, con su confirmaci贸n de contrase帽a y su correspondiente texto donde le informaremos que su cuenta ser谩 Restringida e Inhabilitada hasta que vuelva a acceder o a identificarse en el sistema.
  • Es importante marcar que el usuario Pepito Denox, el d铆a XX/XX/XXXX a las XX:XX ha pedido la restricci贸n de su cuenta聽en nuestra base de datos.
  • En cuanto a la parte del panel de administraci贸n, una vez que el usuario lo activa, quedar谩n restringido el acceso a dichos datos y anonimizados temporalmente en los listados.
  • Lo 煤nico que no vamos a ocultar son los pedidos y facturas inferiores a 4 a帽os seg煤n la normativa fiscal actual, al igual que en la opci贸n de聽Eliminar Cliente.
  • Adem谩s, aprovecharemos para implementar esta funcionalidad en el panel de administraci贸n del eCommerce en el Listado de Clientes por si alguien solicita por e-mail o tel茅fono su restricci贸n, que un administrador de la tienda pueda activarlo desde el panel.

驴Y para reactivar de nuevo la cuenta?

Nosotros enviar铆amos un e-mail al cliente el d铆a que lo aplica con la informaci贸n donde le indicamos que sus datos han sido restringidos y que para activarlo tiene dos opciones:

  • Acceder a su cuenta con su usuario y contrase帽a: le mostraremos un mensaje nada m谩s entrar que le diga que su cuenta fue restringida por petici贸n de 茅l, en tal fecha, que si CONTIN脷A la cuenta volver谩 a ser activada tras pulsar el siguiente bot贸n. En este punto guardamos fecha y hora de activaci贸n tambi茅n por si las moscas 馃槈馃憣
  • Solicitar por e-mail/tel茅fono: entonces un administrador desde el panel de control podr谩 activarla y posteriormente se le enviar谩 un e-mail inform谩ndole que vuelve a estar activa.

驴Y si el usuario ha olvidado su contrase帽a?

Siempre podr谩 recuperar su contrase帽a con la opci贸n de 驴Ha olvidado su contrase帽a? ya que podr铆a entrar en un bucle sin fin o solo tendr铆a como opci贸n la activaci贸n telef贸nica.

Importante: Aunque los datos no se pueden ver desde el admin, si realizamos la consulta para crear una nueva contrase帽a para un e-mail esta funci贸n debe de estar disponible.

Consentimiento de Aceptaci贸n de los T茅rminos y Pol铆tica de Privacidad

Esta casilla de verificaci贸n debe de ser colocada en cualquier formulario de nuestra tienda virtual donde recabemos informaci贸n del cliente, adaptaci贸n que casi todos los e-commerce tienen pero que a veces olvidan en alg煤n formulario de la web. Cualquier formulario de registro, aviso de stock, suscribirse al bolet铆n, lo he visto m谩s barato, comentarios de productos…

Ahora ya no basta con tener esta casilla, hay que aplicar varias funcionalidades m谩s que a continuaci贸n explicamos.

驴Qu茅 nuevas funciones debemos de incorporar en la Aceptaci贸n de los T茅rminos por parte de nuestros usuarios?

Lo primero es que debemos de mostrar en una primera capa la informaci贸n b谩sica de estos T茅rminos que el cliente acepta sin tener que leerse todo el documento de t茅rminos. En esta primera capa de informaci贸n debemos de mostrarle claramente la informaci贸n principal, como por ejemplo:

  • Responsable: Pepito P茅rez Rodriguez
  • Finalidad: Gesti贸n del env铆o de la informaci贸n solicitada, gesti贸n de suscripciones y moderaci贸n de comentarios.
  • Legitimaci贸n: Consentimiento del interesado.
  • Destinatarios: Se comunicar谩n los datos a nuestro sistema y a MailChimp/Mailrelay (o plataforma que uses) para gestionar las suscripciones al blog como plataforma de env铆o de boletines.
  • Derechos: Tienes derecho a Acceder, Rectificar y suprimir los datos, as铆 como otros derechos, como se explica en la informaci贸n adicional.
  • Informaci贸n adicional: Puede consultar la informaci贸n adicional y detallada sobre la Pol铆tica de Privacidad y Protecci贸n de datos en el siguiente enlace.

Con ello el usuario puede ver r谩pidamente sin leerse todos los t茅rminos y condiciones qu茅 es lo que est谩 aceptando a la hora de rellenar ese formulario. Nosotros vamos a aplicarlo mediante un icono de ayuda 鉂 que tras poner el cursor arriba abra un tooltip (ventana emergente) donde aparezca toda esta informaci贸n sin ensuciar m谩s el formulario. 隆Mira a continuaci贸n a lo que nos referimos!

Ejemplo ficticio de adaptaci贸n “Aceptaci贸n de T茅rminos” primera capa en nuestro cliente Axartoner.com

Para ampliar la informaci贸n tendremos que poner un +info con el fin de que tras cliquear nos lleve a la p谩gina completa de los T茅rminos y Condiciones de Uso/Privacidad de nuestro sitio.

驴Y que m谩s se debe de hacer en la Aceptaci贸n de los T茅rminos?

Hay una parte importante tambi茅n, ya no vale decir que el usuario ha aceptado los t茅rminos que est谩n en nuestra web y ya esta… 隆no se帽or, no! Hay que guardar en nuestro registro un log con los datos del usuario, ip, fecha y el texto de los t茅rminos aceptados en el momento (Usuario ID 29 – mail@mail.com – IP XX.XX.XX.XX – DD/MM/AA HH:MM – TERMINOS).

Es muy importante guardar la informaci贸n de los t茅rminos que el usuario acept贸, no vale con una p谩gina de nuestra web que podemos cambiar de un momento a otro sin que el usuario se entere, por ello tenemos que guardar los t茅rminos exactos que acept贸 en ese momento nuestro cliente. Lo correcto es hacer una base de datos donde guardemos un log con toda esta informaci贸n a modo de registro.

Es importante tener en cuenta los siguientes puntos…

Como en algunas tiendas virtuales se hacen verdaderas burradas con estos campos, para que el usuario se suscriba de manera enga帽osa, vamos a dejar claro qu茅 no debemos hacer como Top Fulleros聽del eCommerce.

  • Las casillas de verificaci贸n no deben de estar preseleccionadas por defecto, la autorizaci贸n impl铆cita desaparece por completo.
  • No puedes darle la vuelta a la frase tipo “Deseo NO recibir boletines”.

驴Y qu茅 pasa con todos los que ya tengo registrados?

Imaginamos que toda tu base de datos es un CAOS y que nada de esto est谩 aplicado, con lo cual 隆no tienes聽 el consentimiento de ning煤n cliente! Para ello nosotros vamos a aplicar lo siguiente:

  1. Para las p谩ginas de T茅rminos de Uso y Pol铆ticas de Privacidad vamos a establecer versiones que vayan sumando a medida que vamos modific谩ndola (1, 2, 3, 4…).
  2. Vamos a asignar a los usuarios la versi贸n que han aceptado en la nueva tabla del log de registro.
  3. En la parte de Mi Cuenta,聽si el usuario no ha aceptado los t茅rminos o la versi贸n es inferior a los t茅rminos vigentes, vamos a mostrarle nada mas identificarse que hemos actualizado nuestros T茅rminos y que para continuar debe de aceptarlos con el fin de actualizarles el registro en nuestro sistema.
  4. Preparar un sistema que nos permita enviar un e-mail a los clientes que no tienen t茅rminos aceptados, diferenciando los clientes registrados de los clientes que est谩n suscritos al bolet铆n (antes del 25 de Mayo del 2018).
  5. Con este nuevo e-mail vamos a solicitar y almacenar nuevamente el consentimiento mediante el env铆o a todos los clientes que se han suscrito a nuestros boletines antes de la fecha para que puedan aceptar los nuevos t茅rminos. 隆Al igual que hace Google! – Ver Ejemplo en E-mail de Google
  6. Todos los usuarios que no den su consentimiento y no tengamos grabada su fecha/hora/ip deber谩n ser dados de baja de nuestros boletines y comunicaciones comerciales para evitar estos problemas.

Recomendamos para todo esto preparar en el panel de control esta opci贸n para que sea de forma din谩mica y a lo largo de los a帽os, podamos utilizarla si modificamos nuestros t茅rminos. Es m谩s, 隆la de Mi Cuenta para la renovaci贸n de t茅rminos deber铆a de ser una opci贸n fija para nuestros clientes!.

Verificaciones de edad

La nueva normativa indica que debemos solicitar en nuestro formulario la edad o fecha de nacimiento del usuario y,聽si el usuario es un menor de 16 a帽os, no debe de permitirle proceder sin la autorizaci贸n de sus padres o tutor legal.

No hay una manera clara de hacerlo, pero por nuestra parte entendemos que es un % inferior las personas menores de 16 a帽os que compran en un eCommerce, entonces dado que la autorizaci贸n que adjunten etc… puede ser un l铆o mayor que no nos va a merecer la pena, nuestra idea es la siguiente:

Opci贸n 1: Lightbox al entrar al registrarse

Esta es la opci贸n m谩s b谩sica, cuando se va a registrar en nuestra tienda mostramos una ventana intermedia flotante que diga 驴Eres mayor de 16 a帽os? Seg煤n la RGPD…. SI NO”. Si cliquea SI le dejamos registrarse en caso de NO enviamos a una p谩gina informativa para que vea por qu茅 no puede y c贸mo podr铆a proceder para realizar el pedido legalmente en nuestra tienda.

Opci贸n 2: Solicitar Fecha de nacimiento al registrarse

Creemos que es la opci贸n m谩s correcta que debemos de implementar. A la hora de registrarnos como cliente pedimos la Fecha de Nacimiento y comprobemos que el cliente es mayor de 16 a帽os para que pueda proceder. En caso contrario le mostraremos un error en el registro con el texto de la normativa de la RGPD.

Gracias a ello, tendremos tambi茅n la fecha de nacimiento del usuario y nos permitir谩 poder hacer acciones comerciales, si en tus t茅rminos est谩n recogidos, para enviarle un cup贸n de descuento en su cumplea帽os 驴por qu茅 no? 馃檪

驴Y qu茅 pasa si falsean la edad?

Obviamente habr谩 personas menores de 16 a帽os que har谩n trampa con su fecha de nacimiento pero nosotros estaremos cubiertos porque hemos hecho el proceso de acuerdo a la normativa 隆no somos la persona que ha introducido los datos!

Mantener la informaci贸n por m谩s tiempo de lo necesario

Seg煤n GPDR, si hemos recopilado los datos de nuestro usuario con un prop贸sito espec铆fico, como puede ser en nuestra tienda online para enviarle un pedido a nuestro cliente, pasado un per铆odo de tiempo deben ser eliminados cuando ya no son necesarios (o anonimizados como hemos hablado anteriormente en caso de pedidos de los que no queremos perder las estad铆sticas).

Muchos sitios de comercio electr贸nico ofrecen la opci贸n de Comprar sin Registrarse, en cuyo caso el consentimiento va solo para el pedido en particular, con lo cual la tarea es m谩s sencilla porque solo tenemos que controlarlo en los pedidos cuando pase el per铆odo fiscal. Cuidado porque vuelven a esta gu铆a los TOP Fulleros del eCommerce de nuevo, que al usar la opci贸n de comprar sin registrarse, realizan un registro del usuario con una contrase帽a aleatoria y eliminan al usuario cuando terminan el pedido (y si no lo termina ah铆 se queda como usuario y tan panchos). 隆隆隆Nooooo, por favor no!!!

A煤n as铆, todos o casi todos permiten el registro con lo cual tenemos que hacer la faena completa.

驴C贸mo vais聽a implementar esto para no mantener la informaci贸n del usuario?

En Denox hemos pensado en realizar un sistema configurable por nuestros clientes, ya que los per铆odos var铆an dependiendo de los datos a recopilar. En el panel de administraci贸n del eCommerce nuestro cliente podr谩 estipular el tiempo por el que guardaremos los datos y en el caso de Pedidos si quiere anonimizarlos o guardarlos con fines estad铆sticos, totalmente configurable por 茅l.

Junto a esta configuraci贸n, crearemos una tarea en el servidor (cronjob) para que la tienda revise los datos todas las madrugadas (a partir de las 00:00 h.), que es en el momento donde menos carga tiene la web, para procesar todos los registros de Datos de los clientes de nuestra tienda virtual. Gracias a esta tarea聽procederemos con la eliminaci贸n de las cuentas de cliente que lleven inactivas el per铆odo configurado. 驴Qu茅 cuando las consideramos inactivas? Cuando el cliente no ha accedido a el panel de Mi Cuenta en el per铆odo establecido en la configuraci贸n, as铆 de f谩cil.

Incluso para este apartado, si el cliente ha aceptado en nuestros t茅rminos la comunicaci贸n con 茅l, podr铆amos 7/15 d铆as antes enviarle un e-mail indic谩ndole que su cuenta va a ser eliminada por inactividad seg煤n recoge la normativa de la RGPD y que todos los registros referente a sus datos se perder谩n irrecuperablemente. Para cancelar este proceso haga click en el siguiente enlace e identif铆quese en su cuenta para mantener su historial de pedido. 隆As铆 podemos evitar eliminar usuarios inactivos e incluso rescatarlos!

驴Cuanto tiempo podemos mantener los datos de un cliente que se encuentra inactivo?

En la ley que no se establece un plazo de conservaci贸n de forma expresa, sino atendiendo a que los datos deber谩n ser cancelados si ya se termino la finalidad con la que fueron recogidos y no pesa ninguna obligaci贸n pendiente para el afectado. Para el plazo de conservaci贸n de los datos de los clientes tenemos periodos de tiempo seg煤n el tipo de dato y cuanto tiempo podemos mantenerlo dependiendo del servicio que prestamos que podemos ver m谩s detalladamente en el documento oficial de la RGPD.

Como este punto es mucho mas complejo de explicar en nuestro caso, dado que son servicios digitales en una tienda online. Para la compra de un producto vamos a establecer este tiempo m谩ximo en un a帽o (configurable por el administrador de la tienda como anteriormente comentamos).

隆Recuerda! Tal y como hemos comentado antes, queda exento de esto los datos fiscales de pedidos y/o facturas que debemos de guardar durante 4 a帽os.

La Ley de Cookies

La Ley de Cookies no cambia nada, a excepci贸n de que el consentimiento ya no puede ser expl铆cito y tienen que aceptarlas… 隆pero c贸mo nos destroza nuestro Analytics! De la Ley de Cookies no nos vamos a extender en esta entrada ya que hemos hablado sobre ella largo y tendido hace unos a帽os cuando entr贸 en vigor en C贸mo Adaptar tu Tienda Online a la Ley de Cookies.

Recomendaciones T茅cnicas Opcionales para la RGPD 2018 para Tiendas Online (paso a paso)

Estas medidas t茅cnicas, a pesar de no ser obligatorias, las consideramos necesarias para adoptar una pol铆tica en la que protejamos los datos personales de nuestros clientes y con ello evitar bastantes dolores de cabeza.

Los puntos citados a continuaci贸n son una serie de las medidas necesarias que debe aportar la empresa que ofrece sus servicios digitales y las cuales deben regular la figura del DPO (es una figura nueva que interviene en procesos legales para garantizar el correcto cumplimiento de la normativa en cualquier tipo de proceso empresarial o tecnol贸gico). No obstante, esta figura “no es necesaria para peque帽as pymes”, es mas propia de entidades p煤blicas o a gran escala en donde se realizan procesos de big data a multinivel que pueden llegar a ser comprometedores sin un correcto an谩lisis de riesgo o plan de contingencia predefinido en la empresa. Tambi茅n, la figura del DPO puede ser subcontratado con una tercera empresa o incluso ser un empleado de la propia empresa que haya hecho el curso formativo en una entidad acreditada por la AEPD.

Este tipo de medidas t茅cnicas se conocen en la nueva normativa como planes de contingencia, es decir una serie de protocolos y bueno h谩bitos destinados a prevenir conflictos que pongan en riesgo nuestro negocio o el cumplimiento de la RGPD. Nosotros las recomendamos casi obligatorias para evitar problemas, porque como tengas una fuga de datos… 隆empezar谩 la fiesta si no tienes esto!

Integraci贸n del SSL

Parece impresionante que hoy d铆a sigamos con webs y tiendas que ni tienen implementado el certificado SSL. Los tenemos de pago o gratuitos como Lets Encrypt, es solo integrarlo y ya lo tienes de por vida… 驴Por qu茅 hay empresas que todav铆a pasan de esto?

  • Nos encripta la navegaci贸n de los datos (entre la aplicaci贸n y base de datos del servidor).
  • Cifra los datos enviados.
  • Google lo quiere, 隆y muestra si la p谩gina no es segura!
  • Chrome muestra en la barra de estado si el sitio es seguro o no.
  • Google Adwords no permite ni hacer campa帽as de Google Shopping sin esto…
  • Redsys/PayPal da problemas si no tienes el SSL integrado…
  • Mejora para el Posicionamiento SEO.

驴De verdad te hace falta m谩s razones para tener el SSL integrado en tu tienda online? No seas m谩s Top Fulleros eCommerce, 隆que es tu negocio hombre! #RGPD #SSL #TiendasOnline 锘緾lic para tuitear

Cifre los datos en reposo

驴Qu茅 significa eso de en reposo? Es simple, se trata de los datos personales de los clientes en nuestra base de datos cuando no se est谩n utilizando 驴para qu茅 dejarlos visibles? 驴mejor encriptarlos, no? Si por ejemplo, tenemos una vulnerabilidad en nuestra tienda online聽y la explotan mediante un Injection SQL聽ya nos est谩n sacando datos limpitos y entendibles. Entonces lo mejor es encriptarlos mediante alg煤n cifrado y descifrarlos para mostrarlos cuando los necesite el programa 驴no?

Siempre hablamos de un proceso reversible si no, no tendr铆a l贸gica.

驴C贸mo ciframos los datos de nuestros clientes en nuestro eCommerce?

Una de las mejores formas de protegerse contra la explotaci贸n de datos a trav茅s de canales no autorizados (consultas de bases de datos, inyecci贸n de SQL, c贸digo malicioso, etc.) es encriptar reversiblemente los datos directamente en la base de datos.

El caso ideal ser铆a tener cifrado con claves privadas / p煤blicas espec铆ficas聽 para la soluci贸n de comercio electr贸nico. Para ello ser谩 necesario optar por un cifrado con una clave compartida para toda la soluci贸n, en el caso de PHP por ejemplo con openssl.

Para ello, deberemos de generar una variable $key y un $password que almacenaremos en un archivo protegido al que solo se pueda acceder desde la soluci贸n de comercio electr贸nico, encript谩ndo en un m茅todo “aes-256-cbc”.

A continuaci贸n ejemplo b谩sico para encriptar y desencriptar con openssl en PHP:

驴Y que pasa con las Copias de Seguridad de la base de datos de nuestra tienda?

隆Con m谩s vera! Esos datos s铆 que est谩n en reposo y esas copias deber铆an de ser cifradas por completo. Date cuenta, si nos hackean nuestra tienda online聽con tal de bajarme un backup tendr铆amos toda la informaci贸n (que muchos eCommerce guardan en una carpeta tipo /administrador/backups/). Tan solo descargar y restaurarla en una base de datos MySQL en local estar铆amos viendo toda la informaci贸n sin cifrar.

Es por ello que recomendamos cifrar las copias de seguridad. Si usas una herramienta en tu administrador que est茅 preparada para encriptarlas/desencriptarlas a la hora de crear o restaurar una copia ser铆a perfecto, e important铆simo, nunca perder las claves de encriptaci贸n si no 隆los datos ser谩n irreversibles!

Servidor de Desarrollo para Tiendas Online y los Datos Reales de Clientes

Es una pr谩ctica habitual (y muy buena la verdad), trabajar siempre en un entorno paralelo de desarrollo pero… 驴qu茅 suele pasar la mayor parte de las veces con los datos reales de clientes?. Pues que montamos un backup tal cual del de producci贸n. Estos datos tambi茅n podemos considerarlos en reposo, es m谩s, imagina que por error env铆as un e-mail desde el servidor de desarrollo a los clientes programando una nueva funcionalidad.

Para evitar esto, lo mejor es anonimizar todos estos datos. Lo perfecto ser铆a crear un script en el entorno de desarrollo que eliminara toda la informaci贸n relevante a clientes o la cambiara por unos array que tengamos preparados con Nombres, Direcciones, Emails que sean todos de testeo y pruebas (a excepci贸n de los usuarios de los desarrolladores).

As铆 evitamos tener datos reales en un entorno de desarrollo.

Registro de Acceso a Datos Personales

Seg煤n la ley de la RGPD, debemos guardar un registro o log de cada operaci贸n de lectura de los datos personales, para que se sepa qui茅n accedi贸 a qu茅 y con qu茅 fin. Para ello, lo correcto es generar un LOG para registrar toda la informaci贸n que realizan los administradores de la tienda desde el panel de control m铆nimo para las zonas de usuarios.

Por nuestra parte, m铆nimo controlar铆amos las siguientes 谩reas:

  • Listado de Clientes
  • B煤squedas en el Listado de Clientes
  • Ficha de Clientes
  • Listado de Pedidos
  • Detalles de Pedidos
  • Edici贸n de Pedidos
  • Facturas / Albaranes
  • Listado de Facturas
  • etc…

Con ello registrar铆amos qu茅 es lo que se est谩 realizando y qui茅n accedi贸 a esos datos en una fecha/hora concreta.

Revise su tienda y las opciones que le da a sus administradores para poder generar un log de registro completo para que en el caso de que tengamos una inspecci贸n,聽 poder tener ese registro para presentarlo.

Uso de API Internas o de Terceros

Si utilizas una API en tu tienda o usas alguna de un tercero para enviar datos, nunca debes permitir el acceso a consultas de forma an贸nima a datos personales. Siempre deber谩s de mantenerla segura mediante un token para cada usuario de consulta.

Adem谩s deber铆as de guardar un registro del procesamiento de los datos que realiza ese usuario al igual que en puntos anteriores.

Malos h谩bitos a tener en cuenta que realizan tiendas hoy d铆a y NO DEBEN

Hoy d铆a seguimos encontr谩ndonos grandes TOP Fulleros en internet que realizan malos h谩bitos en sus tiendas 隆y encima muchos se creen que est谩n en lo correcto! Vamos a nombrar algunas de las grandes burradas que nos encontramos hoy d铆a en ecommerce…

  • No utilice datos para fines que el usuario no haya aceptado: se supone que es el esp铆ritu de la regulaci贸n. Si desea exponer una nueva API a un nuevo tipo de clientes, o si desea utilizar los datos para alg煤n aprendizaje autom谩tico, o si decide agregar anuncios a su sitio seg煤n el comportamiento de los usuarios, o vender su base de datos a un tercero.
  • Aceptaciones impl铆citas de T茅rminos o Suscripciones a Bolet铆n: no le des la vuelta a la frase como hemos visto antes… hagamos las cosas bien y que el usuario acepte claramente los t茅rminos para poder proceder.
  • Suscribir a todos los clientes por defecto: 驴cuantas veces nos habr谩n llamado diciendo si puede estar la casilla marcada para suscribirse al bolet铆n? 驴o que le marquemos a todos de forma autom谩tica en la base de datos?
  • No coloque campos en el formulario de registro / perfil que no necesita: siempre es tentador lanzar tantos campos como acepte la persona / dise帽ador de usabilidad, pero a menos que necesite absolutamente los datos para entregar su servicio no deber铆a incluirlos.
  • No asuma que terceros son compatibles: solo t煤 eres el responsable si hay una violaci贸n de datos en uno de los terceros a los que env铆a datos personales. Por lo tanto, antes de enviar datos a trav茅s de una API a otro servicio, aseg煤rate de que tengan al menos un nivel b谩sico de protecci贸n de datos.
  • No asuma que ISO XXX hace cumplir esta Ley: los est谩ndares de seguridad de la informaci贸n e incluso los est谩ndares de datos personales son un buen comienzo y probablemente representen el 70% de lo que exige el reglamento, pero no son suficientes. La mayor铆a de los elementos enumerados anteriormente no est谩n cubiertos en cualquiera de esos est谩ndares.

Comience ahora a adaptar su tienda online a la nueva normativa RGPD 2018

Deseamos que esta lista de adaptaciones tecnol贸gicas de RGPD 2018 eCommerce聽te haya聽 resultado 煤til para comprender toda la nueva normativa y visualizar las formas en que puedes modificar tu tienda online para adaptarte a la Ley antes de la fecha l铆mite de cumplimiento el pr贸ximo 25 Mayo 2018. Para obtener m谩s detalles sobre la nueva regulaci贸n y los requisitos de cumplimiento, le recomendamos visitar el sitio web oficial de la UE GDPR o la Oficina de la Agencia de Protecci贸n de Datos Espa帽ola.

Y hasta aqu铆 nuestro an谩lisis para la adaptaci贸n tecnol贸gica a la RGPD de tu Tienda online. Espero que te haya gustado y, si te ha resultado 煤til esta gu铆a,聽隆comp谩rtela en Redes Sociales!聽Adem谩s para cualquier consulta o si quieres ayudarnos a completarla 驴por qu茅 no nos dejas un comentario?

Descargo de responsabilidades: Este an谩lisis ha sido realizado tras examinar la publicaci贸n oficial del reglamento oficial de la RGPD as铆 como de varias webs especializadas referentes a la nueva normativa de RGPD 2018 con fines informativos. En Denox, no nos consideramos unos gur煤s de la materia y no pretendemos participar en la prestaci贸n de asesoramiento legal y recomendamos consultar a un profesional del 谩mbito jur铆dico para discutir cuestiones de cumplimiento legal.

Comp谩rtelo:
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Twittter
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Facebook
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Google Plus
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Linkedin
Compartir C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎 en Whatsapp
Lo m谩s importante tu opini贸n, 隆d茅janos un comentario!
5 sobre 5 de 3 opiniones

He leido y acepto la pol铆tica de privacidad de este sitio:

C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎
Muy completo! Tenemos que ponernos manos a la obra cuanto antes con ello
[Responder]
Avatar del usuario Masterlap
C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎
Muchas gracias por el aporte!!!
[Responder]
Avatar del usuario Alex
C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎
隆Gran gran gran art铆culo! S铆 se帽or... llevaba meses buscando una gu铆a clara para implementar en mi tienda y nada, por fin algo decente muy buen trabajooo!! 馃憤
[Responder]
Avatar del usuario Jose Manuel Pacheco
隆Sigue aprendiendo con otros art铆culos similares!
Est谩s en/Inicio / Blog / Tiendas Virtuales / C贸mo Adaptar tu Tienda Online a la RGPD 2018 (Paso a paso) 馃嚜馃嚭馃摎
Ver Denox en Google Maps
Contacta con nosotros

C/ Cronos, 20

Portal 4, 3 - 2 (Madrid)

(+34) 914 250 778De Lunes a Viernes de 09:00h a 15:00hDe Lunes a Jueves de 16:00h a 18:30h
info@denox.es
驴Que necesitas?

He le铆do y acepto la pol铆tica de privacidad de este sitio:

363 me gusta
738 me gusta
17 me gusta
1 me gusta

Somos expertos en el desarrollo y dise帽o tiendas virtuales.

Sabemos qu茅 hacemos y sabemos c贸mo hacerlo.

Si realmente deseas un llegar a lo m谩s alto con tu tienda online,

隆Conf铆a en DENOX! Porque nosotros somos la soluci贸n.

Agente oficial confianza online

Denox 漏 2018 | Agencia eCommerce: Expertos Comercio Electr贸nico, dise帽o tiendas online a medida profesionales.

隆Nosotros te llamamos!
Si necesitas que uno de nuestros comerciales se ponga en contacto contigo para asesorarle, es tan sencillo como rellenar el siguiente formulario y 隆nosotros te llamamos!
Cualquier d铆a
Cualquier hora

He leido y acepto la pol铆tica de privacidad de este sitio:

Aviso de cookies
Utilizamos cookies propias y de terceros para realizar an谩lisis de uso y de medici贸n de nuestra web para mejorar nuestros servicios. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuraci贸n u obtener m谩s informaci贸n Denox utiliza cookies. Al navegar por la web aceptas su uso. M谩s informaci贸n Denox usa cookies + info aqu铆. Aceptar