Economía del Comercio Electrónico (G9)
Legislación de protección de datos y comercio electrónico
11. Protección de datos y comercio electrónico
La legislación de protección de datos impone a las empresas (electrónicas) dos grupos de obligaciones: unas afectan, como acabamos de ver, a la organización interna de la propia empresa (medidas de seguridad, relaciones con la autoridad de protección de datos...), y otras, no menos importantes, se refieren a la relación externa de la empresa con los clientes (información, consentimiento, transparencia, ejercicio de derechos...). Así como las empresas tienen que reestructurarse internamente en atención a la legislación tributaria o de seguridad laboral, así también la legislación de protección de datos les obliga a hacer todo tipo de cabriolas para encajar –afectándola en la menor medida posible– su organización actual en el marco normativo. Este puede considerarse el mayor impacto de la legislación de protección de datos en las empresas. Mi hipótesis es que, mientras que el primer grupo de obligaciones representa directamente un incremento de los costes empresariales, el segundo grupo de obligaciones no implica un costo significativo de modo inmediato, ya que se trata de obligaciones principalmente ‘informativas’. A pesar de su coste inferior en terminos economicos, el rendimiento que se puede obtener de una buena política informativa es muy alto.
En realidad, la legislación, tras el breve periodo de desconcierto que siguió a la publicación de la Directiva 95/46/CE de protección de datos, y a las respectivas legislaciones nacionales, permite a las empresas hacer prácticamente lo mismo que venían haciendo cuando no existía legislación en este campo. Es cierto que ahora hay que informar y obtener el consentimiento del ciudadano o del cliente, pero satisfechas estas dos condiciones (lo cual no es demasiado caro), el empresario puede hacer –casi– lo que quiera con los datos personales que ha obtenido. Y ello, precisamente, si los obtiene y procesa con el consentimiento informado del cliente. De ahí que, superados los costes organizativos iniciales, la legislación de protección de datos no perjudique demasiado a las empresas de comercio electrónico, ni obstruya sus prácticas de tratamiento de la información personal (CRM, ICRM). Antes al contrario, cumplir con la legislación se puede convertir en un aliciente para el consumo y, en consecuencia, en un factor beneficioso para el sistema del comercio electrónico. No olvidemos que a este sistema pertenecen también los consumidores y que uno de los elementos imprescindibles para su desarrollo es justamente la confianza. Un buen ejemplo de cómo el cumplimiento de la legislación de protección de datos puede ser instrumentalizado para obtener la confianza del consumidor son los sellos de cumplimiento de la ley de protección de datos (aquí tienes uno). Conviene notar que no se trata estrictamente de sistemas de autorregulación (salvo que respondan a una política integral de proteccion de datos), sino de meros indicadores simbólicos de cumplimiento de la ley dirigidos a neutralizar las barreras psicológicas que frenan la expansión del comercio electrónico.
Con todo, no conviene sobreestimar la importancia que el consumidor otorga al nivel de protección de datos que proporciona una empresa. ¿Podemos afirmar que existe algún tipo de relación entre el nivel de desarrollo del comercio electrónico y las opciones legislativas en materia de privacidad? Dicho de otro modo, ¿existe alguna relación entre el nivel de protección de datos que ofrece una empresa on-line y su ratio de ventas o su volumen de negocios? Creo que la respuesta es negativa en ambos casos, al menos por ahora. Estados Unidos, cuyo modelo de regulación es más bien rácano en cuanto a salvaguardas legales, lidera sin embargo las estadísticas de comercio electrónico. Por su parte, ya entre nosotros, una de las compañías que más han facturado en la red en los últimos dos años puede presumir de tener una buena política ‘informativa’ de privacidad. Hasta cierto punto, el grado de protección de la información personal que proporcionan las empresas electrónicas parece ser independiente respecto de su volumen de negocio. Esta aparente contradicción se explica por la escasa concienciación ciudadana sobre el derecho de protección de datos. En España, por ejemplo, tan sólo un 13,7 % de los usuarios de Internet expresan su preocupación respecto del tratamiento de datos personales como una barrera a la hora de realizar transacciones electrónicas (comerciales). Así las cosas, las empresas no sólo pueden adaptarse con cierta flexibilidad a la legislación, sino que incluso pueden instrumentalizar el derecho de protección de datos para mejorar el negocio. Pero atención: este panorama cambiará cuando los ciudadanos tomen conciencia del problema de la protección de sus datos (y se dén cuenta de que Minority Report es algo más que una película con muchos efectos especiales). Es decir, cuando tomen conciencia de que Internet multiplica las oportunidades de recopilar datos personales y, por tanto, el riesgo de incumplimiento de los derechos y libertades fundamentales de las personas, en especial el derecho a la vida privada.
Mi visión de las relaciones entre la protección de datos y el comercio electrónico la he explicado en profundidad en este artículo (que tienes entre las lecturas recomendadas), así que no voy a extenderme mucho más en este punto. Antes de profundizar en las obligaciones informativas de la empresa electrónica, me gustraria dedicar un poco de tiempo a uno de los aspectos más problemáticos del comercio electrónico desde el punto de vista de la protección de datos: el llamado tratamiento invisible de datos.
Obligaciones 'internas' + 'externas'
La información aumenta la confianza
Se está generando poco a poco una 'conciencia del problema'
12. El tratamiento invisible de datos personales
Como hemos visto, salvo determinadas excepciones, la ley obliga a que la obtención de datos se produzca con el consentimiento (informado) del interesado. Sin embargo, desde que existe Internet se vienen recopilando datos personales sin que sus titulares sean consciente de ello. Aunque pienses que los datos de las conexiones no anónimos, no es así: son también datos personales. Basta con conectarse a un servidor para que nuestro navegador transmita una serie de datos (que van desde el número IP hasta nuestras preferencias linguísticas). Este proceso de intercambio de datos es (relativamente) necesario para establecer las conexiones, pero puede emplearse, como sabes, para recopilar información acerca de los usuarios introduciendo en las paginas web hipervínculos invisibles (enlazados a banners alojados en otros servidores), micro-imágenes o web bugs y colocando cookies en nuestro disco duro (las cuales nuestro navegador reenviará después en nuevas solicitudes de conexión). Gracias a todo este entramado es posible elaborar los llamados perfiles en línea de los usuarios. Si, además de este tratamiento ‘invisible’ el usuario completa un formulario con sus datos identificativos, la identidad concreta de dicho usuario puede vincularse a todo su comportamiento de navegación (que, en un caso extremo, puede incluir las palabras que solicita en los buscadores, las horas de conexión, los tipos de páginas que visita...).
Veamos un ejemplo del uso de tratamientos invisibles para elaborr perfiles. Uno de los usos secundarios de datos personales más frecuentes es la publicidad. Una vez identificado el comprador, bien porque sea él mismo quien proporcione información al conectarse al servidor, bien a través de cookies, se utiliza información previa sobre él para hacer publicidad personalizada según sus hábitos, intereses, historial de navegación (‘series de clics’) o hábitos de compra. Y no se trata sólo de anuncios relacionados con los servicios y las ofertas del propietario del sitio web, sino también de los emitidos por terceras partes que tienen acuerdos para apoyar el coste derivado de la gestión del servidor mediante la exposición de sus banners. Los paradigmas de la publicidad de Internet son las técnicas utilizadas por agencias publicitarias como DoubleClick, que permiten aislar criterios de identificación y ofrecer a los anunciantes herramientas para dirigir a los usuarios anuncios individualizados. Esta tecnología recurre a una base de datos que contiene información acerca de millones de usuarios, con lo que se garantiza que durante las campañas publicitarias sólo se contactará con la audiencia deseada. Para lograrlo, DoubleClick recoge y trata datos personales que permiten identificar a los usuarios, describir sus hábitos y determinar en tiempo real los elementos de la población que probablemente satisfarán los criterios de los objetivos de las campañas publicitarias existentes. DoubleClick asigna un número de identificación único a cada usuario que visita uno de los sitios web de su red y coloca una cookie que más tarde se utilizará para identificar al usuario cuando se conecte a otro de los sitios de DoubleClick y, de acuerdo con los datos que se tengan de tal usuario, personalizar el anuncio más adecuado. Aunque el visitante no acepte la cookie se puede elaborar su perfil, sobre todo si tiene una dirección IP estática. Los datos personales registrados en la base de datos de DoubleClick son, entre otros, éstos: dirección IP, dominio, país, código postal, tamaño y volumen de negocios de la empresa (optativo), sistema operativo utilizado y número de versión del mismo, proveedor del servicio, número de identificación (asignado por DoubleClick) y referencia de las actividades de navegación (recogida y análisis de sitios visitados por el usuario). Y ahí no acaba todo: como se está desarrollando una nueva forma de comercio: el comercio electrónico móvil (teléfonos celulares y otros aparatos portátiles), la localización y el tráfico de datos, así como los hábitos de viaje, se pueden añadir a los datos sobre transacciones y navegación para elaborar un perfil incluso más detallado del consumidor.
Esto es una prueba de cómo las nuevas tecnologías digitales crean necesidades específicas en materia de protección de datos personales y de la intimidad de los usuarios. Desde este punto de vista, uno de los retos principales es la aplicación del régimen de protección de datos al amplio conjunto de operaciones invisibles de tratamiento, por lo general no consentidas, que supuestamente vienen implicadas por la configuración técnica de Internet. El problema lo plantea el charloteo del navegador o chattering, los hipervínculos invisibles y las cookies. Hoy es casi imposible utilizar Internet sin verse confrontado con una serie de prácticas que llevan a cabo todo tipo de operaciones de tratamiento de datos personales de manera invisible para el interesado. Esta invisibilidad del tratamiento vulnera los principios de consentimiento e información sobre los que se asienta nuestro sistema. Como supongo que tienes algún conocimiento de estos procedimientos de tratamiento invisible, no voy a entrar a precisarlos con detalles. En cualquier caso, comprenderás mejor este problema visitando este sitio web (no te lo pierdas) o este otro. Es muy importante (y obligatorio) visibilizar este tipo de tratamientos. Para saber cómo hacerlo, paso en el epígrafe siguiente a detallarte la información que debe proporcionarse en un sitio web.
perfiles en línea
un ejemplo: DoubleClick
Tratamiento invisible de datos personales:
chattering / links invisibles / cookies
13. Información y consentimiento en la recogida de los datos en línea
Es obligación de los empresarios electrónicos garantizar que los usuarios individuales de Internet obtienen toda la información necesaria para depositar su confianza en los sitios con los que establecen contacto y, en caso necesario, para ejercer determinadas opciones de conformidad con sus derechos según la legislación. Para satisfacer esta obligación es muy importante redactar con cuidado las cláusulas de información y consentimiento que aparecerán en la página web. Veremos ahora cuándo, cómo y qué información debe facilitarse al interesado antes de cualquier recogida sus datos personales:
Identidad
En primer lugar, hay que declarar en la web la identidad y las direcciones postal y electrónica del responsable del tratamiento;
Finalidad
Debes indicar claramente para qué fines de tratamiento se recogen los datos. Por ejemplo, cuando los datos se recogen tanto para firmar un contrato (suscripción a Internet, pedido de un producto, etc.) como para marketing directo, hay que indicar claramente ambos fines;
Datos obligatorios u opcionales
Debes informar sobre si los datos solicitados son obligatorios u opcionales. La información obligatoria es aquella necesaria para prestar el servicio solicitado. La naturaleza obligatoria u opcional se podría indicar, por ejemplo, mediante un asterisco junto a los datos obligatorios o bien añadiendo la palabra 'opcional' junto a la información no obligatoria. El hecho de que el interesado no facilite la información opcional no se utilizará en su contra de ninguna manera;
Derechos
Debes mencionar la existencia de los derechos del titular de los datos (objeción, acceso, rectificación, cancelación) y de las condiciones para ejercerlos Hay que indicar también la posibilidad de ejercerlos en línea (por ejemplo, mediante una casilla que el usuario pueda marcar para oponerse a que sus datos sean cedidos o tratados para determinados fines). Como información adicional (esto ya es cuestion de buena voluntad), se puede proporcionar el nombre y la dirección (postal y electrónica) del servicio o la persona encargada de responder a las preguntas relacionadas con la protección de datos;
Cesiones
Debes enumerar los destinatarios o las categorías de destinatarios para la información recopilada, con especial cuidado si piensas hacer una transferencia internacional de datos. Al recoger cualquier tipo de datos, hay que indicar si se comunicarán o pondrán a disposición de terceros, en particular socios empresariales, filiales, etc., y para qué fin (fines distintos de prestar el servicio solicitado y de marketing directo). Si se da este caso, los usuarios de Internet deben tener la posibilidad real de oponerse a ello en línea marcando, como te he dicho, una casilla relativa a la comunicación de datos para fines distintos de la prestación del servicio solicitado. Puesto que el derecho de oposición se puede ejercer en cualquier momento, la posibilidad de ejercerlo en línea también debería indicarse en la información facilitada al interesado. A pesar del inconveniente que supone sobrecargar de información las pantallas (en terra.es, por ejemplo, se abre otra ventana), no mencionar los destinatarios equivale a que el responsable de los datos se compromete a no comunicar ni transmitir la información recogida a terceras partes cuya denominación y dirección no haya facilitado.
Tratamiento invisible
Debes informar con claridad de la existencia de procedimientos automáticos de recogida de datos, antes de usar dichos métodos. Cuando se utilicen tales procedimientos, el interesado debe recibir la información correspondiente. En especial, si en tu sitio web se localizan banners de compañias de cibermarketing que recopilan así datos personales, deberás hacerselo saber al usuario en tu política de privacidad (se puede, por ejemplo, introducir un apartado en la política de privacidad en el que se informe del nombre de dominio del servidor de cibermarketing, la finalidad de dlas cookies, su plazo de validez, y si es necesaria o no la aceptación de las mismas para visitar el sitio y, según el caso, la opción de que dispone todo usuario de Internet de oponerse a su uso, o las consecuencias de desactivar dichos procedimientos). Esto es una aplicación más de las reglas generales de información: si otros responsables del tratamiento de los datos participan en la recogida de datos personales, el interesado debe recibir información sobre la identidad de todos los responsables del tratamiento y la finalidad del tratamiento en relación con cada responsable. La información y la posibilidad de oponerse a la recogida deberán comunicarse antes de utilizar cualquier procedimiento automático que desencadene la conexión del ordenador del usuario con otro sitio web, por ejemplo, cuando un sitio web conecta automáticamente al usuario a otro sitio para mostrarle publicidad en forma de pancarta publicitaria, con el fin de evitar que este segundo sitio recopile datos sin que el usuario sea consciente de ello. Así, si el servidor de cibermarketing quiere colocar una cookie, la información deberá facilitarse antes de que ésta se envíe al disco duro del usuario (además de la información facilitada por la tecnología actual, que se limita a dar el nombre del sitio transmisor y el periodo de validez de la cookie). En el caso que tu sitio web emplee métodos automáticos de recogida de datos (casi todos lo hacen), lo más operativo es incluir toda esta información en la política de privacidad y, en su caso, referirse a ellos mediante una 'ventana emergente' que se abra en la primera conexión.
Seguridad
Debes destacar las medidas de seguridad que garantizan la autenticidad del sitio, la integridad y la confidencialidad de la información transmitida a través de la red y que se hayan tomado en aplicación de la legislación en vigor (LOPD, RMS, LSSI). En lo que respecta al nivel de seguridad durante la transmisión de los datos desde el equipo del usuario hasta el sitio web, se podría emplear un encabezado del tipo: 'Está iniciando una sesión segura', o simplemente servirse de los procedimientos de información automática de que disponen los navegadores, como la aparición de iconos específicos en forma de llave o de candado.
Link a la política de protección de datos
En la página de inicio y en todos los lugares donde recojas datos personales en línea deberá ser posible acceder directamente a información completa sobre la política de protección de datos (incluida la forma de ejercer el derecho de acceso). El título del encabezado que el usuario tiene que seleccionar con el ratón deberá estar resaltado, ser explícito y específico, de manera que transmita al usuario de Internet una idea clara del contenido que se le va a mostrar. Por ejemplo, el encabezado podría indicar 'Este sitio recoge y trata datos personales relacionados con usted. Si desea más información, pinche aquí' o bien 'Protección de datos personales'.
Información sobre:
Identidad
Finalidades
Datos obligatorios u opcionales
Derechos
Cesiones
Tratamiento invisible
Seguridad
'Política de protección de datos'
14. Problemas relativos al uso de los datos
Que hayas recopilado lícita y lealmente los datos personales no significa que puedas hacer lo que quieras con ellos. No olvides que el único titular de los datos es la persona a la que se refieren. Pues bien, en el curso de una actividad empresarial, es frecuente que se planteen tres problemas referidos al uso de los datos. Es obvio que son muchos más de tres, pero por razones de espacio me gustaría referirme sólo a la cesión de datos, al tratamiento de datos especialmente protegidos y a las comunicaciones con los clientes.
La cesión de los datos
En primer lugar, ha de quedar claro que no pueden cederse los datos personales sin el consentimiento de su titular. Recuerda, además, que el consentimiento de este titular sólo es valido cuando previamente se le haya informado de la finalidad del fichero de datos al que van a cederse, así como del tipo de actividad que llevará a cabo la persona o empresa a la que son cedidos. En este sentido, cuando los datos personales recabados a través de Internet vayan a ser comunicados a otras compañías (incluso cuando éstas pertenezcan al mismo grupo empresarial) deberá informarse al usuario, de tal forma que éste pueda conocer explícitamente las finalidades determinadas a las que se destinarán los datos. La información podrá referirse genéricamente a un sector de actividad económica (por ejemplo, servicios financieros,...), sin que puedan admitirse finalidades indeterminadas o no comprensibles para el usuario (por ejemplo, actividad comercial, actividad publicitaria, empresas del grupo...). Asimismo, los usuarios serán convenientemente informados en los casos en los que sus datos vayan a ser comunicados a los responsables de otras webs que pudieran estar vinculadas (por ejemplo, mediante un hiperenlace) con la web a través de la cual son recogidos. En tales casos, se especificará claramente qué datos serán comunicados, así como la identidad y dirección de los cesionarios. Por ejemplo, si tu empresa on-line forma parte de un portal de servicios al que cedes los datos de tus clientes, esta cesión deberá constar con claridad en la política de privacidad o en las condiciones generales de contratación de cada producto.
¿Y si he comprado una empresa on-line? Cuando una compañía transfiere a otra la titularidad de un servicio prestado a través de Internet y esta acción lleva asociado un cambio respecto del responsable del fichero que contiene los datos personales de los usuarios de ese servicio, tal acción puede comportar una cesión de datos. En este caso deberán observarse las previsiones legales y, en especial, la previa obtención del consentimiento de los usuarios. En el caso de que tal acción no comporte una cesión de datos, el nuevo responsable deberá informar convenientemente a los usuarios de modo expreso, preciso e inequívoco de su propia identidad y dirección, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. En este caso, tales datos sólo podrán ser utilizados por el nuevo responsable con las finalidades determinadas, explícitas y legítimas para las que hubieran sido obtenidos por el anterior responsable.
Como siempre, hay múltiples excepciones a estas reglas sobre la cesión (en especial, a favor de las administraciones públicas), pero como empresario privado, te afectarán estas dos:
1) puedes ceder los datos personales que obran en tu poder, sin el consentimiento de sus titulares, cuando los hayas recogido de fuentes accesibles al público (ten en cuenta el último apartado de este mismo epígrafe).
2) puedes ceder los datos personales que obran en tu poder, sin el consentimiento de sus titulares, para el cumplimiento de una relación jurídica (laboral, contractual...) que haga necesaria la cesión de los datos. Esta excepción se refiere a aquellos contratos que impliquen una cesión de datos. Por ejemplo, si tienes una agencia de viajes virtual y alguien (a quien no le importa llegar tarde) reserva un vuelo operado por Iberia, es evidente que si tu no cedes los datos de tu cliente a Iberia difícilmente se podrá llevar a cabo el viaje, es decir: la relación jurídica entre el cliente y tu agencia hace necesaria la cesión.
Tratamiento de datos sensibles
A veces, según el tipo de negocio virtual que hayamos creado, es posible que (incluso sin saberlo) tratemos determinados datos que, por su naturaleza, nos obligan a guardar unas cautelas especiales. Te pondré un ejemplo de ello, sacado de la inspección que la APD hizo en el sector del comercio electrónico hace un par de años (lectura obligatoria). Imagina que montas una tienda virtual. Aunque no tengas intención de recabar del ciudadano datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, comisión de infracciones penales o administrativas), o aunque el ciudadano no declare estas circunstancias acerca de sí mismo, sí es posible presumir (aunque sea erróneamente) algunas de ellas en función de su comportamiento como comprador en Internet. En el caso de las sex-shops vitruales, por ejemplo, los productos eróticos aparecen en ocasiones clasificados de forma que podrían realizarse categorizaciones de los clientes a partir de su historial de compras, que consta en los ficheros de estas compañías. En estos casos el vendedor no recaba del comprador información acerca de sus preferencias sexuales, sino que se limita a dejar constancia en sus ficheros de los productos que el comprador ha solicitado, los cuales pueden ser marcadamente orientativos de unos determinados gustos u orientaciones sexuales, aunque éstos no tengan por qué corresponder necesariamente al comprador. Los ficheros con datos acerca de transacciones de adquisición de determinados productos o servicios (por ejemplo, productos eróticos u ortopédicos) pueden contener en ocasiones un conjunto de datos de carácter personal suficientes que permitan ser tratados para obtener una evaluación de la personalidad del individuo, por ejemplo, una evaluación relativa a su salud o a su vida sexual (que son ámbitos especialmente protegidos). En tales casos este tratamiento sólo podrá realizarse cuando el afectado haya consentido expresamente. A estos efectos, sólo se considera válido un procedimiento en el que el usuario tenga una participación activa, de tal forma que, a través de la web, pueda manifestar expresamente su voluntad de que tales datos sean recabados y tratados.
Comunicaciones con el cliente
Aunque hayamos quedado en que Internet es una fuente de acceso público, hay que tener cuidado de no recopilar e-mails con fines de marketing directo por correo electrónico. No es lícito recopilar direcciones electrónicas en áreas públicas de Internet, tales como foros o grupos de debate, sin conocimiento del interesado. Por lo tanto, estas direcciones no se podrán usar para una finalidad distinta de aquella para la cual se han hecho públicas, en especial, el marketing directo. El uso de las direcciones electrónicas para marketing directo está permitido exclusivamente cuando se hayan recopilado de manera leal y lícita. La recogida leal y lícita implica que los interesados han recibido información sobre la posibilidad de que sus datos se utilicen con fines comerciales de marketing directo y se les ha dado la opción de aceptar dicho uso directamente en el momento de recoger la información (mediante la correspondiente casilla de aceptación, por ejemplo). El envío de mensajes electrónicos con fines promocionales en estas condiciones también irá acompañado de la posibilidad de borrarse de la lista de correo utilizada para ello (y de hacerlo on-line). En lo que respecta al envío de boletines de información, hay que garantizar la aceptación previa de los interesados y asegurarse de que pueden dar efectivamente de baja su suscripción en cualquier momento, lo que implica informarles de esta posibilidad en cada envío del boletín. Aquí, la legislación de protección de datos se entremezcla con la legislación de consumo y con la ley de servicios de la sociedad de la información, que regulan con más detalle el envío de comunicaciones comerciales. Pero esto te lo van a explicar mucho mejor que yo.
Sólo cesiones consentidas
Ejemplo: un portal
Fusiones de ciberempresas
Excepciones al consentimiento para la cesión
Sex-shops virtuales
Datos suficientes para evaluar la personalidad
El uso de los datos para envío de publicidad exige el consentimiento del cliente
El derecho a la protección de datos es un derecho fundamental de la persona. Para los economistas, sin embargo, es vista como una causa de ineficiencia en las acciones de intercambio, en la medida en que implica una asimetría de información. El vendedor de cierto tipo de bienes no conoce los gustos del comprador ni los productos que le interesan. Por su parte, el consumidor sólo quiere informarse de los productos específicos que precisa, y no sobre todos los productos que ofrece el vendedor. De ahí que si el vendedor conoce las preferencias y necesidades personales del consumidor se reducen costes de búsqueda para ambas partes, de modo que la transacción resulta más efectiva. Como he intentado expiclarte en esta lección, hacer negocios on-line supone someterse a una normativa muy rigurosa en materia de datos personales. Pero insisto: la legislación no tiene por qué ser una losa para tu empresa si te organizas bien.
La
mejor forma de cumplir con las exigencias legales es crear tu propia política
de privacidad. Las ventajas de esta opción son que tú eres
quien mejor conoce tu empresa y las prácticas de tratamiento de
datos personales que realizas. En realidad, toda empresa u organización
que decide prestar servicios virtuales debería tener una política
de privacidad integral, sin 'agujeros'.
Esta política debe, primeramente, asegurar a los usuarios que el
tratamiento de sus datos será leal y lícito e indicar las
finalidad o finalidades del tratamiento de datos. Esta información,
en realidad, no implica demasiados costes (lo que dispara costes es el
aspecto interno u organizativo de la protección de datos en la
empresa, sobre todo, las medidas de seguridad). Una vez que hayas redactado
la información necesaria, casi lo único
que tienes que hacer es verificar su coherencia en todos los diversos
‘documentos’ que comprometen a tu sitio web (link ‘protección
de datos personales’, formularios electrónicos, texto relativo
a las condiciones generales de venta y otras comunicaciones comerciales).
Sólo si le informas de lo que haces con sus datos, el cliente confiará
en tu empresa. Si no lo haces, puede que esto no influya (todavía)
en tu volumen de negocios, pero recuerda que cada año habrá
más inspectores en la Agencia... Como
opción adicional, puedes adherirte a un sistema de autorregulación.
Puede que te cueste algún dinero extra, pero creo que merece la
pena. Sobre todo, porque ver un ‘logo’ que indique el cumplimiento
de la ley de protección de datos, o que indique que estas sujeto
a un código tipo en materia de protección de datos, incrementará
la confianza de los consumidores en tu negocio, no sólo en cuanto
a la compra de productos, sino especialmente en cuanto a la información
personal que estarán dispuestos a proporcionarte. Y esto
es, a fin de cuentas, lo que te puede otorgar una ventaja competitiva
en el mercado.
Objetivo: información obtenida lícitamente
Información
Confianza
Política de privacidad
Sistema de autorregulación