Protecció de dades de clients de comerç electrònic: compliment del GDPR

Introducció

La protecció de les dades dels clients constitueix una qüestió estratègica important per a qualsevol jugador del comerç electrònic. Des de l'entrada en vigor del Reglament General de Protecció de Dades (GDPR) el 25 de maig de 2018, els llocs comercials, les aplicacions de venda mòbil i els mercats han de respectar un marc legal estricte sota pena de sancions de fins a 20 milions d'euros o el 4% de la facturació global anual. Més enllà de la limitació normativa, el compliment del GDPR representa una autèntica palanca de confiança del client: el 87% dels consumidors europeus diuen que no compraran en un lloc on dubten de la seguretat de les dades. Aquest article pilar detalla les obligacions concretes dels minoristes electrònics en termes de consentiment, galetes, butlletins i seguretat de les dades de pagament.

Consentiment: pedra angular del compliment del GDPR

El consentiment constitueix una de les sis bases legals per al tractament previstes a l'article 6 del GDPR. Per ser vàlid, ha de complir quatre criteris acumulatius definits a l'article 7: ser lliure, específic, informat i inequívoc. En el context del comerç electrònic, això vol dir que un usuari d'Internet no pot tenir el seu consentiment condicionat a la compra d'un producte (principi de llibertat), i que ha de poder consentir per separat a cada finalitat (perfil de màrqueting, compartir amb socis, butlletí, etc.).

La CNIL ha reforçat considerablement els seus requisits des del 2020 amb les seves directrius sobre cookies i trackers. El botó "Acceptar-ho tot" ara ha d'anar acompanyat d'un botó "Rebutja-ho tot" d'accessibilitat i visibilitat equivalents. Les caselles marcades prèviament estan estrictament prohibides (sentència del TJUE Planet49, 1 d'octubre de 2019). Els comerciants electrònics també han de conservar una prova de consentiment marcada amb l'hora durant la durada del processament i permetre la retirada tan senzilla com la subvenció inicial.

Gestió de cookies i rastrejadors en llocs de comerciants

Els llocs de comerç electrònic utilitzen de mitjana entre 40 i 60 galetes de tercers: analítiques, retargeting publicitari, xarxes socials, chatbots, proves A/B. L'article 82 de la Llei de protecció de dades modificada requereix el consentiment previ per a qualsevol rastrejador no estrictament necessari per al funcionament del servei. Només estan exemptes les galetes del carretó de la compra, la sessió d'autenticació i l'equilibri de càrrega.

Configurar una plataforma de gestió del consentiment (CMP) ha esdevingut essencial. Ha de permetre al visitant ser granular en les seves eleccions: acceptació per propòsit (mesura de l'audiència, personalització, publicitat dirigida) i per destinatari. Plouen les sancions: Google (150 milions d'euros), Amazon (35 milions d'euros), Facebook (60 milions d'euros) el 2022 per la manca d'un botó de denegació tan accessible com el botó d'acceptar.

Newsletter i prospecció comercial: opt-in rigorós

L'enviament de newsletters i correus electrònics promocionals s'emmarca en l'article L.34-5 del Codi Postal i de les Comunicacions Electròniques, que transposa la directiva ePrivacy. El principi és el de la subscripció prèvia explícita per a clients potencials individuals (B2C). Hi ha una excepció notable per als clients que ja han fet una compra: s'autoritza la prospecció de productes o serveis similars, sempre que s'hagin informat durant la recollida i puguin oposar-se a cada enviament.

Concretament, la casella "M'agradaria rebre ofertes comercials de [marca]" ha d'estar desmarcada per defecte i diferent de l'acceptació dels T&C. Cada correu electrònic ha d'incloure un enllaç de cancel·lació de subscripció amb un sol clic, la identitat del remitent i una adreça de contacte vàlida.

Seguretat de les dades de pagament

El tractament de les dades bancàries s'inclou tant al GDPR (article 32 sobre seguretat) com a l'estàndard PCI-DSS (Payment Card Industry Data Security Standard). Els comerciants electrònics haurien d'afavorir la tokenització mitjançant un proveïdor de serveis de pagament (PSP) certificat PCI-DSS de nivell 1, evitant així l'emmagatzematge directe dels números de targeta. L'autenticació forta (3D Secure v2) és obligatòria des del 15 de maig de 2021 en aplicació de la directiva DSP2.

Conservar el criptograma visual (CVV) està estrictament prohibit després de la transacció. Els números de targeta només es poden conservar amb el consentiment exprés per facilitar les compres posteriors (deliberació CNIL núm. 2018-303).

Conclusió

El compliment del GDPR en el comerç electrònic no és només una llista de verificació legal: estructura tota la relació digital amb el client. Entre el consentiment granular, la gestió de galetes, el rigor en la prospecció i els pagaments segurs, els minoristes electrònics han d'adoptar un enfocament de "privadesa per disseny" a l'hora de dissenyar els seus viatges. Aquest plantejament, lluny de ser un obstacle comercial, esdevé un argument diferenciador en un mercat on la confiança digital condiciona la taxa de conversió i la fidelitat.