Protección datos clientes e-commerce: Cumplimiento RGPD

Introducción

La protección de datos de clientes constituye un desafío estratégico clave para todo actor del e-commerce. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, los sitios de comercio electrónico, aplicaciones móviles de venta y marketplaces deben cumplir con un marco jurídico estricto bajo pena de sanciones que pueden alcanzar 20 millones de euros o el 4% de la facturación anual mundial. Más allá de la restricción regulatoria, el cumplimiento del RGPD representa un verdadero elemento impulsor de confianza del cliente: el 87% de los consumidores europeos afirman no comprar en un sitio del cual dudan de la seguridad de los datos. Este artículo fundamental detalla las obligaciones concretas de los e-commerçants en materia de consentimiento, cookies, newsletters y securización de datos de pago.

El consentimiento: piedra angular del cumplimiento RGPD

El consentimiento constituye una de las seis bases legales de tratamiento previstas en el artículo 6 del RGPD. Para ser válido, debe responder a cuatro criterios cumulativos definidos en el artículo 7: ser libre, específico, informado e inequívoco. En el contexto del e-commerce, esto significa que un internauta no puede ver su consentimiento condicionado a la compra de un producto (principio de libertad), y debe poder consentir de forma separada para cada finalidad (perfilado comercial, intercambio con socios, newsletter, etc.).

La CNIL ha reforzado considerablemente sus exigencias desde 2020 con sus directrices sobre cookies y rastreadores. El botón "Aceptar todo" debe acompañarse ahora de un botón "Rechazar todo" con accesibilidad y visibilidad equivalentes. Las casillas pre-marcadas están estrictamente prohibidas (sentencia TJUE Planet49, 1 de octubre de 2019). Los e-commerçants deben también conservar una prueba con fecha y hora del consentimiento durante toda la duración del tratamiento, y permitir un retiro tan simple como el otorgamiento inicial.

Gestión de cookies y rastreadores en sitios de comercio electrónico

Los sitios de e-commerce utilizan en promedio 40 a 60 cookies de terceros: analytics, retargeting publicitario, redes sociales, chatbots, pruebas A/B. El artículo 82 de la Ley Informática y Libertades modificada impone un consentimiento previo para todo rastreador no estrictamente necesario para el funcionamiento del servicio. Solo las cookies de carrito, sesión de autenticación y equilibrio de carga se benefician de una exención.

La implementación de una Consent Management Platform (CMP) conforme se ha vuelto indispensable. Debe permitir al visitante granularidad en sus opciones: aceptación por finalidad (medición de audiencia, personalización, publicidad dirigida) y por destinatario. Las sanciones llueven: Google (150M€), Amazon (35M€), Facebook (60M€) en 2022 por falta de botón de rechazo tan accesible como el botón aceptar.

Newsletter y prospección comercial: el opt-in riguroso

El envío de newsletters y emails promocionales corresponde al artículo L.34-5 del Código de Correos y Comunicaciones Electrónicas, transponiendo la directiva ePrivacy. El principio es el del opt-in previo explícito para prospectos particulares (B2C). Existe una excepción notable para clientes que ya han realizado una compra: la prospección está autorizada para productos o servicios análogos, a condición de que hayan sido informados durante la recopilación y puedan oponerse a cada envío.

En concreto, la casilla "Deseo recibir las ofertas comerciales de [marca]" debe estar desmarcada por defecto y distinta de la aceptación de las Condiciones Generales de Venta. Cada email debe contener un enlace de desuscripción funcional en un clic, la identidad del remitente y una dirección de contacto válida.

Securización de datos de pago

El tratamiento de datos bancarios se rige tanto por el RGPD (artículo 32 sobre seguridad) como por el estándar PCI-DSS (Payment Card Industry Data Security Standard). Los e-commerçants deben privilegiar la tokenización a través de un proveedor de servicios de pago (PSP) certificado en PCI-DSS nivel 1, evitando así el almacenamiento directo de números de tarjeta. La autenticación fuerte (3D Secure v2) es obligatoria desde el 15 de mayo de 2021 en aplicación de la directiva DSP2.

La conservación del criptograma visual (CVV) está formalmente prohibida después de la transacción. Los números de tarjeta solo pueden conservarse con un consentimiento expreso para facilitar compras posteriores (deliberación CNIL n°2018-303).

Conclusión

El cumplimiento del RGPD en el e-commerce no se resume a una lista de verificación jurídica: estructura el conjunto de la relación con el cliente digital. Entre consentimiento granular, gestión de cookies, rigor en la prospección y securización de pagos, los e-commerçants deben adoptar un enfoque "privacy by design" desde el diseño de sus recorridos. Este enfoque, lejos de ser un obstáculo comercial, se convierte en un argumento diferenciador en un mercado donde la confianza digital condiciona la tasa de conversión y la fidelización.