Protección de datos de clientes de comercio electrónico: cumplimiento del RGPD

Introducción

La protección de los datos de los clientes constituye una cuestión estratégica importante para cualquier actor del comercio electrónico. Desde la entrada en vigor del Reglamento General de Protección de Datos (GDPR) el 25 de mayo de 2018, los sitios comerciales, las aplicaciones de venta móvil y los mercados deben respetar un estricto marco legal bajo pena de sanciones de hasta 20 millones de euros o el 4% de la facturación global anual. Más allá de las limitaciones reglamentarias, el cumplimiento del RGPD representa una verdadera palanca de confianza del cliente: el 87% de los consumidores europeos dicen que no comprarán en un sitio donde dudan de la seguridad de sus datos. Este artículo pilar detalla las obligaciones concretas de los minoristas electrónicos en términos de consentimiento, cookies, boletines informativos y seguridad de los datos de pago.

Consentimiento: piedra angular del cumplimiento del RGPD

El consentimiento constituye una de las seis bases jurídicas para el tratamiento previstas en el artículo 6 del RGPD. Para ser válido, debe cumplir cuatro criterios acumulativos definidos en el artículo 7: ser libre, específico, informado e inequívoco. En el contexto del comercio electrónico, esto significa que un internauta no puede condicionar su consentimiento a la compra de un producto (principio de libertad) y que debe poder dar su consentimiento por separado para cada finalidad (elaboración de perfiles de marketing, intercambio con socios, newsletter, etc.).

La CNIL ha reforzado considerablemente sus requisitos desde 2020 con sus directrices sobre cookies y rastreadores. El botón “Aceptar todo” ahora debe ir acompañado de un botón “Rechazar todo” de accesibilidad y visibilidad equivalente. Está estrictamente prohibido marcar casillas previamente (sentencia TJUE Planet49, 1 de octubre de 2019). Los comerciantes electrónicos también deben conservar una prueba de consentimiento con sello de tiempo durante el procesamiento y permitir un retiro tan simple como el otorgamiento inicial.

Gestión de cookies y rastreadores en sitios comerciales

Los sitios de comercio electrónico utilizan una media de 40 a 60 cookies de terceros: análisis, retargeting publicitario, redes sociales, chatbots, pruebas A/B. El artículo 82 de la Ley de Protección de Datos modificada exige el consentimiento previo para cualquier rastreador que no sea estrictamente necesario para el funcionamiento del servicio. Sólo están exentas las cookies de carrito de compras, sesión de autenticación y equilibrio de carga.

Configurar una plataforma de gestión de consentimiento (CMP) compatible se ha vuelto esencial. Debe permitir al visitante ser granular en sus elecciones: aceptación por propósito (medición de audiencia, personalización, publicidad dirigida) y por destinatario. Llueven las sanciones: Google (150 millones de euros), Amazon (35 millones de euros), Facebook (60 millones de euros) en 2022 por la falta de un botón de rechazo tan accesible como el de aceptar.

Newsletter y prospección comercial: opt-in riguroso

El envío de newsletters y correos electrónicos promocionales se enmarca en el artículo L.34-5 del Código de Comunicaciones Postales y Electrónicas, que transpone la directiva ePrivacy. El principio es el del opt-in previo explícito para prospectos individuales (B2C). Existe una excepción notable para los clientes que ya han realizado una compra: se autoriza la prospección de productos o servicios similares, siempre que hayan sido informados durante la recogida y puedan oponerse a cada envío.

En concreto, la casilla “Me gustaría recibir ofertas comerciales de [marca]” debe estar desmarcada de forma predeterminada y distinta de la aceptación de los TyC. Cada correo electrónico debe incluir un enlace funcional para cancelar la suscripción con un solo clic, la identidad del remitente y una dirección de contacto válida.

Protección de los datos de pago

El procesamiento de datos bancarios se rige tanto por el RGPD (artículo 32 sobre seguridad) como por el estándar PCI-DSS (Estándar de seguridad de datos de la industria de tarjetas de pago). Los comerciantes electrónicos deberían favorecer la tokenización a través de un proveedor de servicios de pago (PSP) certificado PCI-DSS nivel 1, evitando así el almacenamiento directo de números de tarjetas. La autenticación fuerte (3D Secure v2) es obligatoria desde el 15 de mayo de 2021 en aplicación de la directiva DSP2.

Está estrictamente prohibido conservar el criptograma visual (CVV) después de la transacción. Los números de tarjeta sólo pueden conservarse con consentimiento expreso para facilitar compras posteriores (deliberación CNIL n. 2018-303).

Conclusión

El cumplimiento del RGPD en el comercio electrónico no es sólo una lista de verificación legal: estructura toda la relación digital con el cliente. Entre el consentimiento granular, la gestión de cookies, el rigor en la prospección y los pagos seguros, los minoristas electrónicos deben adoptar un enfoque de "privacidad por diseño" al diseñar sus viajes. Este enfoque, lejos de ser un obstáculo comercial, se convierte en un argumento diferenciador en un mercado donde la confianza digital condiciona la tasa de conversión y la fidelización.