Merkataritza elektronikoko bezeroen datuen babesa: GDPR betetzea

Sarrera

Bezeroen datuen babesa merkataritza elektronikoko edozein eragilerentzat arazo estrategiko garrantzitsu bat da. 2018ko maiatzaren 25ean Datuak Babesteko Erregelamendu Orokorra (GDPR) indarrean jarri zenetik, merkatari-guneek, mugikorreko salmenta-aplikazioek eta merkatu-esparruek lege-esparru zorrotza errespetatu behar dute, 20 milioi euro edo urteko fakturazio globalaren % 4 arteko zigorrak ezarriz. Arauzko murrizketaz haratago, GDPR betetzeak bezeroen konfiantzaren benetako palanka bat da: Europako kontsumitzaileen % 87k dio ez duela erosiko datuen segurtasuna zalantzan jartzen duen gune batetik. Zutabe-artikulu honek merkatari elektronikoen betebehar zehatzak zehazten ditu baimena, cookie-ak, buletinak eta ordainketa datuen segurtasunari dagokionez.

Adostasuna: GDPR betetzearen oinarria

Adostasuna GDPRren 6. artikuluan aurreikusitako tratamendurako sei legezko oinarrietako bat da. Baliozkoa izateko, 7. artikuluan zehaztutako lau irizpide metagarri bete behar ditu: askea, zehatza, informatua eta anbiguoa izatea. Merkataritza elektronikoaren testuinguruan, horrek esan nahi du Interneteko erabiltzaile batek ezin duela bere baimena produktu bat erostean baldintzatu (askatasun-printzipioa), eta helburu bakoitzari bereizita eman behar diola baimena (marketinaren profila egitea, bazkideekin partekatzea, buletina, etab.).

CNIL-k bere eskakizunak nabarmen indartu ditu 2020az geroztik cookieei eta jarraitzaileei buruzko jarraibideekin. "Guztiak onartu" botoiak erabilerraztasun eta ikusgarritasun baliokide duen "Guztiak ukatu" botoiarekin batera egon behar du orain. Aurrez markatutako laukiak erabat debekatuta daude (CJEU Planet49 epaia, 2019ko urriaren 1ekoa). Merkatari elektronikoek, halaber, denbora zigilatutako baimenaren froga gorde behar dute prozesamenduak irauten duen bitartean, eta hasierako diru-laguntza bezain sinplea kentzea baimendu.

Merkatarien guneetako cookieen eta jarraitzaileen kudeaketa

Merkataritza elektronikoko guneek hirugarrenen 40 eta 60 cookie erabiltzen dituzte batez beste: analisiak, publizitate-birtargeting, sare sozialak, chatbot-ak, A/B testak. Aldatutako Datuak Babesteko Legearen 82. artikuluak aldez aurretik baimena eskatzen du zerbitzua funtzionatzeko guztiz beharrezkoa ez den edozein trackerrentzat. Erosketa saskia, autentifikazio-saioa eta karga orekatzeko cookieak soilik daude salbuetsita.

Adostasuna kudeatzeko plataforma (CMP) bat ezartzea ezinbestekoa bihurtu da. Bisitariari aukerak zehatzak izateko aukera eman behar dio: xedearen araberako onarpena (audientzia neurtzea, pertsonalizazioa, zuzendutako publizitatea) eta hartzailearen arabera. Zigorrak euria ari dira: Google (150 milioi euro), Amazon (35 milioi euro), Facebook (60 milioi euro) 2022an, onartu botoia bezain eskuragarria den uko botoirik ez izateagatik.

Buletina eta merkataritza-prospekzioa: hautapen zorrotza

Buletinak eta sustapen-mezu elektronikoak bidaltzea Posta eta Komunikazio Elektronikoen Kodeko L.34-5 artikuluaren menpe dago, ePrivacy zuzentaraua transposatzen duena. Printzipioa aurreikuspen indibidualentzako aldez aurretiko aukera esplizitua da (B2C). Salbuespen aipagarri bat dago dagoeneko erosketa bat egin duten bezeroentzat: prospekzioa baimenduta dago antzeko produktu edo zerbitzuetarako, baldin eta bilketan jakinarazten baziren eta bidalketa bakoitzari aurka egin badezakete.

Zehazki, "[markaren] eskaintza komertzialak jaso nahi nituzke" laukia lehenespenez desmarkatu behar da eta Baldintzak onartzeaz gain. Mezu elektroniko bakoitzak klik bakarreko harpidetza kentzeko esteka, igorlearen identitatea eta baliozko harremanetarako helbide bat izan behar ditu.

Ordainketa-datuak ziurtatzea

Banku-datuen tratamendua GDPR (segurtasunari buruzko 32. artikulua) eta PCI-DSS (Payment Card Industry Data Security Standard) arauaren menpe dago. Merkatari elektronikoek tokenizazioaren alde egin beharko lukete PCI-DSS 1. maila ziurtagiridun ordainketa-zerbitzu hornitzaile (PSP) bidez, horrela txartelen zenbakiak zuzenean biltegiratzea saihestuz. Autentifikazio sendoa (3D Secure v2) derrigorrezkoa da 2021eko maiatzaren 15etik DSP2 zuzentaraua aplikatuz.

Ikusizko kriptograma (CVV) mantentzea erabat debekatuta dago transakzioa egin ondoren. Txartel-zenbakiak berariazko baimenarekin soilik gorde daitezke, ondorengo erosketak errazteko (CNIL deliberazio zk. 2018-303).

Ondorioa

Merkataritza elektronikoan GDPR betetzea ez da lege-zerrenda bat soilik: bezeroaren harreman digital osoa egituratzen du. Adostasun zehatza, cookieen kudeaketa, prospekzioaren zorroztasuna eta ordainketa seguruen artean, merkatari elektronikoek "diseinuaren araberako pribatutasuna" ikuspegia hartu behar dute bidaiak diseinatzerakoan. Ikuspegi hori, merkataritza-oztopo izatetik urrun, argudio bereizgarri bihurtzen da konfiantza digitalak bihurtze-tasa eta leialtasuna baldintzatzen dituen merkatu batean.