Protección de datos personales en compras online: obligaciones del vendedor y derechos del comprador

Comprar por internet ya no es una novedad, sino una práctica habitual. Millones de usuarios introducen cada día sus datos personales en plataformas de eCommerce para adquirir productos o servicios. Esta realidad obliga a los titulares de tiendas online a cumplir estrictamente con la normativa de protección de datos, que no solo impone obligaciones técnicas, sino también jurídicas y organizativas.

En este artículo vamos a explicarte qué implica esta normativa para los vendedores y qué derechos asisten a los compradores frente al uso de su información personal. Un mal uso de esta información, o la ausencia de medidas de seguridad adecuadas, puede acarrear consecuencias legales importantes.

El comercio electrónico y la normativa aplicable: RGPD, LOPDGDD, LSSI-CE y LGDCU

Cualquier tienda online que opere en España, o que dirija sus servicios a ciudadanos residentes en la Unión Europea, debe cumplir como mínimo con cuatro normas fundamentales:

• Reglamento General de Protección de Datos (RGPD): norma europea que rige todo tratamiento de datos personales, incluyendo la obtención de consentimiento, derechos del interesado y medidas de seguridad.
• Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD): norma española que complementa el RGPD.
• Ley 34/2002 de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI-CE): regula el comercio electrónico y las comunicaciones comerciales.
• Ley General para la Defensa de los Consumidores y Usuarios (LGDCU): impone condiciones específicas de transparencia y contratación electrónica.

Estas leyes forman el marco regulador que debe respetar cualquier comercio electrónico, y cuyo incumplimiento puede conllevar sanciones económicas severas o incluso responsabilidad penal.

¿Qué datos personales se recogen en una tienda online?

Cuando realizamos una compra online, normalmente facilitamos y se recopilan los siguientes datos:

• Datos identificativos (nombre, apellidos, DNI)
• Datos de contacto (correo electrónico, dirección postal, teléfono)
• Datos bancarios (número de tarjeta, IBAN)
• Información sobre las preferencias de consumo, historial de compras o navegación

Todos estos datos permiten identificar directa o indirectamente a una persona física, por lo que se consideran datos personales según el artículo 4.1 del RGPD.

Obligaciones legales del vendedor en una tienda online

1. Principio de licitud, lealtad y transparencia

Desde el momento en que un eCommerce recoge datos personales de sus clientes, debe cumplir los principios de licitud, transparencia y uso limitado a su finalidad, establecido en el artículo 5.1.a) del RGPD. Esto implica informar de forma clara, accesible y comprensible sobre qué datos se recogen, con qué finalidad se utilizarán, quién será el responsable del tratamiento y durante cuánto tiempo se conservarán.

2. Información y transparencia: los textos legales obligatorios

Para cumplir el deber anterior, el vendedor debe poner a disposición del usurario una política de privacidad en su sitio web, de forma clara, visible y accesible, antes de que el comprador proporcione cualquier dato. Esta política debe recoger, al menos:

1. 1. Aviso legal

Debe incluir la identificación del responsable del tratamiento (normalmente, la empresa vendedora), NIF, dirección, datos de contacto y registro mercantil si corresponde. Es obligatorio conforme a la LSSI-CE.

1. 2. Política de privacidad

Debe informar al usuario sobre:

• • Finalidad del tratamiento.
  • Base jurídica y legitimación legal (como el consentimiento del interesado o la ejecución de un contrato).
  • Responsable del tratamiento.
  • Destinatarios de los datos.
  • Posibles cesiones o transferencias internacionales.
  • Tiempo de conservación.
  • Derechos del usuario y forma de ejercerlos.
  • Contacto del Delegado de Protección de Datos, si lo hay.

Además, en cada formulario debe incluirse una primera capa de información y un checkbox desmarcado donde el usuario consienta expresamente la política de privacidad, con un enlace a su texto completo.

1. 3. Política de cookies

Cualquier uso de cookies no técnicas requiere consentimiento expreso del usuario. Este se recoge mediante un banner emergente que permite aceptarlas, rechazarlas o configurar su uso.

No se pueden instalar cookies antes de obtener el consentimiento, salvo las estrictamente necesarias para el funcionamiento del sitio (por ejemplo, para el carrito de la compra).

1. 4. Condiciones generales de venta

Estas condiciones deben ser accesibles antes del inicio del proceso de compra y deben detallar:

• • Precios (con impuestos y gastos desglosados)
  • Formas de pago y entrega
  • Plazos y condiciones de devolución
  • Solución de conflictos y garantías
  • Idioma del contrato
  • Medios para ejercer derechos de cancelación

Además, debe incorporarse un checkbox obligatorio y desmarcado en el proceso de compra: “Acepto las condiciones generales de venta”.

La confirmación del pedido debe enviarse al cliente mediante email o mostrarse en pantalla, tal y como exige el artículo 28 de la LSSI-CE.

3. Base jurídica del tratamiento de datos

Todo tratamiento de datos debe estar amparado por una base legal (artículo 6 del RGPD). En el caso de las compras online, las más habituales son:

• La ejecución de un contrato: es el caso de los datos necesarios para gestionar el pedido (nombre, dirección, etc.).
• El consentimiento del interesado: por ejemplo, para el envío de comunicaciones comerciales no relacionadas con la compra.
• El cumplimiento de obligaciones legales: como la facturación o la conservación de datos durante los plazos exigidos por la legislación tributaria y mercantil.

El vendedor no puede utilizar los datos para finalidades distintas a las informadas, salvo que cuente con una nueva base legal y lo comunique adecuadamente.

4. Consentimiento expreso: no basta con el consentimiento tácito

El consentimiento debe ser expreso, libre, informado, específico y verificable. No basta con una cláusula oculta o con el consentimiento implícito. Por ejemplo:

• En formularios de contacto o suscripción debe habilitarse un checkbox desmarcado.
• En el uso de cookies, debe activarse un panel de preferencias configurables.

5. Medidas de seguridad

El responsable del tratamiento está obligado a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto implica:

• Navegación segura en la web mediante HTTPS y certificado SSL
• Cifrado de datos en tránsito y en reposo
• Autenticación en dos pasos para accesos internos
• Evaluaciones de impacto en protección de datos si se tratan datos sensibles o a gran escala.
• Registros de actividades de tratamiento.
• Auditorías y políticas internas de privacidad.

Además, el responsable de tratamiento tiene la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) cualquier violación de seguridad que comprometa los datos personales, en un plazo máximo de 72 horas (artículo 33 del RGPD).

6. Contratos con terceros

Cuando el vendedor contrata servicios externos (por ejemplo, plataformas de pago, empresas de logística, servicios de email marketing, etc.), debe formalizar con cada proveedor un contrato de encargo de tratamiento conforme al artículo 28 del RGPD. Dichos encargados solo pueden tratar los datos siguiendo instrucciones del responsable, y deben ofrecer garantías suficientes en materia de seguridad.

En dicho contrato deben especificarse:

• Las instrucciones del responsable
• Las medidas de seguridad
• Las condiciones de subcontratación
• Los derechos del encargado ante incidencias

7. Designación del Delegado de Protección de Datos

Es obligatoria cuando el tratamiento de datos se realiza a gran escala o incluye categorías especiales de datos (artículo 37 RGPD y art. 34 LOPDGDD). Aunque no siempre es obligatorio, sí es recomendable para tiendas de cierto volumen o complejidad.

Derechos del comprador como titular de los datos

El comprador puede ejercer en cualquier momento los derechos reconocidos por el RGPD y la LOPDGDD:

1. Derecho de acceso

Cualquier comprador tiene derecho a saber si el vendedor está tratando sus datos personales, qué información concreta posee, de dónde procede, con qué finalidad se trata y si se han comunicado a terceros.

2. Derecho de rectificación

Si el comprador detecta que sus datos son inexactos o están incompletos, puede exigir su rectificación o corrección.

3. Derecho de supresión (“derecho al olvido”)

En determinadas circunstancias, como cuando los datos ya no son necesarios para la finalidad para la que fueron recabados o cuando se haya retirado el consentimiento, el interesado puede solicitar la supresión de sus datos.

Este derecho tiene sus límites: no podrá ejercerse, por ejemplo, cuando exista una obligación legal de conservar los datos (por ejemplo, facturas durante 6 años según el Código de Comercio).

4. Derecho a la limitación del tratamiento

Este derecho permite al comprador impedir el uso de los datos salvo para su conservación.

5. Derecho a la portabilidad

Cuando el tratamiento se basa en el consentimiento o en un contrato, y se realiza por medios automatizados, el comprador puede solicitar que sus datos le sean entregados en un formato estructurado o que se transmitan directamente a otro responsable.

6. Derecho de oposición

El comprador puede oponerse a que sus datos sean utilizados, por ejemplo, con fines de marketing directo. Esta oposición debe ser posible en cualquier momento y de forma gratuita.

7. Derecho a no ser objeto de decisiones automatizadas

En compras online, donde a veces se aplican técnicas de perfilado automatizado para ofrecer productos personalizados o fijar precios, el usuario tiene derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados, cuando estas produzcan efectos jurídicos o le afecten significativamente.

8. Derecho de retirada del consentimiento

Puede hacerlo en cualquier momento, y con efectos inmediatos

El ejercicio de estos derechos debe ser gratuito y gestionado en un plazo máximo de un mes, prorrogable en casos complejos.

Protección de datos y menores de edad

En España, el consentimiento para el tratamiento de datos personales puede prestarse a partir de los 14 años. Por debajo de esa edad, se requiere autorización expresa de los padres o tutores (artículo 7 de la LOPDGDD).

Cualquier tienda online que se dirija a menores debe establecer mecanismos efectivos de verificación de la edad y de consentimiento parental.

¿Qué puede hacer el comprador si se vulnera su derecho a la protección de datos?

El comprador puede ejercer sus derechos dirigiéndose al responsable del tratamiento, quien debe responder en un plazo máximo de un mes (prorrogable en casos complejos). Si no hay respuesta o esta no es satisfactoria, el comprador puede presentar una reclamación ante la AEPD.

Asimismo, el RGPD reconoce el derecho a reclamar una indemnización por los daños y perjuicios sufridos como consecuencia de una infracción en materia de protección de datos (artículo 82 del RGPD).

Sanciones por incumplimiento: ¿a qué se arriesga el vendedor?

Las consecuencias para un vendedor online que no cumpla con la normativa pueden ser muy graves. Las infracciones se clasifican en leves, graves y muy graves a AEPD puede imponer sanciones económicas de hasta 20 millones de euros o el 4% del volumen de negocio global anual.

Si se vulneran obligaciones previstas en la LSSI-CE o en la LGDCU, pueden concurrir además responsabilidades penales para la empresa o sus administradores.

En conclusión:

Las compras online han facilitado la vida de millones de consumidores, pero también han hecho más necesario que nunca proteger adecuadamente sus datos personales. Las empresas que operan en internet deben asumir que el cumplimiento del RGPD y las demás leyes aplicables no es opcional, sino una obligación legal con importantes consecuencias.

Si tienes una tienda online, revisa todos tus procesos, textos legales, formularios y medidas de seguridad. Cumplir la normativa de protección de datos no solo evita sanciones, sino que aumenta la confianza del consumidor y protege la reputación de tu negocio.