Recomendaciones de la agencia de protección de datos al sector del comercio electrónico, para la adecuación de su funcionamiento a la ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

AutorAntonio María Rubio Navarro

ASPECTOS PRÁCTICOS DE LA PROTECCIÓN DE DATOS DE LAS PERSONAS FÍSICAS

Durante los meses de septiembre, octubre y noviembre de 2000, la Agencia de Protección de Datos llevó a cabo una inspección sectorial cuyo objetivo era determinar si las entidades que actualmente desarrollan su actividad comercial a través de Internet cumplen con los principios de la legislación vigente en materia de protección de datos, así como coadyuvar al cumplimiento de la misma, a cuyo efecto el Plan de Inspección culmina con las pertinentes Recomendaciones, en las que se recogen los criterios que han de seguir las entidades inspeccionadas para el mejor cumplimiento de la ley.

En el transcurso de esta inspección se analizaron dos de las modalidades de comercio electrónico en las que el ciudadano tiene una clara participación: la que se establece entre empresa y consumidor (B2C) y la venta directa entre consumidores (C2C). Por otra parte, el análisis se circunscribió a las entidades que comercian a través de la Red, dejando de momento a un lado a aquellas otras que tan sólo disponen de portales generalistas entre cuyos servicios no se ofrece la adquisición on-line de productos o servicios, a pesar de que también estas compañías recaban gran cantidad de datos sobre los usuarios que deciden registrarse. En este sentido, sólo se incluyeron en nuestro análisis algunos portales que sí realizaban actividades de comercio electrónico. Las conclusiones vertidas aquí, por tanto, se han obtenido como resultado de las actuaciones de inspección practicadas en las denominadas “tiendas virtuales”, entendiendo como tales las webs que permiten al usuario la compra, directa o indirectamente, de un producto o servicio, de forma tal que la transacción comercial (a excepción de la entrega del bien adquirido) quede cerrada on-line.

Se analizaron 44 webs desde las que se desarrollaban actividades de comercio electrónico. Considerando la gran diversidad existente en el sector, en la inspección se optó por seleccionar varios representantes de cada uno de los siguientes grupos:

Portales generalistas: webs que, aparte de ofrecer servicios electrónicos como noticias, correo web o foros, incorporan además la venta de productos o servicios en general. Grandes centros comerciales: versión electrónica de algunos grandes centros comerciales (“híper”, “súper”). Tiendas especializadas en la venta de determinados productos y servicios: libros, música, cine, bebidas alcohólicas, viajes, ocio, cosmética, informática o telecomunicaciones. Intermediarios comerciales: webs que no son tiendas propiamente dichas pero desde las cuales el usuario puede seleccionar la tienda virtual que más se adecua a sus necesidades (“buscadores de tiendas”) y también aquéllas otras webs desde las que los usuarios compran y venden sus propios productos siguiendo la modalidad de subasta.

En la totalidad de las webs analizadas se pudo determinar el nombre de la compañía que había registrado el dominio correspondiente en Internet, verificándose por el contrario que no siempre se informaba desde la propia web del nombre del responsable del fichero en el que se incorporan los datos personales recabados. En este sentido, se comprobó también que en 12 de las 44 webs analizadas (27%) no se hacía ninguna referencia a la información que establece el apartado 1 del artículo 5 de la LOPD, mientras que en el resto sí se incluía un texto con el que se pretende cubrir en mejor o peor medida ese requisito legal.

También se verificó que, a la fecha de la inspección, los responsables de 16 de las 44 webs analizadas (36%) no figuraban aún inscritos en el Registro General de Protección de Datos, cuando en la práctica totalidad de los casos resultaba evidente que recababan datos personales desde las citadas webs Se comprobó que, en la mayor parte de los casos, los usuarios deben registrarse con carácter previo a la realización del oportuno pedido, facilitando para ello sus datos identificativos (nombre completo, dirección postal, dirección electrónica, número de teléfono) y, en ocasiones, edad o fecha de nacimiento, número de D.N.I. Una vez registrado, el usuario dispone de un código que le permitirá identificarse (generalmente coincidente con su dirección electrónica) y una contraseña para autenticar su identidad.

De esta forma, al realizar cada pedido sólo tendrá que identificarse, sin necesidad de facilitar en cada ocasión sus datos personales. Generalmente, todas las compras realizadas a través de la web quedarán asociadas al identificador de usuario seleccionado. Por otra parte, si el usuario decide realizar el pago mediante su tarjeta de crédito/débito, cada vez que realiza una compra debe también facilitar el código identificativo de la misma (16 dígitos) y su fecha de caducidad.

En materia de seguridad, de las 44 webs analizadas sólo 24 (54%) utilizaban el protocolo HTTPS (SSL) para establecer un “canal seguro” de comunicación entre el servidor y el usuario para el envío de sus datos personales. Así, los datos se envían cifrados al servidor, de tal forma que, aun en el supuesto de que la línea fuese “escuchada” por terceros no autorizados, éstos no podrían acceder a los datos de forma inteligible. En general, el canal seguro sólo se establece para la recogida de los datos asociados al pedido realizado, entre los que puede figurar, como ya se ha comentado, el código identificativo de la tarjeta de pago. Sin embargo, algunas webs también establecen un canal seguro para la recogida de los datos facilitados por el usuario en el momento de registrarse.

1. CONCLUSIONES DE LA INSPECCIÓN

A continuación, se recopilan algunas de las situaciones más frecuentes o significativas que se han presentado a lo largo de las actuaciones practicadas por la Inspección.

1.1 Responsabilidad del tratamiento de datos de carácter personal

Se ha podido comprobar que en algunas de las tiendas investigadas no se identifica explícitamente al responsable del fichero o tratamiento, lo que deja de alguna forma indefenso al afectado de cara al ejercicio de sus derechos, puesto que, dicha figura jurídica no siempre coincide con la de la entidad o persona que ha registrado el dominio en Internet. Es más, en algunos casos ni siquiera se identifica a ésta última a través de la web, lo que obligaría al afectado a averiguarlo por su cuenta, a través del organismo registrador correspondiente.

Por otra parte, en Internet resulta sencillo navegar entre páginas, de tal forma que con sólo hacer “click” en un icono es posible dejar de visualizar una página ubicada en territorio español para pasar a ver otra página almacenada, por ejemplo, en Estados Unidos. Esta circunstancia hace que, en ocasiones, el usuario crea estar facilitando sus datos personales a una entidad cuando en realidad es otra (radicada probablemente en otro lugar del mundo) la que los está obteniendo, siendo muchos los casos en los que ésta última no se identifica claramente en la web.

1.2 Información facilitada en la recogida de datos

Una de las carencias más notables que se han observado es precisamente la insuficiente información que se facilita al visitante de la tienda en el momento de recabar sus datos personales (cuando el usuario se registra como cliente o cuando efectúa un pedido). Es significativo que en más de la cuarta parte de los casos analizados no se facilite en absoluto la información que prevé la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en su artículo 5, ni se pueda deducir claramente ésta de la naturaleza de los datos personales recabados ni de las circunstancias en que se recaban.

Por otra parte, las fórmulas informativas utilizadas en el resto de los casos tampoco se ajustan siempre a lo que establece la Ley. Como ya se ha mencionado antes, son numerosas las webs en las que no se identifica explícitamente al responsable del fichero o del tratamiento, lo que se agrava especialmente en aquellos casos en los que el usuario accede a una página a través de un hiperenlace.

Además, por las especiales características del mundo Internet, en ocasiones resulta complicado para el usuario distinguir claramente la figura del comerciante (con quien realmente el comprador establece la transacción comercial) de la figura de mero intermediario (que pone en contacto –virtual– a ambos). En este sentido, el usuario debería ser consciente de que, una vez que ha facilitado sus datos, éstos pueden pasar por las manos de los distintos intervinientes en el proceso: el que gestiona los servidores web por cuenta del comerciante, el propio comerciante, el que autoriza la transacción financiera, el que se encarga de emitir los documentos que otorgan la titularidad del producto (por ejemplo, una agencia de viajes), el que se encarga de servir el producto (logística), el que se encarga de prestar la atención al cliente... Dado que no siempre coinciden estas figuras en una misma entidad jurídica, es muy importante que el comprador sepa quién de todos ellos es el que finalmente decidirá sobre el uso y finalidad de sus datos personales.

En relación con el ejercicio de los derechos que asisten al ciudadano, por regla general se facilita un buzón electrónico, a través del cual se reciben las solicitudes, aunque no son pocas las compañías que también hacen constar su dirección postal como medio alternativo.

Finalmente, junto con la información preceptiva, algunas compañías han incorporado un aviso acerca de la colocación de “cookies” en el ordenador del usuario, así como de su finalidad, tal y como prevé el artículo 4 del Código Ético de Protección de Datos Personales en Internet, de la AECE. De esta forma se logra cumplir en mayor medida con el espíritu de la Ley, dado que la información recabada por este procedimiento no es facilitada voluntariamente por el ciudadano, ni se requiere la intervención de éste.

Generalmente, las webs analizadas incorporan la información a la que se refiere el artículo 5 de la LOPD como cláusulas...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR