La protección de datos personales en un entorno e-comerce
| Autor | Francisco de Quinto Zumárraga |
| Cargo del Autor | Piqué Abogados Asociados |
10.1. PLANTEAMIENTO DE LA CUESTION. DE NUEVO A VUELTAS CON LA SEGURIDAD
Como ya hemos señalado en el Apartado 2, uno de los factores que obstaculiza la rápida implantación y aceptación de Internet por parte de los usuarios es la dificultad de dotar al entorno de unos niveles mínimos de seguridad. Recordemos la frase; «sin e-confianza no puede existir el e- negocio». Con el propósito de remediar estas carencias se viene trabajando desde hace meses en el ámbito de la Unión Europea y de sus Estados miembros a fin de establecer un marco jurídico suficiente y mínimo para superar los déficits de confianza antes aludidos. En opinión de Ana Palacio, eurodiputada del Partido Popular:
Las prácticas comerciales en la red encuentran un serio obstáculo en Europa, respecto a Estados Unidos, porque los consumidores y las empresas no confían en la seguridad y transparencia de las mismas en este soporte. Precisamente para paliar estas reticencias, el Parlamento Europeo aprobó el 4 de mayo de 2.000 la Directiva sobre los aspectos jurídicos del comercio electrónico.
El Consejo Europeo extraordinario de Lisboa de marzo de 2.000 señalaba la urgencia de disponer de un marco legal común para el comercio electrónico. Ahora sólo queda incorporar los artículos de la directiva a las legislaciones de cada país miembro, los cuales están obligados a hacerlo en los próximos 18 meses. Con esta normativa, las pequeñas y medianas empresas y los consumidores «no tendrán que ir a 15 ordenamientos jurídicos».
La directiva es aplicable a todas las actividades comerciales en la red, con y sin remuneración: venta de mercancías, oferta de información, comunicaciones comerciales, servicios de búsqueda y recopilación de datos, vídeo a la carta, mercadotecnia directa, y servicios de acceso a Internet.
Los socios europeos consideran básico el impulso del comercio electrónico en las pequeñas y medianas empresas para la creación de empleo.
A pesar de que la Directiva dispone una transposición obligatoria a las normativas de todos los Estados miembros en un plazo máximo de 18 meses, lo cierto es que en febrero de 2.002 el Gobierno español ha aprobado definitivamente el texto del proyecto de ley conocida como Ley de Servicios de la Sociedad de la Información y del Correo Electrónico (más conocida como LSSI) con lo que es manifiesto el incumplimiento del plazo ordenado. Mucha y amplia va a ser la incidencia de esta futura norma en el desarrollo e implantación de Internet. Uno de los aspectos que contempla, como no podía ser menos, hace referencia a los aspectos de la «confidencialidad de los datos personales» y la correspondiente «intimidad de los usuarios». Esta referencia se centra en remitir las diferentes problemáticas a la legislación vigente en España sobre Protección de Datos Personales. En tanto en cuanto no se disponga del texto legal definitivo de la LSSI nos vemos limitados a hacer referencia a los diferentes estudios y recomendaciones elaborados hasta la fecha por la Agencia de Protección de Datos (APD). Transcribimos estos documentos por su importancia a los efectos de los fines que persigue este manual. Los documentos son públicos y se puede acceder a ellos a través del web–site de la APD (www.agenciaprotecciondatos.org).
10.2. INSPECCION DE LA AGENCIA DE PROTECCION DE DATOS SOBRE EL SECTOR DEL e-COMMERCE EN ESPAÑA.
Durante los meses de septiembre, octubre y noviembre de 2000, la Agencia de Protección de Datos llevó a cabo una inspección sectorial cuyo objetivo era determinar si las entidades que actualmente desarrollan su actividad comercial a través de Internet cumplen con los principios de la legislación vigente en materia de protección de datos, así como coadyuvar al cumplimiento de la misma, a cuyo efecto el Plan de Inspección culmina con las pertinentes Recomendaciones, en las que se recogen los criterios que han de seguir las entidades inspeccionadas para el mejor cumplimiento de la ley.
En el transcurso de esta inspección se analizaron dos de las modalidades de comercio electrónico en las que el ciudadano tiene una clara participación: la que se establece entre empresa y consumidor (B2C) y la venta directa entre consumidores (C2C). Por otra parte, el análisis se circunscribió a las entidades que comercian a través de la Red, dejando de momento a un lado a aquellas otras que tan sólo disponen de portales generalistas entre cuyos servicios no se ofrece la adquisición on-line de productos o servicios, a pesar de que también estas compañías recaban gran cantidad de datos sobre los usuarios que deciden registrarse. En este sentido, sólo se incluyeron en nuestro análisis algunos portales que sí realizaban actividades de comercio electrónico. Las conclusiones vertidas aquí, se han obtenido como resultado de las actuaciones de inspección practicadas en las denominadas «tiendas virtuales», entendiendo como tales las webs que permiten al usuario la compra, directa o indirectamente, de un producto o servicio, de forma tal que la transacción comercial (a excepción de la entrega del bien adquirido) quede cerrada on-line.
Se analizaron 44 webs desde las que se desarrollaban actividades de comercio electrónico.
En la totalidad de las webs analizadas se pudo determinar el nombre de la compañía que había registrado el dominio correspondiente en Internet, verificándose por el contrario que no siempre se informaba desde la propia web del nombre del responsable del fichero en el que se incorporan los datos personales recabados. En este sentido, se comprobó también que en 12 de las 44 webs analizadas (27%) no se hacía ninguna referencia a la información que establece como obligatoria el apartado 1 del artículo 5 de la LOPD, mientras que en el resto sí se incluía un texto con el que se pretende cubrir en mejor o peor medida ese requisito legal.
También se verificó que, a la fecha de la inspección, los responsables de 16 de las 44 webs analizadas (36%) no figuraban aún inscritos en el Registro General de Protección de Datos, cuando en la práctica totalidad de los casos resultaba evidente que recababan datos personales desde las citadas webs.
Se comprobó que, en la mayor parte de los casos, los usuarios deben registrarse con carácter previo a la realización del oportuno pedido, facilitando para ello sus datos identificativos (nombre completo, dirección postal, dirección electrónica, número de teléfono) y, en ocasiones, edad o fecha de nacimiento, número de D.N.I. Una vez registrado, el usuario dispone de un código que le permitirá identificarse (generalmente coincidente con su dirección electrónica) y una contraseña para autenticar su identidad. De esta forma, al realizar cada pedido sólo tendrá que iden- tificarse, sin necesidad de facilitar en cada ocasión sus datos personales. G e n eralmente, todas las compras realizadas a través de la web quedarán asociadas al identificador de usuario seleccionado. Por otra parte, si el usuario decide realizar el pago mediante su tarjeta de crédito/débito, cada vez que realiza una compra debe también facilitar el código identificativo de la misma (16 dígitos) y su fecha de caducidad.
En materia de seguridad, de las 44 webs analizadas sólo 24 (54%) utilizaban el protocolo HTTPS SSL para establecer un «canal seguro» de comunicación entre el servidor y el usuario para el envío de sus datos personales. Así, los datos se envían cifrados al servidor, de tal forma que, aun en el supuesto de que la línea fuese «escuchada» por terceros no autorizados, éstos no podrían acceder a los datos de forma inteligible. En general, el canal seguro sólo se establece para la recogida de los datos asociados al pedido realizado, entre los que puede figurar, como ya se ha comentado, el código identificativo de la tarjeta de pago. Sin embargo, algunas webs también establecen un canal seguro para la recogida de los datos facilitados por el usuario en el momento de registrarse.
10.3. CONCLUSIONES DE LA INSPECCION
A continuación, se recopilan algunas de las situaciones más frecuentes o significativas que se han presentado a lo largo de las actuaciones practicadas por la Inspección.
-
Responsabilidad del tratamiento de datos de carácter personal
Se ha podido comprobar que en algunas de las tiendas investigadas no se identifica explícitamente al responsable del fichero o tratamiento, lo que deja de alguna forma indefenso al afectado de cara al ejercicio de sus derechos, puesto que dicha figura jurídica no siempre coincide con la de la entidad o persona que ha registrado el dominio en Internet. Es más, en algunos casos ni siquiera se identifica a ésta última a través de la web, lo que obligaría al afectado a averiguarlo por su cuenta, a través del organismo registrador correspondiente.
Por otra parte, en Internet resulta sencillo navegar entre páginas, de tal forma que con sólo hacer «click» en un icono es posible dejar de visualizar una página ubicada en territorio español para pasar a ver otra página almacenada, por ejemplo, en Estados Unidos. Esta circunstancia hace que, en ocasiones, el usuario crea estar facilitando sus datos personales a una entidad cuando en realidad es otra la que los está obteniendo (radicada probablemente en otro lugar del mundo), siendo muchos los casos en los que ésta última no se identifica claramente en la web.
-
Información facilitada en la recogida de datos
Una de las carencias más notables que se ha observado es precisamente la insuficiente información que se facilita al visitante de la tienda en el momento de recabar sus datos personales (cuando el usuario se registra como cliente o cuando efectúa un pedido). Es significativo que en más de la cuarta parte de los casos analizados no se facilite en absoluto la información que prevé la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en su artículo 5, ni se pueda deducir claramente ésta de la naturaleza de los datos personales recabados ni de las circunstancias en que se recaban.
Por otra parte, las...
Para continuar leyendo
Solicita tu prueba