Diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar “porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el “Aviso legal“: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas “Condiciones de Servicio:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ’supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la “Política de Privacidad: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las “Cookies”: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un “Documento de Seguridad” exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Agosto 27, 2014

Nueva ‘Ley de Cookies’ y navegadores

Archivado en: Comercio Electrónico, Informática, Propiedad Intelectual e Industrial — Etiquetas: , , , — legisconsulting @ 09:41

La nueva Ley de Telecomunicaciones aprovechó sus Disposiciones Derogatorias para meterse en jardines que no le son propios y modificar, entre otras, la ‘Ley de Cookies’

El cambio en la ‘Ley’

Como ya sabe todo el mundo, la ‘Ley de Cookies’ no es una Ley, sino el artículo 22.2 de la LSSI

Antes se permitía prestar en consentimiento del usuario a las Cookies mediante la configuración de su navegador para que de forma automática las admitiera siempre que ello proviniera de una acción expresa por parte del usuario en esta sentido.

Ahora se elimina el requerimiento de tal acción expresa por parte del usuario.

Pero como es más fácil mostrarlo que explicarlo, a continuación la ‘Ley’ en su redacción antigua y en color azul la parte eliminada en la reforma (el resto queda igual):

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

¿Supone algún cambio?

Desde mi punto de vista vaya por delante que entiendo que no.

Parece que se está eliminando la exigencia de una acción ‘expresa‘ del usuario modificando la configuración de su navegador, pero no es realmente así.

En primer lugar porque se mantiene el texto del párrafo primero que exige el consentimiento del usuario, lo que junto a la referencia a la LOPD determina que tal consentimiento sea expreso y previo para algunos tipos de cookies que no corresponde aquí analizar.

En segundo lugar por lo que hay detrás de la ‘Ley’ y que utilizará la AGPD para establecer la interpretación de la norma y cuando se estará vulnerando y proceda imponer una sanción.

Y en este sentido, la AGPD tendrá que acudir a Grupo de Trabajo de la Comisión Europea creado por la Directiva 95/46/CE de protección de datos como órgano consultivo para armonizar la interpretación de la normativa en toda Europa. Y este órgano ya ha interpretado que el consentimiento del usuario sólo se entenderá prestado a través de la configuración de los buscadores u otras aplicaciones cuando por defecto estos rechacen cookies de terceros y requieran que el usuario realice una acción expresa para hacer que la configuración acepte las cookies.

Es decir, que si el navegador no debe ser configurado expresamente por el usuario para aceptar cookies, o simplemente el dispositivo no permite tal configuración, el consentimiento no se tendrá por prestado de forma expresa y es probable que la AGPD entienda que se ha cometido una infracción si no se busca un consentimiento expreso previo a su instalación.

Habrá que esperar como siempre a la interpretación que haga la AGPD, pero da la impresión de que esto no supondrá cambio alguno y que servirá para poco más que para obligarnos a hacer nuevas elucubraciones de lo que pretendía el legislador en lugar de simplificarnos la vida como debería.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Julio 10, 2012

Restricciones legales al Marketing Online

Archivado en: Comercio Electrónico, Marketing, Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:51

Las acciones de Marketing online pueden ser una actividad de riesgo. Las leyes vigentes limitan estrictamente las posibilidades de acción y fijan gravosas consecuencias para su incumplimiento.

Contratar empresas que en nuestro nombre ejecuten estas acciones puede facilitar este trabajo, pero la estricta legislación existente en esta materia hace imprescindible un asesoramiento legal especializado para cada acción. La razón: hasta 150.000€ de sanción por cada ‘autoridad’. Y ello sólo en aplicación de la LSSI.

Catálogos de muebles y licencias de caza

La idea de este post surge de un correo recibido –a disposición de cualquier persona o entidad con interés en su lectura que lo solicite– en el que,

  • Una persona se identifica como miembro del departamento de comunicación de una conocida tienda de muebles:  “Mi nombre es María AAA  y trabajo en el departamento de comunicación de Avanthaus
  • Se incluye un enlace al catálogo virtual de la tienda
  • Se me ofrece un texto procedente del blog de esa misma cadena de tiendas para ser publicado.
  • Y se me informa de la evolución de las licencias de caza con la crisis: “Acabamos de publicar una noticia sobre la situación actual de la caza y sobre cómo la crisis y la coyuntura económica de ahora está afectando al número de licencias de caza” (una parte que no entiendo, lo reconozco).

El correo se ha enviado desde una dirección plenamente identificable de una empresa de marketing online.

Serán las implicaciones legales mostradas en el correo de las que trate este post. En ningún caso pretende mostrar cualquier restricción legal al marketing online en cualquier caso porque ello sería obviamente  imposible.

¿Publicidad  camuflada o cortés invitación?

Obviando el interesante dato de las licencias de caza y a la vista del resto de elementos, mi apreciación personal es que lo que he recibido es publicidad de una tienda de muebles.

Aunque también es bien cierto que se puede entender que no es publicidad, sino una cortés  invitación para publicar un texto en este blog.

En definitiva, la licitud o ilicitud del correo dependerá de la interpretación que se haga del mismo. Y la Inseguridad jurídica existente en esta materia hará que la sanción dependa del humor del funcionario o de la necesidad recaudatoria de la administración (o administraciones) de turno.

Qué se debería/podría haber hecho

Si se entendiera que se trata de publicidad, en primer lugar se debería haber pedido autorización expresa para enviarla.

En segundo lugar se debería haber incluido en el ‘asunto’ del correo los términos “PUBLICIDAD” o “PUBLI”.

Parece que lo que se ha intentado es buscar una estrategia para tratar de sortear la ley. Y de entre esas posibles estratagias, talvez alguna otra habría podido ser algo menos ‘obvias’, como: enviarme un correo aparentemente personal, individualizado, sin referencias publicitarias tan directas; o, si hubiera sido posible, como respuesta a algún correo mío; o incluso haber sido enviados a través de alguna red social o de algunos de los grupos específicos sobre la materia (comercio electrónico) dentro de la misma.

De cualquier forma, entendamos que estamos intentando ‘sortear’ la ley para dar a conocer nuestros productos a quien no lo ha pedido. Y ello, fuera cual fuera la opción elegida, también tendrían sus condicionantes y estaría abierto a posibles interpretaciones.

¿Se ha incurrido en un error?

El correo ha sido remitido a la dirección del despacho (info arroba legisconsulting.com) además de a un número de destinatarios en copia oculta –un indicio por otra parte no demasiado favorable a efectos sancionadores–.

Y es posible que el remitente haya considerado que al haber sido remitido a un despacho de abogados no entra dentro de las prescripciones de la LOPD. Pero ello no es del todo exacto ni libera de responsabilidad.

En primer lugar, ya se ha comentado en este blog anteriormente que como regla general se tiende a tomar prevenciones en torno a la LOPD dejando casi de lado la LSSI. Algo que no es razonable considerando los preceptos y sanciones de ambas. Las restricciones a la publicidad online o la mera captación de información con este o cualquier otro fin se encuentran en la LSSI, por lo que las acciones prohibidas no serán sólo las que afecten a personas físicas en los términos de la LOPD, sino a cualquier persona, profesional o empresa.

En segundo lugar, es cierto que las empresas no se encuentran bajo la protección de la LOPD, pero al estar enviándose un correo, la cuestión es si tal dirección de correo electrónico puede ser directamente vinculada con una persona física independientemente de lo que textualmente diga en el correo (info). Y en caso de respuesta afirmativa, sí que podría ser de aplicación la LOPD.

De cualquier forma, ya se ha planteado anteriormente este blog (Link) qué debería dar más miedo, si la LSSI o la LOPD. Y la conclusión era clara: las dos.

Responsabilidad y sanciones

Cabe discernir llegado a este punto, si se ha cometido una infracción, a quien correspondería la sanción.

Al igual que en caso de la determinación de la existencia de la infracción, de la interpretación que haga el funcionario correspondiente dependerá a quien le será ‘adjudicada’ la correspondiente sanción: la tienda de muebles por ser publicidad de esta; o a la empresa de marketing online por ser quien envía el correo.

De cualquier forma es seguro que caso de ser denunciada, la empresa de muebles reclamaría a la empresa de marketing online por los daños ocasionados. Aunque también es posible que esta pudiera llegar a reclamar al empleado persona física que envió el correo caso de que entendiera que le puede imputar responsabilidad directa en el daño causado.

En un caso como este, la sanción la acabaría soportando el último eslabón de la cadena.

Y en cuanto a las sanciones que corresponderían, pues ya se han tratado anteriormente en este Blog las sanciones por infracciones de la LOPD y LSSI y que pueden ser consultadas en el siguiente Link

Estrategias de marketing

La empresa que me ha enviado el correo objeto de este post es evidente que, como conocedora del medio en que habitualmente se desenvuelve, ha entendido que su estrategia es plenamente legal y que no traerá consecuencias. Y lo más probable es que sea cierto, pero a la vista de las normas mencionadas, también es posible que no sea así.

Lo estricto de la normativa en esta materia hace del marketing online esta una actividad de riesgo. Conviene, antes de emprender (casi) cualquier acción, obtener un asesoramiento legal especializado para poder valorar de forma objetiva opciones de actuación y riesgos asumidos. Si el riesgo compensa el coste o como minimizar tal riesgo.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 7, 2012

Los peligros de la Web: LOPD y LSSI

Es la historia del turista que va de safari a África y pregunta al guía:

- ¿Qué animales deberían darme más miedo?; ¿De cuales debería alejarme?; ¿Cuáles son peligrosos?

A lo que el guía responde:

- Todos

Pues si tenemos o nos planteamos tener un negocio de Comercio Electrónico o una Web que preste servicios –aunque estos sean gratuitos–, la pregunta a hacer es

- ¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

A lo que el guía responde:

- Todas

Las Leyes de los peligros

Obviamente la normativa dependerá de la actividad y los servicios, y aparte de la normativa ‘analógica’, en el sector del Comercio Electrónico hay dos normas a las que hay que prestar especial atención:

  • LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) -> en adelante ‘el hipopótamo’
  • LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) -> en adelante ‘el leon’

Si le preguntamos al turista nos dirá que el león es mucho más peligroso que el pesado hipopótamo. Pero si le preguntamos al guía –o a cualquiera aficionado a los documentales de La 2– nos contará que el hipopótamo es el animal que más muertes causa en África.

Pues con las leyes pasa más o menos lo mismo: la mala fama –merecida en parte– de la LOPD y de su brazo armado, la AEPD, no quiere en absoluto decir que el turista deba despreocuparse de esos otros aparentemente pacíficos vecinos para con los que poner los datos del titular de la web y poco más, se cree que ya habremos cumplido.

Los peligros

Pero vayamos por partes: ¿Cuál es el importe de las sanciones previstas en cada una de la normas?

LOPD:

Artículo 45. Tipo de sanciones.

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

LSS:

Artículo 39. Sanciones.

a. Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.

b. Por la comisión de infracciones graves, multa de 30.001 hasta 1 50.000 euros.

c. Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Como se ve, el importe de las sanciones no varía tanto en una u otra ley, entonces ¿cual nos debería dar más miedo?

Bajarse del coche para la foto

El problema del la LSSI (el hipopótamo que decíamos) es la fama. Y es que al no estar tan claro quién puede imponer la sanción como en el caso de la LOPD, las repercusiones mediáticas de estas no son tan espectaculares como las de la AEPD.

Atendiendo a quien puede imponer la sanción, las sanciones por incumplimiento de la LSSI podrán ser impuestas:

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

Ello genera una inseguridad que ya se trató en este blog recientemente y de forma más detallada en un post sobre las infracciones y sanciones en las web.

Evidentemente, el león (LOPD) tiene una reputada fama, rapidez y poderosos colmillos (AEPD), pero el hipopótamo (LSSI) protege con fiereza su territorio y puede salir en cualquier momento de debajo del agua.

Las fotos, tras el cristal

Tal como empezábamos este post

- ¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

- Todas

Y no conviene ponerse a juguetear ni con el león ni con el hipopótamo, porque el E-commerce sin asesoramiento legal es como ir de safari con un tirachinas. La broma, sin duda, saldrá cara.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook