SOBRE LA SANCIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS  AL PORTAL GRUPON 

Groupon ha sido sancionada con 20.000 € al entender la AEPD que no informaba del tratamiento de datos de la tarjeta de crédito e infringía el Art 5 de la LOPD.

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2013/common/pdfs/PS-00372-2013_Resolucion-de-fecha-01-10-2013_Art-ii-culo-5.1-LOPD.pdf

En mi opinión hay dos cuestiones de interés:

- Sobre la infracción del deber de información: El deber de información es cuestión principal en materia LOPD. En mi opinión la cuestión hubiera sido distinta si Groupon no hubiera informado que no trataba datos de la tarjeta...  no se... me parece entonces bastante  discutible.

- La Pasarela de Pago: No existía contrato de encargado tratamiento (Art. 12 LOPD). Pero la pasarela de pago puede ser encargado o no... depende del caso concreto. Aún así, lo mejor hubiera sido tener ese contrato.

Conclusión: Al redactar las "Políticas de Privacidad" conviene tener claro qué se hace exactamente en el  la web con los datos, quién tiene acceso a ellos y con qué finalidades, de lo contrario, no podemos informar bien al usuario o como la AEPD exige.

¿EXISTE RIESGO DE SANCIÓN SI MI TIENDA ON-LINE NO CUMPLE LA NORMATIVA DE CONSUMIDORES Y USUARIOS?

Hasta la fecha y pese a que la normativa para la defensa de los consumidores y usuarios (RDL 1/2007) sí preveía expresamente un régimen de infracciones y sanciones   la verdad es que no parecía que hubiera mucho riesgo  dado que la Administración no dirigía su atención al sector del comercio electrónico.

La problemática que se suscitaba de forma más frecuente eran problemas relativos a la “gestión de usuario” que se podían dar entre la empresa y el consumidor sobre todo a la hora de exigir ciertos derechos, reclamaciones, etc…

Como ocurre siempre en la vida cuando un sector crece - como viene haciendo el comercio electrónico-  la Administración se fija en él… y no digo que lo haga por el tema de las sanciones, que puede tener su miga… sino que principalmente la Administración está obligada a velar para que no existan prácticas desleales o abusivas con los consumidores.

Al hilo de la noticia lanzada por Europa Press  el pasado 7 de enero de 2013 sobre que  el 100% de las web de comercio electrónico inspeccionadas por los servicios  de Consumo de Granada presentaba irregularidades respecto al cumplimiento de la normativa en materia de consumo levantándose las correspondientes actas para acudir a un procedimiento sancionador, me pareció interesante apuntar en el blog lo que ha pasado por lo que puede venir…

http://www.europapress.es/andalucia/noticia-100-web-comercio-electronico-inspeccionadas-consumo-granada-presentan-irregularidades-20130107105708.html

¿En qué fallaban estas web? Según la noticia abundaban las cláusulas abusivas, la indicación de precios defectuosa,  defectos en la información a suministrar y defectos respecto al derecho de desistimiento entre otras…

¿Qué régimen de sanciones prevé el RDL 1/2007?

Hasta 3.005 € para las infracciones leves, hasta 15.025 € las infracciones graves y hasta 601.012 € en el margen de las infracciones muy graves, pudiéndose acordar también el cierre temporal de la tienda on-line.

Visto lo visto y con lo ilusionante y esforzado que resulta sacar adelante una tienda on-line, en mi opinión no compensa  en absoluto no plantearte qué aspectos legales le pueden afectar a tu negocio cuando existen aspectos de la actividad  que por no cumplir te la pueden dinamitar, por no hablar ya de la problemática concreta de la Protección de Datos de Carácter Personal o de de la LSSI.

¿Es peligroso copiar una “Política de Privacidad” para mi web?

Pues… la respuesta es que sí. Es como copiar un contrato de  arrendamiento  o un convenio de divorcio, cada caso es distinto aunque la mayoría de aspectos a tratar puedan ser comunes.

En el caso de la “Política de Privacidad”, podemos identificar mal al responsable del tratamiento de los datos, suministrar información deficiente de la LOPD, establecer cláusulas que no tienen nada que ver con nuestra empresa etc… y lo más importante, al copiar, seguramente no nos habremos planteado  las distintas finalidades para las cuales queremos tratar los datos de nuestros clientes, por no hablar de posibles cesiones de datos o de plantearnos si hacemos Transferencias Internacionales de Datos con el Hosting.

Establecer una “Política de Privacidad” y que el usuario la acepte no nos garantiza mucho si no la hemos diseñado con arreglo a las necesidades y estrategia de nuestra empresa y sobre todo, y como ocurre muchas veces, si no hemos declarado ficheros en la Agencia Española de Protección de Datos o no hemos revisado quien va a acceder a nuestros datos para prestarnos un servicio.

Conclusión: El usuario creerá que nuestro portal cumple con la normativa de protección de datos con lo problemático que resulta eso si luego surgiera algún problema. Tendremos una “Política de Privacidad” que por exceso o por defecto no nos resultará  útil no válida legalmente.

SI HAY UN ERROR EN LA PÁGINA WEB sobre el precio de un producto ¿se considera la aceptación de la oferta por el usuario como vinculante?

Imaginemos que establezco en mi web que el precio de determinado producto es “X” y el usuario completa todo el proceso del carrito de compra y cursa el pedido, aceptando la oferta y pagando on-line.

Posteriormente, verificamos que había un error en el precio y que lamentablemente nos hemos equivocado… ¿podría el usuario pedirnos el cumplimiento del contrato?

En mi opinión, podría hacerlo pero según qué caso…desde luego, la normativa de consumidores y usuarios es muy proteccionista con el consumidor y si tenemos en cuenta lo dispuesto en el Art. 23 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), habiéndose producido la oferta del empresario y aceptación por el consumidor en línea podría entenderse que hay consentimiento y queda perfeccionado el contrato.

Artículo 23. Validez y eficacia de los contratos celebrados por vía electrónica.

1. Los contratos celebrados por vía electrónica producirán todos los efectos previstos por

el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos

necesarios para su validez.

Incluso aunque el empresario no hubiera  confirmado la recepción de la aceptación (Art.28 LSSI) habría consentimiento desde que el usuario manifestó la aceptación de la oferta por el precio fijado  en la página web.

Ahora bien, si se detectara que por parte del usuario se está abusando, por ejemplo, si el error es que existe una gran diferencia  entre el precio publicado en la web y el precio real del producto que quiere adquirir el consumidor, podría entenderse que éste está actuando con abuso de derecho o realizando un  uso antijurídico del derecho (Art. 7 Código Civil).

5 RECOMENDACIONES LEGALES PARA TU TIENDA ON LINE

Aquí un Post que escribí hace tiempo sobre cuestiones importantes que alguien que quiera  empezar un negocio on-line debería plantearse desde el punto de vista legal

Montar una tienda on line y hacer comercio electrónico parece una cuestión fácil pero no lo es… Al margen del mucho tiempo de dedicación al marketing que se precisa, diseño, logística, posicionamiento y reputación on line, gestión del carrito de la compra, atención al cliente y demás etc… Desde el punto de vista legal, el e-commerce tiene distintas implicaciones que el responsable de la tienda no debería pasar por alto, so pena de hacer naufragar su proyecto o arriesgarlo de tal forma que lo hicieran posteriormente inviable.

Según el último informe publicado de la CMT, en el tercer trimestre de 2011 el comercio electrónico en España alcanzó un volumen de negocio de 2.421,8 millones de euros, lo que supone un 27,4% más que en el mismo trimestre de 2010.

Si  montar cualquier negocio off line supone el tener que cumplir distintas normativas que afectan a tu actividad, asumir multitud de preocupaciones, trámites con la administración y costes ¿por qué la actividad en Internet y el comercio en la red no iban a resultar parecidas o no iban a estar reguladas? Estoy de acuerdo en que los costes pueden ser inferiores, pero lo que hacemos realmente es cambiar el escenario, de modo que,  algunas obligaciones legales  van a ser distintas.

Cosas que deberíamos saber para establecer un marco legal adecuado si  estoy establecido en España:

1º).- El vendedor es un PSSI. La tienda on line convierte al titular de la misma en un Prestador de Servicios de la Sociedad de la Información (PSSI). Se le aplica la Ley 34/200, conocida como LSSI, lo cual, supone atenerse al régimen de responsabilidad establecido en la misma, obligación de suministrar las informaciones exigidas, respetar el régimen establecido para comunicaciones comerciales electrónicas, etc…

2º).- Voy a tratar datos de carácter personal. Indudablemente,  el titular de la tienda on line va a tratar datos personales, lo cual implicará, al margen de establecer una correcta Política de Privacidad, otra serie de obligaciones en la materia como inscribir ficheros, verificar quien accede a los datos para prestar un servicios (prestador de servicios de Hosting/cloud, mantenimiento web, pasarela de pago…) de forma que pueda suscribir con ellos los contratos de acceso a que obliga la LOPD, entre otras.

3º).- Debo tener un “contrato electrónico”.  Con carácter general, la LSSI, establece el marco legal aplicable a la contratación electrónica, no obstante, según realices B2B, B2C o ambos, resultarán de aplicación otras normativas relativas a condiciones generales de contratación, normativa de consumidores y usuarios, publicidad.

4º).- Debo analizar la fiscalidad que se me aplica.  Si soy un prestador de servicios establecido en España pero el destinatario de mis servicios prestados por vía electrónica está en España, en un Estado miembro de la Unión Europea o fuera de ella tendré que tener en cuenta las especialidades que se me apliquen, por ejemplo, en materia de IVA.

5º).- Mi plataforma debe garantizar la seguridad en las transacciones. En materia de seguridad, legalmente, deberá cumplir respecto a  los datos personales las medidas establecidas en el Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD. Al margen de ello, es conveniente seguir buenas prácticas en cuanto a legitimar la identidad (claves de acceso, firma electrónica reconocida con arreglo a la Ley de Firma Electrónica, DNI electrónico,…), así como durante la transacción, protocolos SSL y HTTPS.

Existen otras cuestiones de tipo legal que afectan a la actividad como los contratos que suscribo con el prestador de servicios de Hosting o de Cloud, con mis desarrolladores web, pasarelas de pago, etc…

Aunque pueda sorprender la existencia de tanta regulación, lo bien cierto es que, la mayoría de estas normas son de hace más de 10 años (LOPD-1999, LSSI-2002, Firma Electrónica-2003), lo que ocurre es que hace 10 años casi nadie estaba en Internet y el comercio electrónico  necesitaba un proceso de maduración y confianza por parte de los usuarios.

Personalmente me apasiona la materia y dar el apoyo jurídico que se precisa. Apuesto por el comercio electrónico, es el presente y nuestro futuro, pero obviamente, en Internet “no vale todo” como no lo vale en el resto de experiencias vitales.

Conviene no olvidar, que en una tienda on line, como todo en la vida, y siguiendo el consejo de Jeff Bezos, fundador y Gerente General de Amazon.com “Es necesario anticipar un cierto grado de fracaso” (2011)