El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

Sobrevivir al Black Friday

¡Queda inaugurada la temporada de compras navideñas! En pleno Black Friday, y a las puertas del CiberMonday, los compradores se frotan las manos con el aluvión de descuentos ofertados por las tiendas. El Black Friday de 2018 movió en España 1.560 millones de euros en compras a través de Internet, y parece que este año el éxito será aún mayor: según asociaciones como Adigital, el impacto en las ventas electrónicas es muy positivo, ¡y subiendo!

Dicho lo anterior, un mayor número de ventas aumenta igualmente la exposición a recibir quejas o reclamaciones de los consumidores. Para ayudarles a evitarlo, o a salir airosos en caso de que se produzcan, resumimos a continuación algunos aspectos relevantes que los comerciantes deben tener en cuenta a la hora de vender productos en el mundo online.

Es muy importante que el vendedor facilite a los consumidores información clara y comprensible sobre los productos que oferta. Cualquier error en el precio, etiquetado o falta de información tiende ser interpretado a favor del consumidor; y con el auge de las redes sociales, este tipo de errores pueden costarnos muy caros. Existen plataformas con nombres como «chollometro», «cazachollos» y similares, que se dedican a localizar artículos por debajo de su precio habitual y compartirlos con el resto del mundo, por lo que, a la hora de publicar una oferta, es fundamental asegurarse de que toda la información ha sido transcrita de forma adecuada.

Como ya hemos comentado en otras ocasiones en este mismo blog, expresiones del estilo «salvo error tipográfico» o «existencias limitadas» pueden ser consideradas abusivas por las autoridades de consumo. Cuando se trate de un error de diseño en la publicidad, el comerciante debe aclarar que se trata de un fallo en la impresión e indicar cuál es el precio exacto del producto, apelando siempre al sentido común del comprador. Por ejemplo, si una lavadora se oferta a un precio de 6,90 euros, cuando realmente vale 690 euros, está claro que se trata de un error de diseño en la impresión. Además, en cuanto a la famosa coletilla «hasta fin de existencias», el establecimiento debe indicar el número concreto de productos en oferta, que siempre deben guardar proporción a las expectativas que se pretendan generar con esa publicidad, teniendo en cuenta la demanda que puede conllevar dicha oferta.

El comerciante ha de tener presente que las ofertas y promociones son vinculantes y que, por lo general, las excusas no valen ante fallos relacionados con el producto y el precio, ofertas o falta de información. Además, los folletos publicitarios también tienen carácter vinculante. Por tanto, si no queremos recibir una avalancha de consumidores enfurecidos reivindicando sus derechos, más vale hacer las cosas bien.

La información debe quedarle clara al consumidor, por lo que, a la hora de mostrar el precio de los productos y siempre que se oferten artículos con un importe rebajado, el vendedor deberá mostrar con claridad, el precio anterior junto con el precio reducido. Además, se ha de informar la usuario sobre la posibilidad de desistir del contrato y dejar sin efecto el contrato celebrado. A este efecto, la ley le otorga al consumidor que compra o contrata un bien o servicio online, un plazo de 14 días naturales para desistir del contrato sin tener que justificar su decisión. ¡Tengan en cuenta que el plazo puede verse ampliado a 12 meses en el caso de que el establecimiento no informe al consumidor de este derecho!

Ahora bien, el derecho de desistimiento no es absoluto y, por tanto, no todo vale. Existen algunas excepciones que permiten rechazar la devolución de un producto o servicio por el consumidor, aunque lo pretenda realizar en el plazo antes descrito. Por tanto, facilitar la información y documentación al consumidor resulta básico para que el vendedor pueda defenderse en caso de conflicto o denuncia por cualquier comprador indignado.

Para evitar problemas, las plataformas de venta online deben proporcionar al consumidor todo tipo de información requerida por la Ley General para la Defensa de Consumidores y Usuarios, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico y el famoso Reglamento General de Protección de Datos, junto con Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Por consiguiente, en plena oleada masiva de compradores online atraídos por el poder de atracción de las «gangas» y empeñados en buscar cualquier «chollo» o «despiste» por parte de los establecimientos, qué menos que vender sobre seguro y establecer un contexto de seguridad jurídica online que transmita confianza al comprador. ¡Motivo de más para tener la web al día y no sufrir sorpresas desagradables!

RGPD y cookies

Mi amigo Nacho es un fenómeno. Es periodista, bloguero, y ha sido community manager de uno de los diarios más importantes de nuestro país. De esas personas que, cuando hablan, sube el pan, ya me entienden; y la semana pasada colgó en sus redes un mensaje clarísimo, que seguramente comparten muchos de ustedes. Copio y pego: «Estoy de “aceptar cookies” hasta el punto com«.

La verdad es que también formo parte del club de los haters de los avisos de cookies. Siempre he dicho que me parecían absurdos, molestos y contraproducentes; pero he aquí que llegó el Reglamento General de Protección de Datos (RGPD) y cambió las reglas establecidas para este tipo de tecnologías. Anoten dos modificaciones fundamentales: gran parte de la información captada por las cookies pasó a ser considerada dato personal, y los requisitos de transparencia y consentimiento se endurecieron significativamente. ¡Ahí es nada!

Fruto de la aplicación de esta norma, las actuaciones de las autoridades europeas de protección de datos se fueron sucediendo: Holanda consideró ilegales los «cookie walls» (que expulsan al usuario de la web si no acepta las cookies), Francia entendió que «continuar navegando» por un sitio web no se podía interpretar como un consentimiento válido… y entretanto, la Agencia Española de Protección de Datos permanecía callada, mientras anunciaba que estaba preparando una nueva edición de su «Guía sobre el uso de las cookies», en estrecha colaboración con las principales asociaciones empresariales del ámbito digital. Pues bien, esa guía ya está aquí, y nos da un montón de pistas sobre cómo instalar cookies sin enfadar al regulador. Veámoslas:

Transparencia

Quién, cómo y para qué. Si queremos instalar cookies, el usuario debe obtener respuesta clara a estas tres preguntas en cuanto acceda a nuestra web. ¡Y ojo con las frases vagas! Redacciones recurrentes, como «para mejorar nuestros servicios» o «para ofrecerle contenido de su interés» están condenadas a desparecer. La guía nos ofrece ejemplos como este:

«Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ».

Este primer aviso debe enlazar a un texto más completo, donde se describan de forma detallada qué son las cookies, las tipologías utilizadas en la web, los períodos previstos de conservación, el listado de terceros a los que se facilitarán los datos y la forma de aceptarlas o rechazarlas. Si se utilizan para segmentar a los usuarios y ofrecerles contenidos personalizados, habrá que explicarlo detalladamente; y lo mismo ocurrirá cuando se tranfieran los datos obtenidos hacia fuera de la Unión Europea. En definitiva, toca retocar y completar las actuales políticas de cookies.

Consentimiento

Si están pensando establecer un panel de gestión de cookies en su sitio web, que permita a los usuarios elegir cuáles instalar y cuáles no, créanme: es una buena idea. La guía opta claramente por este sistema, y aunque no descarta otras alternativas (como la configuración del navegador), lo cierto es que somete su utilización a tales requisitos que los paneles de gestión se convierten en la solución más razonable. Observen el redactado:

«Será necesario que la información de la primera capa se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel».

La Agencia, por lo demás, entiende que continuar navegando puede servir para facilitar el consentimiento, siempre que el aviso sea claro y no pase desapercibido; y sobre el grado de granularidad, aboga por evitar la selección «cookie a cookie», recomendando agruparlas, cuando menos, por finalidad. Evidentemente, los botones que se utilicen para realizar esta selección no deberán estar premarcados; y dado que el consentimiento es revocable, el usuario debe poder acceder al panel fácilmente y modificar sus preferencias en cualquier momento, aún después de haber aceptado el uso de estas tecnologías.

Otros aspectos destacables

Y antes de concluir, permítanme destacar dos notas adicionales: la primera es que su alcance no se ciñe únicamente a las cookies, sino también a otras tecnologías similares que permiten la trazabilidad de los usarios, como el fingerprinting o los píxeles de seguimiento; y la segunda, que solo pueden instalarse una vez obtenido el consentimiento de los usuarios: todo un reto, desde el punto de vista técnico.

¿Mi opinión global? Que estamos ante una guía necesaria y bien trabajada, que define con detalle los roles de las partes implicadas y que trata de alcanzar el difícil equilibrio entre las legítimas aspiraciones de la industria y los derechos de los usuarios. Sin embargo, hechos como sus divergencias con documentos similares de otras autoridades europeas y la actual tramitación en Bruselas de una nueva regulación sobre la materia le auguran, en mi opinión, un corto recorrido.

Dicho esto, creo sinceramente que los paneles de control de cookies propuestos por la Agencia ofrecen un valor añadido real a los usuarios, y que la nueva regulación nos conduce realmente hacia un mayor control de nuestros datos. Seguramente, no tan eficaz como para que me haga fan de los avisos de cookies, pero va por el buen camino para lograr que abandone el club de haters. ¡No sé qué opinará mi amigo Nacho!

Móviles, estadísticas y privacidad

La semana pasada, saltaba la noticia de que el Instituto Nacional de Estadística (INE) pretendía seguir la pista de nuestros móviles durante ocho días para conocer nuestros desplazamientos habituales, lo que generó bastante preocupación y polémica, por los riesgos de vulneración de nuestros derechos y de nuestra privacidad que de ello se podrían derivar. Con estas líneas me gustaría desarrollar algunas ideas que ya adelanté en redes sociales, al hilo de nuestras intervenciones en los medios de comunicación sobre este particular; pero antes de entrar en detalle, creo que es preciso recordar el concepto, tremendamente amplio, de dato personal que predica el Reglamento General de Protección de Datos (RGPD): «toda información sobre una persona física identificada o identificable«.

Para empezar, debemos aclarar que el INE no podrá rastrear ni teléfonos ni personas, ya que los operadores de telefonía móvil que participarían en el proyecto (Movistar, Orange y Vodafone) le facilitarán únicamente información agregada y anónima: así lo aclara el comunicado que publicaron, ante las airadas reacciones de muchos consumidores. Ahora bien, ¿pueden los operadores suministrar esta información al INE?

De entrada, es obvio que estas empresas tienen y usan datos personales (saben quien hay detrás de una línea de forma individualizada), incluida la localización de los terminales, basada en la triangulación de la señal del móvil al conectarse a las antenas de telefonía (quizás les suena el tema, por el caso de Diana Quer). Eso sí, tanto la Ley de Conservación de Datos relativos a las comunicaciones electrónicas y la Ley General de Telecomunicaciones, como el RGPD, establecen férreos mecanismos de control para que no puedan utilizar esta información para cualquier finalidad: limitaciones en los plazos de almacenamiento, necesidad del consentimiento del usuario para utilizarlos con fines comerciales, autorizaciones judiciales…

Sin embargo, todas estas limitaciones no son aplicables cuando los datos se hagan anónimos (dejo aquí el Dictamen del Grupo del Artículo 29 sobre técnicas de anonimización), es decir, cuando resulte imposible conocer qué persona está detrás de cada dato. El considerando 26 del RGPD (uno de mis favoritos en este tema) deja muy clara esta realidad, al afirmar que «los principios de protección de datos no deben aplicarse a la información anónima… inclusive con fines estadísticos o de investigación». Es de lo más lógico, pues si una información que no guarda relación con persona alguna, no se le debe aplicar la norma que protege los datos personales.

Así las cosas, si las operadoras anonimizan bien esa información de forma que no se pueda reidentificar a las personas de las que provienen los datos, y aplican medidas de privacidad desde el diseño adecuadas, no habría problema en que envíen al INE ese tipo de información, pues no supondría riesgo alguno para nuestras libertades.

Cambiando de tercio, el receptor de esa información (en este caso el INE, que ha sido acusado por algunos de espiarnos en nuestras vacaciones) obtendría únicamente información agregada, sin datos personales de ningún tipo, para poder hacer sus estadísticas: sabría, por ejemplo, que el 22,34% de los habitantes de un determinado barrio acuden a las playas de Levante en las vacaciones estivales, y el 15,42% lo hacen a la los Pirineos en invierno. Para ser más gráfico, estamos hablando de este tipo de información.

En resumen, el INE recibiría información agregada no personal; y además, aplicaría medidas para evitar una reidentificación posterior de las personas, como establecimiento de celdas de muy amplias en zonas poco pobladas, exlcuir áreas con menos de 5.000 abonados, establecer una limitación horaria concreta… Un proceso como el descrito no debería generar ningún riesgo para nuestros derechos de protección de datos; siempre y cuando las operadoras cumplan con su parte y anonimicen adecuadamente la información facilitada. Evidentemente, si los datos suministrados permitiesen identificar el itinerario concreto de mi vecino del quinto en sus vacaciones, sí podríamos estar ante una vulneración de la normativa, frente a la cual la Agencia Española de Protección de Datos tendría algo que decir.

Asentado lo anterior, desde un punto de vista personal, me parece fantástico que el Estado aproveche este tipo de información para poder adoptar decisiones basadas en datos completos y fiables. ¡A ver si así aciertan! Las empresas llevan años empleando el big data y la inteligencia de negocio para la toma de decisiones, y no les va mal. Si una operadora de telefonía móvil, gracias a sus estadísticas, puede saber dónde colocar nuevas antenas para mejorar la señal y captar más clientes, ¡cuánto mejor que el Estado haga uso de esas herramientas para mejorar la calidad de vida de los ciudadanos, optimizando el gasto público!

Rebajada considerablemente la alarma del caso, debemos valorar positivamente que los medios de comunicación reaccionen frente a noticias que, potencialmente, podrían afectar a nuestra privacidad y protección de datos. Es todo un hito que una disciplina como esta, prácticamente desconocida para la población, sea portada de periódicos nacionales y ocupe destacados espacios en radio y televisión; algo que demuestra la creciente preocupación de las personas por sus datos y supone un verdadero aviso a las empresas e instituciones para que sean conscientes de esta realidad y se apliquen a la hora de proteger esos derechos.

Juego online y protección de datos

¡El auge de los casinos en línea no para! El 2º informe trimestral de 2019 la Dirección General de Ordenación del Juego (DGOJ), sobre la evolución del mercado de juego online, ha registrado un aumento en la contribución al margen de juego (GGR) del 6,69% respecto al mismo trimestre de 2018; y la lista de operadores con licencia publicada por la DGOJ continúa creciendo. De hecho, una simple búsqueda nos ofrece… ¡más de diez mil millones de resultados en Google para la palabra Casinos Online España! Y la tendencia sigue en aumento.

Para que un jugador se registre en una plataforma de juego debe facilitar una serie de datos personales, tales como su nombre, apellidos, documento nacional de identificación, sexo, fecha de nacimiento, teléfono, correo y contraseña, entre otros, para que el operador pueda verificar su mayoría de edad, identificarle adecuadamente, aplicar las medidas pertinentes de prevención del blanqueo de capitales y asegurarse de que no se encuentra adscrito a un fichero de exclusión, entre otras finalidades.

Pocos saben, que entre los requisitos exigidos a cualquier operador nacional o internacional que desee prestar servicios de juego online en España, y conforme a lo previsto en la Resolución del 2014 de la Dirección General de Ordenación del Juego, se encuentra la obligación de presentar un informe descriptivo del cumplimiento de la normativa de protección de datos de carácter personal firmado por el Delegado de Protección de Datos de su empresa ante la Agencia Española de Protección de Datos, para demostrar, así, que cumplen con la normativa. En este informe se deberá describir cómo ha abordado el operador el respeto a la normativa vigente, determinando la finalidad y la base jurídica del tratamiento de los datos, analizando la posible afectación de los derechos y libertades de los interesados como consecuencia de este tratamiento, describiendo las medidas adoptadas para facilitar el ejercicio de sus derechos previstos en la Ley y recogiendo cualquier otro aspecto relevante de la normativa de protección de datos que pudiera verse afectado por su actividad.

La realidad es que los jugadores españoles se sienten cada vez más confiados en apostar online, desde que en 2011 el Gobierno reguló el juego en línea a través de la Ley 13/2011, de 27 de mayo, de regulación del juego y creó la Dirección General de Ordenación del Juego encargada de supervisar el cumplimiento de esta ley por los operadores. A este respecto, una de las obligaciones de los operadores a fin de garantizar la seguridad de los participantes es verificar la información y comprobar la exactitud de los datos aportados. Por ello, el operador debe disponer de mecanismos de comprobación de identidad, a fin de identificar a los jugadores y evitar suplantaciones, falsedad documental o el acceso indebido de menores a sus actividades de juego en línea, dando cumplimiento a la Resolución de 12 de julio de 2012, de la Dirección General de Ordenación del Juego, por la que se aprueba la disposición que desarrolla los artículos 26 y 27 del Real Decreto 1613/2011, de 14 de noviembre, en relación con la identificación de los participantes en los juegos y el control de las prohibiciones subjetivas a la participación.

¿Todo esto es suficiente? Para nada. Antes de permitir a un usuario jugar online, el operador de juego también está obligado a comprobar su posible inscripción en el Registro General de Interdicciones al Juego, dependiente de la DGOJ. Por medio de este registro, en el que el jugador se puede inscribir a petición propia o por resolución judicial, se puede excluir la participación del usuario de los juegos online a fin de garantizar un mejor funcionamiento y control de las plataformas de juego.

Y… ¡cuidado! Existen más cuestiones relacionadas con la puesta en marcha de una plataforma de juego online que resultan fundamentales para adaptar una web a la normativa de protección de datos, y que conllevan una serie de obligaciones para el operador en su condición de responsable del tratamiento de los datos de los jugadores. De entrada, la página web deberá disponer de una política de privacidad clara y accesible al jugador que le permita comprender de una manera fácil y transparente cómo el operador trata los datos personales que son recopilados a través de su web. Asimismo, la plataforma deberá disponer de unos términos y condiciones que establezcan unas reglas claras sobre apuestas y juego online para el correcto funcionamiento de los servicios en línea.

En resumen, resulta esencial que el operador sea diligente y actúe bajo el principio de responsabilidad proactiva a la hora de tratar los datos personales de sus usuarios. Solo de esta manera, será capaz de demostrar que cumple con la normativa; y solo así podrá generar la necesaria confianza entre los consumidores, que podrán así distinguir a un operador comprometido con sus derechos fundamentales, de otro que no lo está. Y es que, a la hora de elegir, ¡es mejor no jugársela!

PSD2 y comercio electrónico

Una de las principales preocupaciones a las que se enfrenta el titular de un sitio web de comercio electrónico es el fraude con tarjetas de crédito. Según datos del Banco de España (2017), el importe anual de las operaciones fraudulentas realizadas por este canal superó los 18 millones de euros solo en nuestro país, lo que permite calibrar la magnitud del problema.

La Unión Europea decidió abordar la situación a través de la llamada Segunda Directiva sobre Servicios de Pago (más conocida como PSD2), en virtud de la cual se han introducido una serie de obligaciones de autenticación reforzada del cliente (SCA, por su acrónimo en inglés) a la hora de realizar pagos con tarjeta de crédito, que entraron en vigor el pasado 14 de septiembre. Sin embargo, el masivo desconocimiento de la norma por parte de los comerciantes y la complejidad del mercado de pagos han conducido a las autoridades a conceder a los operadores un «tiempo adicional limitado» para migrar a soluciones que cumplan con los requisitos de esta normativa. Todo indica que el Banco de España fijará esta «moratoria» en solo catorce meses: de ahí que sea fundamental que los sitios web se vayan adaptando con urgencia a esta nueva realidad.

Como decíamos, el objetivo de la Directiva es reforzar y actualizar cuestiones relativas a la seguridad de pagos online y a los derechos de los consumidores, aumentando así la protección contra fraudes en operaciones realizadas a través de Internet. Unos de los que más van a notar esta norma son los marketplaces que perciban pagos de los compradores y los entreguen a los vendedores, pues si no modifican su operativa, pueden llegar a convertirse en «proveedores de servicios de pago» y necesitar una licencia para desarrollar su actividad, con la complejidad que de ello se deriva; pero también se introducen obligaciones como la rectificación inmediata en operaciones no autorizadas adecuadamente por los usuarios, la integración de las plataformas de pago en las propias páginas de los eccommerce o la responsabilidad por operaciones no autorizadas (reduciéndose la cantidad máxima que deben soportar los usuarios / víctimas de 150 a 50 euros).

Sin embargo, el grueso de la regulación recae sobre las entidades bancarias y prestadores de servicio de gestión de pagos, como consecuencia de las obligaciones de SCA. En esencia, exige que la autorización de una determinada operación online venga condicionada a la comprobación de la identidad del usuario con al menos dos de los siguientes métodos:

  • Algo que el usuario tenga, como un teléfono móvil o una tarjeta física.
  • Algo que el usuario conozca, como una contraseña o un código PIN.
  • Algo que sea inherente al usuario, como su huella dactilar o el reconocimiento facial.

De este modo, puede afirmarse que esta Directiva trata de estandarizar los procesos de autenticación en las operaciones de pago online, estableciendo un marco común y aumentando su seguridad. No obstante, existen ciertas operaciones exentas de la doble comprobación, como pueden ser:

  • Las transacciones que no superen los 30€, siempre y cuando el importe de la última transacción autenticada sea inferior o igual a 100€ y el número de transacciones inferior o igual a cinco.
  • Los pagos periódicos o suscripciones, siempre y cuando el primer pago haya sido realizado mediante doble autenticación.

Si bien a priori puede parecer que estas cuestiones incumben únicamente a bancos o proveedores de pagos, como comentábamos se trata de una cuestión que afecta directamente a cualquier titular de un comercio electrónico, ya que en caso de fraude o falta de implantación de estas medidas, la responsabilidad recae sobre el propio titular. En consecuencia, es totalmente recomendable informarse acerca de los términos suscritos con nuestra entidad y consultar con ella el modo de realizar la implantación y de dar posterior cumplimiento a los requisitos exigidos normativamente.

¿Eso es todo? En absoluto. No queremos dejarnos en el tintero otras cuestiones que, directa o indirectamente, están relacionadas con la Directiva PSD2. Así, resulta fundamental adaptar el ecommerce a la normativa de protección de datos, que impone una serie de obligaciones al titular del sitio web, en su condición de responsable de tratamiento de los datos de sus clientes, entre otras cuestiones. Del mismo modo, es necesario cumplir con los deberes de información que la legislación de consumidores y usuarios y de sociedad de la información imponen, sin mencionar que también resulta imprescindible contar con unos buenos términos y condiciones generales de compra o contratación que establezcan unas reglas claras para la venta de productos y servicios en nuestra plataforma.

En resumen, son varias las cuestiones a tener en cuenta para dar cumplimiento a PSD2, y de entre ellas, destaca la necesidad de implantar un sistema eficaz de doble autenticación; no solo por cumplir con los estándares exigidos normativamente, sino también por tratarse de una cuestión inexcusable que tiene como objeto garantizar la integridad y seguridad de nuestro servicio. Ahora bien, sin dejar de lado el resto de obligaciones aplicables a nuestra plataforma, para evitar que la sorpresa legal nos llegue por otro cauce, y al final resulte que el incumplimiento de PSD2 no sea más que la punta del iceberg.