Parlem de ecommerce quan es realitza la distribució, venda, compra, màrqueting i subministrament d’informació de productes o serveis a través d’Internet. Les organitzacions i els autònoms que disposin de botiga virtual i recullin dades personals han de complir els requisits legals de les normatives vigents en Protecció de Dades: La LSSIce (Llei 34/2002, de Serveis de la Societat de la Informació i comerç Electrònic), el RGPD (Reglament General de Protecció de Dades UE 2016/679) i la LOPDGDD (Llei orgànica 3/2018 de Protecció de Dades Personals i Garantia dels Drets Digitals).
8 formes en el qual l’ecommerce pot infringir el RGPD:
- Comptar amb un sistema de consentiment tàcit, per a l’ús de les dades personals dels usuaris. És a dir un consentiment no exprés: Abans es podien usar les dades de l’usuari si aquest no deia el contrari.
- No tenir sistema de verificació d’edat: L’edat per al consentiment de tractament de dades és fins als 14.
- No tenir un sistema de recollida de dades complet: No sols és important manejar de manera segura les dades, sinó manejar les dades exactes, adequades, pertinents i limitades a allò necessari. Perquè l’empresari o responsable del maneig de les dades no incorri en infracció per manejar dades inexactes, ha de posar totes les mesures necessàries perquè el client li doni informació el més fidel possible.
- No tenir una política interna d’ús de dades regulada: És imprescindible que tota la plantilla o el propi autònom tingui definida una correcta política d’ús de bases de dades. Si per una distracció o desconeixement algú usa una dada d’un client per a una altra activitat del negoci per al que no està permès, la sanció seria considerable. Es tracta d’un punt fonamental, a més, en els espais de treball de l’empresa, on cal ser extremadament acurat en com es dóna ús i trasllat a aquesta mena d’informació en el dia a dia.
- No tenir Delegat de Protecció de Dades (DPD) quan les normatives ho requereixin. Llegir qui ha de disposar de DPD aquí: https://assplus.org/es/dpd/.
- No disposar Termes i condicions web correctament adequades.
- No tenir un bon sistema informàtic contra ciberatacs: Per a blindar-se enfront dels atacs de tercers són imprescindibles els sistemes de protecció i /o protocols de seguretat de la informació, i més si s’usen dades de caràcter personal aliens.
- No incloure l’avaluació i prevenció dels riscos en la gestió de l’empresa: De cara a gestionar eficaçment, analitzar i prevenir, l’empresa ha de comptar amb un apartat o protocol concret d’avaluació de riscos en aquesta àrea, així com amb plans d’actuació ja preparats davant els possibles casos de crisis, on desenvolupar com actuar davant la llei, les autoritats i les persones que han cedits les dades.