| |
|
|
Recomendaciones de la AGPD al Sector del Comercio Electrónico para la Adecuación a la LOPD, España. |
|
Durante los meses de septiembre, octubre y noviembre de 2000, la Agencia de Protección de Datos llevó a cabo una inspección sectorial cuyo objetivo era determinar si las entidades que actualmente desarrollan su actividad comercial a través de Internet cumplen con los principios de la legislación vigente en materia de protección de datos, así como coadyuvar al cumplimiento de la misma, a cuyo efecto el Plan de Inspección culmina con las pertinentes Recomendaciones, en las que se recogen los criterios que han de seguir las entidades inspeccionadas para el mejor cumplimiento de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (LOPD).
En el transcurso de esta inspección se analizaron dos de las modalidades de comercio electrónico en las que el ciudadano tiene una clara participación: la que se establece entre empresa y consumidor (B2C) y la venta directa entre consumidores (C2C). Por otra parte, el análisis se circunscribió a las entidades que comercian a través de la Red, dejando de momento a un lado a aquellas otras que tan sólo disponen de portales generalistas entre cuyos servicios no se ofrece la adquisición on-line de productos o servicios, a pesar de que también estas compañías recaban gran cantidad de datos sobre los usuarios que deciden registrarse. En este sentido, sólo se incluyeron en nuestro análisis algunos portales que sí realizaban actividades de comercio electrónico. Las conclusiones vertidas aquí, por tanto, se han obtenido como resultado de las actuaciones de inspección practicadas en las denominadas tiendas virtuales, entendiendo como tales las webs que permiten al usuario la compra, directa o indirectamente, de un producto o servicio, de forma tal que la transacción comercial (a excepción de la entrega del bien adquirido) quede cerrada on-line.
Se analizaron 44 webs desde las que se desarrollaban actividades de comercio electrónico. Considerando la gran diversidad existente en el sector, en la inspección se optó por seleccionar varios representantes de cada uno de los siguientes grupos:
Portales generalistas: webs que, aparte de ofrecer servicios electrónicos como noticias, correo web o foros, incorporan además la venta de productos o servicios en general.
- Grandes centros comerciales: versión electrónica de algunos grandes centros comerciales (híper, súper).
- Tiendas especializadas en la venta de determinados productos y servicios: libros, música, cine, bebidas alcohólicas, viajes, ocio, cosmética, informática o telecomunicaciones.
- Intermediarios comerciales: webs que no son tiendas propiamente dichas pero desde las cuales el usuario puede seleccionar la tienda virtual que más se adecua a sus necesidades (buscadores de tiendas) y también aquéllas otras webs desde las que los usuarios compran y venden sus propios productos siguiendo la modalidad de subasta.
En la totalidad de las webs analizadas se pudo determinar el nombre de la compañía que había registrado el dominio correspondiente en Internet, verificándose por el contrario que no siempre se informaba desde la propia web del nombre del responsable del fichero en el que se incorporan los datos personales recabados. En este sentido, se comprobó también que en 12 de las 44 webs analizadas (27%) no se hacía ninguna referencia a la información que establece el apartado 1 del artículo 5 de la LOPD , mientras que en el resto sí se incluía un texto con el que se pretende cubrir en mejor o peor medida ese requisito legal.
También se verificó que, a la fecha de la inspección, los responsables de 16 de las 44 webs analizadas (36%) no figuraban aún inscritos en el Registro General de Protección de Datos, cuando en la práctica totalidad de los casos resultaba evidente que recababan datos personales desde las citadas webs Se comprobó que, en la mayor parte de los casos, los usuarios deben registrarse con carácter previo a la realización del oportuno pedido, facilitando para ello sus datos identificativos (nombre completo, dirección postal, dirección electrónica, número de teléfono) y, en ocasiones, edad o fecha de nacimiento, número de D.N.I. Una vez registrado, el usuario dispone de un código que le permitirá identificarse (generalmente coincidente con su dirección electrónica) y una contraseña para autenticar su identidad. De esta forma, al realizar cada pedido sólo tendrá que identificarse, sin necesidad de facilitar en cada ocasión sus datos personales. Generalmente, todas las compras realizadas a través de la web quedarán asociadas al identificador de usuario seleccionado. Por otra parte, si el usuario decide realizar el pago mediante su tarjeta de crédito/débito, cada vez que realiza una compra debe también facilitar el código identificativo de la misma (16 dígitos) y su fecha de caducidad.
En materia de seguridad, de las 44 webs analizadas sólo 24 (54%) utilizaban el protocolo HTTPS (SSL) para establecer un canal seguro de comunicación entre el servidor y el usuario para el envío de sus datos personales. Así, los datos se envían cifrados al servidor, de tal forma que, aun en el supuesto de que la línea fuese escuchada por terceros no autorizados, éstos no podrían acceder a los datos de forma inteligible. En general, el canal seguro sólo se establece para la recogida de los datos asociados al pedido realizado, entre los que puede figurar, como ya se ha comentado, el código identificativo de la tarjeta de pago. Sin embargo, algunas webs también establecen un canal seguro para la recogida de los datos facilitados por el usuario en el momento de registrarse.
Leer artículo completo |
|
