Archive for the 'Comercio electrónico' Category

Comercio electrónico: Los tracking y la LOPD

Últimamente me ha estado rondando en la cabeza, lo bien que funcionan algunos sitios en Internet que se dedican a la venta online (o al comercio electrónico). Está claro que la visión que hoy tenemos de la compra por Internet difiere mucho a la de hace algunos años. Antes, lo que más preocupaba era tener que dar el número de la tarjeta para comprar, cosa que ahora, ya no genera tanto miedo (a no ser que compres en la web http://www.mafiosos.tu).

Particularmente, además de la confianza por el uso de estas nuevas formas de comprar productos, creo que una de las cuestiones del éxito del comercio electrónico es el desarrollo de la logística. Las empresas de transportes siempre han existido, desde el antiguo monopolio de Correos y Telégrafos hasta el gigante FedEx (no puedo evitar que me venga a la cabeza, al hablar de esta compañía, Tom Hanks y su amigo Wilson y gracias Jon por el apunte). Pero últimamente, considero que hay un pequeño “boom” en este tipo de compañías. Sin ningún ánimo publicitario: SEUR, MRW, ChronoExpress, ASM,…. son algunos ejemplos que, o bien, han crecido exponencialmente, o bien han aparecido hace unos pocos años.

Pero ¿a que se debe? Pues sin duda, uno de los motivos es el comercio electrónico. Hace unas semanas estuve en una delegación de una de estas compañías y el 75% de la paquetería a repartir era BuyVip y Amazon. Sin duda ejemplificador.

Un procedimiento estándar en la compra por Internet es:

  • Un usuario compra en la web. Y obviamente facilita unos determinados datos personales para la facturación y envío del producto comprado.
  • Se procede al pago (generalmente mediante tarjeta de crédito).
  • La web procesa el pago.
  • Se envía un correo electrónico al usuario señalando que se ha realizado el envío. Habitualmente, estos correos electrónicos llevan consigo un “número de seguimiento” o tracking, para que el usuario pueda ver, en la web de la empresa transportista, cómo está su envío.
  • El comprador recibe su producto.

Ese tracking no sólo da información puntual de si el envío está en almacén, está en transito o ya ha salido en reparto, sino que también, muestra los datos identificativos del usuario y su dirección. Hasta aquí todo correcto e, incluso, podíamos pensar que es un servicio de valor añadido al comprador, pero ¿y si entra en juego nuestra querida LOPD?

Me explico: Generalmente esos números (de unas 10 o más cifras) se suelen colocar en un buscador de la web del transportista para dar la información, pero ¿alguien ha probado a poner un número de seguimiento diferente al facilitado (por ejemplo sumando 1 o 2 al que nos han dado)? Pues nos podemos encontrar con la sorpresa de que nos de la información de otra persona. Esta situación ¿cómo encajaría con el artículo 10 de la LOPD? Conociendo a la Agencia de Protección de Datos, no sería difícil encontrarnos ante un incumplimiento del deber de secreto. Cuestión diferente es quien sería el incumplidor: ¿la web de comercio electrónico o la empresa de logística? Pero esto ya sería otro debate diferente al que quiero mostrar.

Desconozco si,  para evitar riesgos relacionados con la privacidad, o por otros motivos no jurídicos, algunas compañías, exigen un “plus” y exigen, además del número de seguimiento, otra información adicional, como pudiera ser en código postal donde se tiene que remitir el paquete. Está claro que esto mitigaría un acceso a información personal no consentida y, por tanto, un hipotético incumplimiento del deber de secreto, pero ¿cómo queda el deber de seguridad del artículo 9 de la LOPD? Y más concretamente, ¿se cumpliría con el artículo 93.2 del RLOPD?:

Artículo 93. Identificación y autenticación.

(…)

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

(…)

Así pues, con ese número de seguimiento, ¿no se estaría accediendo a un sistema de información con datos de carácter personal? Es más, ¿se podría considerar a ese tracking como un sistema de identificación y autenticación acorde a la LOPD? Yo creo que no.

Como conclusión, y como no podría ser de otra manera, debemos ser conscientes que las nuevas formas de negocio por Internet, no sólo tienen que dar un servicio añadido a sus clientes, sino que deben ser conscientes de los riesgos legales de ofrecerlos sin tener en cuenta las consecuencias jurídicas. En materia de protección de datos, se habla últimamente de privacy by design. En algunos sistemas de tracking, si se hubiera tenido en cuenta esto, no nos encontraríamos con lo que he expuesto en este post.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Anuncios

Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Interoperabilidad y seguridad: ¿interna o externa?

Posiblemente a los lectores versados en la materia considerarán que la interoperabilidad  y  seguridad son materias consolidadas, sin que la característica relativa a sus interlocutores aporte ninguna cualidad diferencial. Ciertamente, en el ámbito de la regulación legal ambas cualidades tienen un contundente apoyo legal, tanto por los artículos 41 y 42 de la derogada LAECSP, […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica