Hay pocas cosas más sencillas
para un comerciante que vender sus productos por internet, del mismo modo que,
para un consumidor, no existe nada más cómodo (y en ocasiones barato) que
comprar a través de la red. El comercio electrónico tiene innumerables ventajas
para clientes y empresas, pero también conlleva una serie de riesgos asociados,
propios de la venta a distancia en la que no existe contacto físico entre
vendedor y comprador. En muchos casos, para comprar cualquier artículo online
se han de rellenar numerosos formularios. Si la operación de compra se realiza
en entornos poco seguros, se abre y multiplica la posibilidad al riesgo de que
terceros realicen un uso ilícito de los datos de carácter personal aportados.
Si en la web de una empresa,
profesional o entidad se recaban datos de carácter personal de los usuarios
mediante un formulario, conforme a lo dispuesto en el artículo 5 de la LOPD, el Responsable del Fichero debe informar a los interesados: de la
existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de datos y de los destinatarios de la información, de
la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación
y oposición y de la identidad y dirección del responsable del
tratamiento, entre otras. Esta información debe ponerse a disposición del
usuario en la denominada “Política de Privacidad” que deberá ubicarse en el
mismo formulario.
Registro de los ficheros en la AEPD
La creación de ficheros de datos
personales ha de notificarse previamente a la Agencia Española de Protección de Datos para, posteriormente, regularizar dicha notificación con la
identificación del responsable del fichero, la finalidad del mismo, su
ubicación, el tipo de datos personales que contiene, las medidas de seguridad
exigibles y las cesiones de datos personales que se prevean realizar. Todo
cambio que se produzca en el fichero debe ser comunicado a la AEPD, que dará de
alta el fichero, siempre y cuando se ajuste a los requisitos exigibles.
Los derechos ARCO (Acceso,
Rectificación, Cancelación y Oposición) son los que amparan al titular de los
datos, al que no se puede exigir contraprestación alguna por el ejercicio de
los mismos.
Una inspección sectorial
realizada en el año 2000 por la Agencia Española de Protección de Datos, que
tenía como objetivo determinar si las entidades que desarrollaban su actividad
comercial a través de internet cumplían con la legislación en materia de
protección de datos, puso de manifiesto que en algunas de estas tiendas no se
identificaba explícitamente al responsable del fichero. Ello, añadía la
Agencia, provocaba indefensión al afectado en lo relativo a la protección de
sus derechos. La investigación, realizada a 44 webs, subrayaba la “insuficiente
información” que se facilitaba al usuario en el momento de recabar sus datos
personales. 13 años después se ha mejorado bastante en este aspecto, pero se
siguen observando evidentes deficiencias y carencias al respecto.
La falta de información de la que
hablaba la inspección se acentúa cuando el cliente no consigue distinguir
claramente quién es el comerciante con el que va a realizar una transacción
económica. Y es que en un proceso de compra por internet pueden llegar a
intervenir numerosos actores: el que gestiona el servidor web, el propio
comerciante, el que autoriza la transacción financiera, el que se encarga de
emitir los documentos que otorgan la titularidad del producto (una agencia de
viajes, por ejemplo), el que sirve el producto o la atención al cliente. El
comprador debe saber cuál de todos ellos es el que decidirá sobre el uso y
finalidad de sus datos personales, y ante quien puede ejercer sus derechos de
acceso, rectificación, cancelación y oposición.
Fraude online: Phising y Pharming.
Para aquellos que utilizan
internet habitualmente para realizar compras o transacciones bancarias, la AEPD
lleva años advirtiendo sobre el phising y el pharming, fraudes cada vez más
conocidos pero que día a día encuentran nuevas víctimas. El primero consiste en
enviar a usuarios de banca electrónica correos falsos, en los que haciéndose
pasar por una entidad bancaria, solicitan datos personales como el nombre y las
claves del usuario. El pharming, por su parte, se basa en duplicar exactamente
la web de un banco, de forma que el usuario cree que está navegando por la
auténtica e introduce en ella sus claves de acceso a las cuentas.
Por último, destacamos dos útiles
recomendaciones de la AEPD para hacer un uso más seguro de la comercialización
electrónica: utilizar servicios que operen mediante conexiones seguras ( tipo
https), y utilizar tarjetas de crédito para uso específico en internet.