Normativa Aplicable Al E-Commerce

UD016660_V(01) MD.PlantillaTexto(04)Esp.
dot
NORMATIVA APLICABLE AL E-COMMERCE

ÍNDICE
TU RETO EN ESTA UNIDAD ........................................................................ 3

1. EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) ........ 5
1.1. DATOS PERSONALES .................................................................................... 9
1.2. EL RPGD ....................................................................................................... 12
1.3. EL DOCUMENTO DE REGISTRO .................................................................. 15
1.4. PROTOCOLOS DE ALMACENAMIENTO ...................................................... 17
2. LA LEY DE SERVICIOS DE LA SOCIEDAD DE INFORMACIÓN Y
COMERCIO ELECTRÓNICO (LSSI) ....................................................... 20
2.1. INFRACCIONES Y SANCIONES.................................................................... 29
2.2. ENMIENDAS Y ACTUALIZACIONES ............................................................ 30
2.3. MODALIDADES Y PLATAFORMAS DE PAGO ............................................. 31
2.4. FUNCIONAMIENTO DE LAS PASARELAS DE PAGO ................................... 38
¿QUÉ HAS APRENDIDO? .......................................................................... 41
AUTOCOMPROBACIÓN............................................................................ 43
SOLUCIONARIO ....................................................................................... 45
EXCLUSIVO PARA ALUMNOS TOP .......................................................... 46
BIBLIOGRAFÍA ......................................................................................... 47
1
TU RETO EN ESTA UNIDAD
Vivimos inmersos en la era de la telecomunicación y en ella los datos que viajan

por las redes no conocen fronteras. Muchas de nuestras acciones en Internet
implican dejar a la vista -o al menos al acceso de algunas personas- datos relati-
vos a nuestra intimidad y que, por Ley, no deben ser expuestos ante el público
que nosotros no autoricemos.
Y aunque cada país del mundo dispone de una legislación propia destinada a
proteger esos datos (Derecho a la Intimidad), lo cierto es que la ausencia de
esas fronteras físicas difuminadas por internet ha hecho de esta cuestión uno
de los más candentes debates de la actualidad. Únele a eso que los datos reca-
bables a partir de nuestra navegación, como las direcciones, los intereses o los
horarios de navegación son “el oro del siglo XXI”, de modo que su adquisición y
venta masiva a las bases de datos de ciertas empresas, destinadas a campañas
de publicidad, son un lucrativo negocio que mueve cientos de millones de euros
al mes.
A este fin, en España rigen dos instrumentos legales que abarcan este campo y
lo regulan. Se trata, por un lado, de la Ley Orgánica de Protección de Datos y
Garantía de Derechos Digitales (LOPDGDD), que es una adaptación del Regla-
mento General de Protección de Datos (RGPD), vigente en la Unión Europea
desde el 25 de mayo de 2018. Y por otro, la Ley de Servicios de la Sociedad de
Información y Comercio Electrónico (LSSI), que se encarga de acotar y estable-
cer los criterios de compraventa en Internet, de modo que los derechos de los
ciudadanos queden salvaguardados y el manejo de instrumentos cibernéticos
para el comercio en la red se atenga en todo momento a Derecho.
3
Por otra parte, la seguridad en Internet es otro factor de enorme importancia

hoy día, en el que los ciberataques y las estafas se han establecido como un
peligro y, de modo correspondiente, es necesario implementar y mantener una
serie de medidas de seguridad y de precaución. Las ventas por internet, como
hemos visto, suponen una tendencia al alza en proporciones inimaginables hace
menos de veinte años, y no debemos olvidar que incluso los bancos y entidades
financieras manejan cada día enormes cifras de dinero a través de operaciones
y transacciones en la red.
Las acciones fraudulentas en esta área están tipificadas como delitos, algunos
de ellos penados con multas elevadas y años de cárcel. Por eso es importante
tanto conocer los recursos de seguridad que existen para proteger nuestra in-
formación y la de nuestros clientes, como saber qué instrumentos legales nos
amparan para tener bien asegurada la protección de nuestros datos y de todo
el entorno digital donde interactuamos con ellos.
En esta Unidad Didáctica aprenderás:
 Qué es la protección de datos y cómo se aplica en términos legales y

comerciales.
 Qué Leyes de Protección de Datos afectan al E-Commerce en Es-

paña y cómo debemos entenderlas y utilizarlas en nuestros proyectos.
 Cómo se relacionan estas Leyes con las de otros países y merca-

dos; y cómo acudir a ellas cuando surja un conflicto o duda al respecto.
 Cómo proveer y adaptar nuestros sistemas y contenidos web para

que sean seguros y para que nuestros clientes tengan la tranquilidad y
la confianza de que sus datos personales están a buen recaudo, que-
dando libres de estar expuestos a la intromisión, al uso ilegal o al robo
por parte de terceros.
4
1. EL REGLAMENTO GENERAL DE PROTECCIÓN

DE DATOS (RGPD)
La conocida Ley Orgánica de Protección de Datos (LOPD) fue promulgada en

España en 1999, ante la progresiva presencia de Internet en todos los ámbitos
de la vida y la inminente imposición del modelo digital de comercio que hoy,
más de 20 años después, es una realidad habitual y cotidiana.
Esta ley, muy novedosa en su momento, tenía como objeto “garantizar y prote-
ger, en lo que concierne al tratamiento de los datos personales, las libertades públi-
cas y los derechos fundamentales de las personas físicas, y especialmente de su ho-
nor e intimidad personal y familiar”, según consta en el Boletín Oficial del Estado
(BOE) en su edición del 13 de diciembre de 1999, fecha en que fue promulgada.
Hasta entonces, la protección de cualquier fichero de datos -digital o físico-
quedaba a expensas de la legislación sobre propiedad privada y derechos de
imagen al uso.
Es decir, los datos eran considerados un “objeto” más, como un reloj, una ma-
leta o una vivienda, que había que salvaguardar como cualquier otra posesión
personal. Y en caso de que esos ficheros fuesen robados o extraviados, el proce-
so para denunciarlos y recuperarlos no era muy diferente del que había que em-
plear ante un robo por despiste o, como mucho, un atraco a mano armada.
Sin embargo, a partir de este momento las cosas empezaron a cambiar. Se hizo
habitual empezar a rellenar impresos que nos concienciaban a “cuidar la pose-
sión y el manejo de nuestros datos personales” a la hora de comprar un billete
de autocar o de avión, o cada vez que al adquirir un bien de consumo estuvié-
semos obligados a notificar por escrito nuestra dirección, teléfono, familia o da-
tos bancarios.
5
En pocos años, la firma de estos documentos fue una medida más a la que tu-
vimos que acostumbrarnos, a la que había que añadir el rellenar una casilla en
la que autorizábamos o denegábamos la cesión de esa información a otras
empresas relacionadas con la entidad en la que acabábamos de comprar o
vender algún bien o servicio.
También se hizo obligatoria la presencia de rótulos y carteles indicando que el

local en cuestión tenía cámaras y sistemas de seguridad cuyos contenidos que-
daban protegidos por la “Ley de datos”. Y también la habitual coletilla que dice
“Usted tiene el derecho de acceso, rectificación, supresión o bloqueo de los datos al-
macenados en virtud de esta ley”, que seguramente te suena, ya que sigue vigente
a través de los Derechos de Acceso a la Información, otra figura legal directa-
mente relacionada con este asunto.
Esta imagen, hoy habitual, nació con la LOPD (Fuente: Wikimedia Commons)
Y aunque muchos se siguen refiriendo a la Ley española de protección de datos

como LOPD, lo cierto es que el nombre completo de la normativa actual es Ley
Orgánica de Protección de Datos y Garantía de Derechos Digitales
(LOPDGDD). Esta nueva ley, que en realidad es una mejora de la anterior, entró
en vigor el 6 de diciembre de 2018, mediante la aplicación del Reglamento Ge-
neral de Protección de Datos de la Unión Europea (RGPD). Se establecía así un
estándar a nivel comunitario, que es el que actualmente sirve de base para las
legislaciones respectivas de los 27 estados miembros de la UE.
6
Tal y como recoge Wikipedia: “el Reglamento General de Protección de Datos

(RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo
que respecta al tratamiento de sus datos personales y a la libre circulación de estos
datos. Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de
2018, dos años durante los cuales las empresas, las organizaciones, los organismos
y las instituciones se fueron adaptando para su cumplimiento”.
Especificando además que “es una normativa a nivel de la Unión Europea, por lo
que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la
Unión Europea, que manejen información personal de cualquier tipo, deberán aco-
gerse a ella. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 mi-
llones de euros”.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) señala a este

respecto: “La importancia del uso de los datos para crear nuevos servicios y dar
soporte a los existentes está en continuo crecimiento. El dato es el combustible o la
nueva materia prima del siglo XXI e incluso podemos hablar de la «economía del
dato», aunque sin olvidar en ningún momento los derechos de los ciudadanos en el
mundo digital, en concreto a la protección de la intimidad, y al mismo tiempo el libre
flujo de datos personales”.
Parece claro que, en el momento actual, toda acción en el mundo real tiene un
equivalente en el mundo digital. De este modo, si es necesario proteger legal-
mente nuestros bienes en el terreno físico, no lo es menos tener que hacerlo
con nuestros datos informáticos. Y más cuando, como hemos visto repetida-
mente a lo largo de este curso, los datos son “el oro del siglo XXI”.
No es solo una frase hecha: al llevar nuestra vida a In-

ternet y sus redes sociales, el tópico de que “los or-
denadores lo saben absolutamente todo sobre noso-
tros” es una certeza casi total. El uso responsable de
la informática (tanto de nuestros dispositivos físicos y
nuestras acciones offline como de nuestras redes y
nuestra navegación) a la fuerza incluye cuidar de la
privacidad de todo aquello que hagamos con ellos.
No olvides que TODO lo que guardas en ellos puede
ser sustraído con fines ilícitos.
7
La finalidad de la LOPDGDD es proteger la intimidad, privacidad e integridad de

las personas, tal y como refleja el artículo 18.4 de la Constitución Española. Pero
no solo defiende estos derechos, sino que establece y regula también las obli-
gaciones del individuo en lo tocante a sus datos, y la seguridad en el proceso de
intercambio.
Portada de prensa de 2018 anunciando la entrada en vigor de la LOPGDD (©Diario Expansión)
Pero, aunque el marco que abarca esta Ley es la protección de todos los datos,
tanto si se trata de documentos impresos como de ficheros digitales, lo que nos
atañe en esta Unidad Didáctica es cómo establece un marco legislativo para la
protección de datos personales en Internet. En este sentido, avanza sensible-
mente frente a la LOPD de 1999, ya que incorpora nuevos puntos muy a tener
en cuenta, como pueden ser los procesos para obtener el consentimiento de
uso de estos datos o los derechos al olvido o a la portabilidad. Estos aspectos
han sido, durante los últimos años, fuente de numerosos conflictos administra-
tivos y judiciales, y constataban la necesidad de redactar nuevos textos legales
para actualizar un panorama en el que los avances tecnológicos no podían ir
por delante de la resolución de conflictos entre las empresas o las personas.
8
1.1. DATOS PERSONALES
¿Qué son exactamente los datos personales en Internet?
Por datos personales entendemos las piezas de tex-

to, imagen o audio que son los que están relaciona-
dos con una persona identificada o identificable.
Es decir, los que constituyen identificadores online como nombre de usuario,

correo electrónico, direcciones IP, las cookies en las páginas web, etiquetas
RFID, datos de geolocalización, etc.
Algunos son de poco riesgo, caso del e-mail, el nombre o el sexo de las perso-
nas, mientras que otros, a menudo denominados información sensible, implican
mayor relación con la intimidad y por tanto su manejo tiene más riesgo. Son los
que se refieren a ideología política, orientación sexual, creencias religiosas, in-
formación relativa a la salud o relaciones de parentesco.
No se consideran datos personales aquellos que no

permiten identificar a una persona.
No se consideran datos personales aquellos que no permiten identificar a una

persona. Por ejemplo, manuales técnicos, documentos anónimos, previsiones
meteorológicas o datos que, por haber quedado obsoletos con el paso del tiem-
po, ya no se puedan relacionar con ningún individuo. En este caso, la normativa a
cumplir es el Reglamento de libre circulación de datos no personales, que es al
que deberemos acudir pero que en esta Unidad Didáctica no nos afecta.
9
Así pues, en el ámbito digital se consideran datos personales los recabados “al
cumplimentar los pedidos o durante el curso de nuestros servicios: su nombre
y apellidos, direcciones, datos de facturación, datos de solvencia económica,
DNI, datos biométricos o de salud, edad, estado civil, números de teléfono,
correos, identificadores en redes sociales”, indica el Instituto Nacional de Ciber-
seguridad. Y en consecuencia también son datos personales los análogos de
nuestros empleados y clientes, “incluidos los datos profesionales o de formación
y los de nuestros contactos en proveedores”, añade el INCIBE.
Una de las principales problemáticas de nuestro tiempo es la globalización de

las telecomunicaciones y las diferencias legislativas que se dan entre los distin-
tos estados del mundo. Aunque hemos visto que Internet no conoce fronteras,
eso no significa que en el mundo real ocurra lo mismo. La revolución de Internet
no ha sido una revolución política o una inversión de los valores económicos,
sino un cambio profundo en la forma de las estructuras en que nos relaciona-
mos, aunque no tanto en el fondo de nuestras ideas. Dicho de otro modo, los
cambios generados por la irrupción masiva de internet han transformado los
procedimientos de transacción económica, mientras que las acciones básicas
de ese tipo que se dan en el mundo real permanecen prácticamente iguales. Así
es que las fronteras físicas siguen siendo reales, como lo son los impuestos, los
aranceles o la necesidad de efectuar cambio de moneda en otros países.
No es de extrañar que el enfoque legal a este respecto entre países de distintos

entornos y tradiciones sean muy distintos. El ejemplo habitual es la diferencia
que, a nivel global, marca el contraste entre los países de la Unión Europea Eu-
ropa y los EEUU. Por eso, las empresas que operan en ambos mercados (y los
usuarios de es esas multinacionales a ambos lados del Atlántico) han tenido que
modificar y adaptar sus términos de funcionamiento, cada orilla a su manera,
para cumplir los parámetros del reglamento. El siguiente ejemplo, recogido por
TB Search, es muy ilustrativo al respecto:
“La ideología estadounidense detrás de la privacidad de datos es equilibrar la habili-

dad de una entidad de monetizar los datos que recoge (fomentando así la innova-
ción) con la expectativa de los usuarios sobre privacidad (siendo esas expectativas, al
parecer, bastante bajas en Estados Unidos) mientras que, en la UE, el foco está en
proteger la privacidad de los usuarios. Un buen ejemplo de esta dicotomía es el caso
Google en España. Un ciudadano español pidió que se quitara del buscador de Goo-
gle cierta información, algo que bajo la ley de la UE está permitido. Google se opuso
a su petición en el tribunal. Por una parte, estaba la libertad de expresión (funda-
mental en Estados Unidos) y el derecho del público a saber reivindicado por Google,
y por la otra, el derecho europeo a la privacidad y al ser olvidado que argumentaba
el demandante europeo. El Tribunal de Justicia Europeo dictaminó que el equilibrio
de intereses se inclinaba a favor de la privacidad del español”.
10
De este modo, hay que partir de una premisa: las mentalidades propias de los
distintos países siguen siendo las mismas, lo que incluye que existen diferencias
patentes entre ellos, que además evolucionan según lo hacen sus respectivos
entornos sociales. Y no siempre lo hacen en la misma dirección. Por eso es ne-
cesario, si interactuamos comercialmente con un país americano, asiático o afri-
cano, que tengamos en cuenta la diferencia de costumbres, usos y comporta-
mientos que puede implicar esa distancia física (a pesar de que en Internet po-
damos interactuar y conversar con ellos en tiempo real).
¿Alguna vez has viajado a países sajones como Ingla-

terra, Alemania o Irlanda? ¿No es llamativo que, en
esos países, a diferencia de lo que ocurre España,
tengan la costumbre de cenar a media tarde o que el
ocio nocturno se acabe, por lo general, alrededor de
la medianoche? También habrás observado las distin-
tas formas que tienen de organizar los horarios labo-
rales o incluso la manera en que se compran y ven-
den determinados artículos. Esos son es algunos
ejemplos cercanos de que la diferencia de mentali-
dades sigue vigente. No lo olvides a la hora de rela-
cionarte, tanto personal como comercialmente, con
clientes de otros países.
La uniformización de las legislaciones tiende a equiparar las tasas de PIB (©Wikimedia Commons)
11
1.2. EL RPGD
Como punto de partida, cualquier sitio web que recabe información de sus visi-
tantes, tanto si es de tipo comercial o no, debe atenerse a observar y respetar lo
que dicta al Reglamento de Protección de datos. Estos datos son recogidos y
almacenados a partir de la navegación del usuario por las cookies, pequeños
archivos que capturan las características -duración, páginas visitadas, tiempo de
estancia y parámetros técnicos- del usuario que efectúa esa cada visita.
Por esta razón nos encontramos con webs en nuestra navegación diaria que,
antes de navegar por sus páginas, nos piden que leamos y aprobemos formula-
rios que exigen al usuario informar si es mayor de edad; aceptar la política de
privacidad y protección de datos, y admitir la inclusión de cookies en su navega-
dor. También se suele indicar, bien con un texto adjunto o con un enlace, los
términos que implica aceptar ese formulario.
Una de las variables más elementales de formulario de tratamiento de datos
12
Llegados a este punto, el RGPD es el texto legislativo que tipifica y determina, de

toda esa información, los que se consideran los tres tipos principales de datos
personales:
1. Los que definen la ideología, la pertenencia a organizaciones políticas y

sindicales y las creencias religiosas.
2. Los historiales médicos, los indicadores de salud, genéticos y biométri-

cos, los datos relativos al origen racial o étnico y los datos sobre la
orientación y la actividad sexual.
3. Los registros de sanciones administrativas y penales (multas, condenas

judiciales, estancias en prisión).
De este modo, según señalábamos más arriba, esta ley garantiza los siguientes
derechos para todos aquellos que visiten nuestra web:
 Derecho de acceso a los propios datos personales; todo aquel usua-

rio que acepte la admisión en su navegador de las cookies tiene dere-
cho a ser informados de los datos que va a facilitar, de los fines del tra-
tamiento, del plazo de conservación y de las personas físicas o jurídicas
que van a tener acceso a ellos.
 Derecho de rectificación; cambiar si los datos son incompletos o

inexactos.
 Derecho de supresión; capacidad de exigir su eliminación si se tratan

de forma ilegal, o en caso de que caduque para la finalidad con que se
recogieron. (Este punto es el más controvertido, puesto que existe toda
una jurisprudencia sobre la frontera que separa el Derecho al olvido
del Derecho a la Información).
 Derecho a la limitación del tratamiento, es decir, a solicitar el blo-

queo o la suspensión temporal de esos datos si existen controversias
sobre la finalidad o la legalidad a la que se destina su almacenamiento.
 Derecho a la portabilidad; es la posibilidad de transmitir los datos ya

procesados a otra entidad o proveedor de servicio que ofrezca funcio-
nes análogas.
 Derecho de oposición; consiste en la negativa a que los datos sean

tratados total o parcialmente para otras funciones de las contratadas o
de las estrictamente autorizadas a uno o varios usos concretos y limi-
tados. Esto incluye la negativa a que los datos sean tratados automáti-
camente y transmitidos a perfiles estadísticos para los que no demos
autorización inequívoca y expresa.
13
Esquema de los derechos que recoge el RGDP (© Aplifisa)
Todos estos factores deben ser, por lo tanto, objeto de un documento que de-
bemos facilitar, en vistas a que lo acepten, a aquellos que entren en nuestro
sitio web. La persona responsable de la captación de esos datos, que puede ser
tanto un webmaster individual o una empresa dedicada a marketing digital, de-
be estar en conocimiento directo de quién es la persona responsable de la pro-
piedad y el mantenimiento de esos datos. Este último es quien debe constar en
ese documento como responsable final de la custodia y utilización de los mis-
mos, razón por la que tanto webmaster como propietario-responsable deben
trabajar conjuntamente y estar en contacto para cumplir esta legislación.
El responsable, por tanto, es quien debe elegir a las personas que ofrezcan ga-
rantías suficientes para aplicar medidas técnicas y organizativas para que el tra-
tamiento de datos se realice conforme a los requisitos del reglamento. Por su
parte, los encargados pueden adherirse a códigos de conducta o adquirir los
certificados acreditativos de buenas prácticas que acrediten esas garantías. Sea
cual sea la opción elegida, de esa buena praxis dependerá la seriedad del tra-
tamiento de datos y el buen nombre que nuestra empresa adquiera en el cam-
po de la protección de datos de los usuarios.
14
Considera tu propio caso como usuario: ¿qué datos

no querrías que se supiesen de tu identidad, tus gus-
tos, tus opiniones o tu vida personal cuando te los
pide un sitio web? Ahora ponte en el punto de vista
de un empresario ¿qué datos de tus visitantes son
relevantes para tu negocio? ¿Te aporta algo saber la
identidad sexual o la procedencia de las personas
para vender tus productos? Y si no lo hacen ¿te sirve
de algo acumularlos?
Valora qué te interesa y adquiere solo lo que te pue-
da beneficiar. Esa es una norma válida para el con-
sumo, dentro y fuera de la red.
1.3. EL DOCUMENTO DE REGISTRO
Como usuarios, es sabido que antes de aceptar las cookies debemos leer el
documento que nos indica cuales son los datos recabados durante nuestra na-
vegación y cuál es el tratamiento que se va a hacer con ellos, así como la identi-
dad de los depositarios y durante cuánto tiempo van a estar en su poder. Dicho
documento, a través de un enlace que nos dirija a él, deben reflejar:
a) La identidad del responsable (Nombre, dirección postal, NIF, sitio web

y correo electrónico de contacto).
b) Los derechos que asisten a quienes cedan sus datos (los ya señala-
dos: acceso, rectificación, limitación, supresión, portabilidad y oposición).
c) Los datos propiamente dichos que, mediante las cookies o el empleo

de los servicios que el usuario adquiera al registrarse en el sitio web,
tengan como destino la elaboración de estadísticas, el envío de
publicidad o la cesión a otras empresas. Entre ellos están la direc-
ción IP; el nombre y apellidos; las direcciones postales y de correo elec-
trónico; números de teléfono; todos aquellos comentarios y observa-
ciones adicionales y, en general, cualquier información que registre el
formulario y sea facilitada personalmente por el usuario.
d) También es procedente incluir el desarrollo de herramientas y algo-

ritmos que ayuden a garantizar la confidencialidad de los datos
personales recogidos y para mejorar los servicios del sitio web.
15
e) Además, es necesario incluir un epígrafe que especifique las redes

sociales en las que el titular -o la empresa a la que representa- tenga
presencia y operatividad. El tratamiento de los datos personales en
esas redes se regirá por este apartado, en términos similares al resto
de criterios aceptados.
f) Por último, hay que recordar que la aceptación de las condiciones y la

cesión de datos implican la constancia expresa del amparo legal al que
tienen derecho los usuarios.
Una vez aceptado el documento, podremos almacenar esa información y tratar-

la estadísticamente para los fines comerciales que tengamos previstos. El tiem-
po que podremos conservarlos a ese fin está estipulado, según la LOPDGDD de
2018, en los siguientes plazos:
 Cuatro años en caso de mandato tributario.
 Cinco años para la formulación, ejercicio o la defensa de reclamaciones.
 Seis años respecto los libros de contabilidad.
 Diez años en aquellos supuestos que afecten a la legislación de Blan-

queo de Capitales y Financiación del Terrorismo.
Es imprescindible estar al día en la vigencia de estos

plazos, cuya renovación queda estipulada mediante
su publicación en el Boletín Oficial del Estado (BOE).
Aunque esta información queda ampliamente reco-
gida en los medios especializados en información
económica, no está de más que tomes la iniciativa:
crear alertas de Google o suscribirte a las newsletters
de sitios que se ocupan de notificar cambios en legis-
lación digital son dos buenos recursos que te man-
tendrán al día de manera inmediata.
16
1.4. PROTOCOLOS DE ALMACENAMIENTO
Tanto el webmaster como el responsable del sitio web, así como las personas
autorizadas por este para la gestión de los datos bajo su responsabilidad, de-
ben mantener al día un Registro de Actividades de Tratamiento (RAT). Se
trata de un documento de uso interno -y, por lo tanto, confidencial- que defina
todos los tratamientos de datos que realiza la empresa.
Es obligatorio y a este fin puede ser requerido por la Agencia de Protección de

Datos para inspecciones y auditorías. En él deben estar recogidos no solamente
esos procedimientos sino también las medidas de seguridad implementadas y las
garantías para la correcta conservación y preservación de esos datos, que debe-
mos mantener a buen recaudo y con el mayor cuidado y seguridad posibles.
La agencia de protección de datos ofrece tutoriales para aplicar el RGDP (©MEC)
Los dos equipos o personas encargados de estas facetas deben llevar al día y
coordinados los Registros de Actividades de Tratamiento que se realicen bajo su
responsabilidad. Y cada uno de esos registros debe tener delimitados estos pa-
rámetros y contenidos:
 Nombre y datos de contacto del responsable o corresponsable y del

Delegado de Protección de Datos si existiese.
 Finalidades o motivos del tratamiento.
17
 Descripción de categorías de interesados y datos personales tratados.
 Categorías de los destinatarios a quienes se comunican los datos per-

sonales, incluso si están en otros países o son organizaciones interna-
cionales.
 Transferencias de datos a otro país u organización.
 El plazo previsto para eliminar los datos (según lo estipulado en la

LOPDGDD.
 Cuando sea posible, una descripción de las medidas de seguridad uti-

lizadas durante el tratamiento.
Igualmente hay que tener disponibles los protocolos de ejercicio de los derechos
de los usuarios, como antes hemos visto, y también un procedimiento claro y or-
denado para la declaración de brechas de seguridad, tanto si se trata de un even-
tual error interno como de un ciberataque. Estos protocolos se emplearán en
circunstancias de crisis, de cara a facilitar las reclamaciones por exposición de
datos personales de forma errónea o irregular, en el primero de los casos, y para
proteger a la empresa ante posibles extorsiones, robos o acciones delictivas que
pongan en riesgo el uso de los datos de los que somos depositarios.
Si tenemos a nuestro cargo personal empleado, y en caso de que participen en

la recopilación y tratamiento de datos, deben de firmar contratos de confiden-
cialidad. Estos contratos deben especificar sus obligaciones y responsabilidades
a la hora de manejar material sensible, señalando expresamente su conoci-
miento de la situación y de la legislación vigente a este respecto, y asegurar que
cumplen con los criterios de privacidad y confidencialidad señalados a es-
te fin en el RGDP.
En cuanto a los formularios que presentemos a los usuarios, todos ellos tienen
que incluir los elementos básicos que informen con absoluta claridad y transpa-
rencia, cuáles son los datos que se les solicitan y el tratamiento del que van a
ser objeto. Desde los aspectos básicos de nuestra política de privacidad hasta
los detalles de uso y de cesión a terceros (si se da esta circunstancia). Es tam-
bién necesario que figure expresamente que se da el consentimiento específico
a todos los aspectos recogidos en el documento, y aportar en el mismo docu-
mento (o mediante un enlace que debemos mantener vigente) un texto que
explique detalladamente nuestra política de privacidad al detalle.
18
Puede parecer farragoso, pero el mundo del Derecho

es así. No tengas reparo en incluir todos los docu-
mentos que garanticen la seguridad de tus clientes.
Demostrarás seriedad hacia ellos y te ahorrarás mul-
titud de problemas futuros.
Esto no es contradictorio con la comodidad y la ope-
ratividad: asegúrate de que la presentación de estos
documentos no entorpece la navegación y facilita a
los usuarios la agilización del proceso para que acep-
ten tus formularios y tus políticas de privacidad.
19
2. LA LEY DE SERVICIOS DE LA SOCIEDAD DE

INFORMACIÓN Y COMERCIO ELECTRÓNICO (LSSI)
La Ley 34/2002 de Servicios de la Sociedad de la Información y del Comer-

cio Electrónico, conocida por sus siglas LSSI, es una normativa que regula las
actividades económicas a través de internet. Es el documento legal en el cual se
basa la compraventa o alquiler de productos o servicios ofertados a través de
páginas webs, tiendas online y correo electrónico.
A diferencia de la Ley Orgánica de Protección de Datos y Garantía de Derechos

Digitales (LOPDGDD), la LSSI no afecta a los contenidos audiovisuales comercia-
lizados a través de la red, sino al modo en que son comercializados. Es decir,
esta ley no regula los productos ni la forma en que son presentados o publicita-
dos, sino la manera en que son comercializados. Por decirlo de otra forma: el
ámbito de la LSSI es estrictamente monetario.
Por tanto, se ciñe a los pagos y cobros que se realizan al adquirir un bien o ser-
vicio a través de la red. Su finalidad es ordenar y estructurar la forma en que se
ingresa el dinero, la manera en que se recibe, su fiscalización y el procedimiento
a través del cual ese dinero llega, por cauces ordenados, a la cuenta del vende-
dor. Y en esta tesitura, como es lógico, también define cómo se llevan a cabo
los procedimientos de registro ante las entidades financieras y las autori-
dades fiscales que controlan la legalidad de esos procesos.
20
El Ministerio de Economía (actualmente denominado Ministerio de Asuntos

Económicos y Transformación Digital) subraya que la LSSI se aplica a las activi-
dades relacionadas con internet que constituyan una actividad económica o
lucrativa para el prestador de servicios comerciales. Estos servicios incluyen las
siguientes categorías:
 Comercio electrónico.
 Contratación de servicios en línea.
 Información y publicidad.
 Servicios de intermediación.
A su vez, estos negocios pueden constituirse bajo las siguientes formas:
 Proveedores de Servicios de Intermediación.
 Empresas que brindan conexión a Internet a sus clientes (ISP).
 Prestadores de servicios de alojamiento de datos.
 Servicios de enlaces.
 Buscadores.
 Empresas y particulares: personas jurídicas y físicas (autónomos) que

realicen actividades económicas a través de Internet.
A la hora de desempeñar funciones a través de internet no es necesario pedir

una autorización previa ni inscribirse en ningún registro. La prestación de estos
servicios no se diferencia, a niveles fiscales ni de derechos, de la de cualquier
negocio o empresa abierta al público en un espacio físico, como una tienda o
una oficina.
Desde las administraciones se insiste en recordar que la presencia de una em-

presa en Internet tiene que ofrecer las mismas garantías de transparencia en la
monetización que cualquier otro negocio. Pero eso no significa en absoluto que
por no tener una localización abierta al público no se deban pedir las autorizacio-
nes o licencias necesarias para el desempeño de la actividad correspondiente.
21
©BOE
Así, y para mantener el mismo nivel de competitividad y de calidad -además de

no exponernos a graves sanciones y a un peligroso intrusismo profesional- no
debemos olvidar que, independientemente de que operemos comercialmente
en el espacio físico o en Internet, toda actividad profesional sigue requiriendo
las mismas cualificaciones técnicas y académicas que contemplan las leyes. Esto
motiva que, para desarrollar determinadas actividades en internet, sea necesa-
rio inscribirse en algún registro o cumplir otros requisitos (colegiación, entre
otros) exigibles en función de la actividad concreta que se realice, con indepen-
dencia de que se lleve a cabo por vía electrónica o por medios convencionales.
22
Reflexiona: si sufrieras una rotura de fémur o de cla-

vícula ¿confiarías tu salud a un curandero que pro-
mete soluciones milagrosas e inmediatas? ¿O acudi-
rías a un hospital o centro de salud a que te atendie-
sen profesionales debidamente cualificados? Mide
bien la honestidad y tus capacidades para llevar a ca-
bo tu negocio -y de los de tu competencia- en inter-
net. Contempla si tu titulación académica te cualifica
para desempeñar tu labor y, en caso de tener dudas,
asesórate bien acudiendo a profesionales de solven-
cia demostrada.
Las principales actividades económicas que se pueden desarrollar en Inter-

net son, entre otras, las siguientes (la lista es orientativa, ya que existen varian-
tes y las posibilidades y modalidades aumentan progresivamente):
 La compraventa de bienes a través de la red.
 La contratación de servicios por vía electrónica.
 La organización y gestión de subastas por medios electrónicos o de

mercados y centros comerciales virtuales.
 La gestión de compras en la red por grupos de personas.
 El envío de publicidad y comunicaciones comerciales.
 El suministro de información por vía telemática.
 El vídeo bajo demanda, como servicio en que el usuario puede selec-

cionar a través de la red, tanto el programa deseado como el momento
de su suministro y recepción, y, en general, la distribución de conteni-
dos previa petición individual.
En esta tesitura, la LSSI ofrece una equiparación del mercado virtual a las condi-
ciones de la compraventa física, adaptando el esquema novedoso de Inter-
net como espacio invisible, a la transacción tradicional en un espacio real.
De este modo, si una transacción se lleva a cabo con el comprador y el vende-
dor situados en dos lugares distintos (ya sean diferentes ciudades, región o
país) la ley dispone que la firma de ese contrato mercantil se entenderá cele-
brada en el lugar de residencia habitual del comprador. Y si se celebra entre
empresarios o profesionales, en el lugar en que esté establecido el prestador de
servicios.
23
Esta regla, no obstante, constituye una aplicación general, es decir, simple

presunción. Por lo tanto, puede ser alterada en ambos casos por las partes,
mediante un acuerdo por el que se fije, por escrito, que el lugar de celebración
del contrato es otro. Y con la fecha de firma, ocurre lo mismo.
En resumidas cuentas, la LSSI afecta a todas las personas físicas o jurídicas

que desempeñan operaciones económicas por internet, independientemen-
te de si sus ingresos son directos por la venta de productos o servicios, o indi-
rectos por publicidad online o patrocinios. Se aplica en territorio español, pero
afecta a todos los negocios electrónicos de la UE que operen en España.
Aunque sea una normativa española, eso no significa

que esté desvinculada de otros entornos de fuera de
la UE, como pueden ser EEUU o China. Simplemente,
es distinta, pero las relaciones comerciales con estos
países vienen de muy atrás, lo que facilita que haya
muchos rasgos en común. Además, en el aspecto de
comercio y relaciones internacionales, en el siglo XX
las legislaciones tienden a converger.
Como toda legislación con una razón de ser clara, la LSSI no es un conjunto de
instrucciones destinadas a crear un entorno. Antes, al contrario, se trata un ins-
trumento legal, articulado en distintas disposiciones y procedimientos, cuyo fin
es ordenar un escenario ya existente y reducir y reconducir los conflictos que,
por su naturaleza, tienden a aparecer en las interacciones que llevan a cabo sus
actores.
En este caso, siendo además un aspecto muy concreto como el del comercio en
el ámbito de las telecomunicaciones -concretamente en Internet- los principa-
les objetivos que marca esta ley son:
 Establecer unos principios de funcionamiento claros en los que ubicar

las acciones de comercio digital, así como unos criterios de actuación
acordes al resto del ordenamiento jurídico y a la realidad del mercado.
 Fomentar el desarrollo de empleo y la economía en el ámbito digital.
24
 Lograr un escenario de libre competencia en el marco de las teleco-

municaciones.
 Impulsar el desarrollo de redes e infraestructuras aptas para ese

crecimiento.
 Establecer un marco legal claro al que puedan atenerse tanto presta-

dores de servicios como usuarios de internet.
 Determinar la procedencia de las prácticas lícitas de esta variedad

comercio y establecer las fronteras que separan esa buena praxis de
otras de tipo desleal o delictivo.
 Formular las sanciones y medidas correctivas previstas para esos casos,

actualizarlas y atenerse a la jurisprudencia que contribuya a su mejora.
Según especifica su desarrollo, las principales cuestiones que debe de tener en

cuenta cualquier portal de comercio electrónico para cumplir la LSSI son:
a) Obligación de informar.
El prestador del servicio debe de informar a los usuarios sobre:
 La identidad del propio prestador.
 Las condiciones del servicio.
 El producto y las condiciones de contratación.
La información sobre la identidad del prestador, al igual que el resto

de aspectos de información, ha de ser clara, permanente y comprensi-
ble para el usuario, y estar en una zona visible de la web debidamente
identificada. También cabe la posibilidad de abreviarlas, siempre y
cuando hagamos constar, mediante un enlace correspondiente a una
pestaña especialmente dedicada a este fin, la información plenamente
detallada y desarrollada.
Los datos habituales del prestador del servicio son:
 Denominación social.
 NIF o CIF.
 Domicilio o dirección postal (en caso de tratarse de una empresa

que cuente con sede física legalmente registrada).
 Dirección de correo electrónico (operativo).
 Teléfono y fax (aunque este último está en desuso).
25
Como datos complementarios, se aconseja añadir:
 Los códigos de conducta a los que pertenezca la empresa y las

adhesiones a protocolos o cualificaciones de calidad.
 Los productos, sus precios, incluyendo además el coste de los

impuestos aplicables debidamente desglosados en porcentaje
(mas los gastos de envío, en sus distintas variantes y modalidades
disponibles, si se trata de venta de objetos materiales).
 La información de inscripción registral (depósito, referencia y libro).
 Autorización administrativa, colegiación y titulación académica del

personal que ejerza la actividad.
En cuanto a las Condiciones del servicio, son los documentos que se

suelen recoger en las pestañas web de Aviso legal o Política de privacidad.
Por su parte, la Información sobre productos y condiciones de con-

tratación engloba, por un lado, todas las características de los artícu-
los, que lógicamente se incluyen en la descripción del catálogo online, y
también los métodos de pago, políticas de devolución, envíos, etcétera.
b) Aspectos paralelos.
De modo paralelo, hay otros aspectos de la LSSI que no se ciñen estric-

tamente a las transacciones, sino a las comunicaciones publicitarias y a
la captación de clientes. Estos aspectos están también categorizados y
organizados según estos criterios y actuaciones correspondientes:
 En el caso de realizar publicidad a través del correo electrónico,

esta ha de ser: clara y completa., y en ella debe quedar identificada,
de modo igualmente explicito, la empresa responsable.
 La publicidad ha de estar autorizada por el destinatario de

forma expresa e inequívoca, con la posibilidad de ser anula-
da esa aceptación en cualquier momento. Una tienda online
puede enviar mensajes publicitarios a usuarios o con los que
exista un contrato anterior, siempre y cuando se trate de produc-
tos o servicios similares a los contratados previamente.
 El punto anterior es igualmente aplicable cuando se refiera a

ofertas o concursos, especificando la identidad del anunciante,
tipo de promoción, condiciones de participación.
26
 Los SMS o MMS también son considerados por la LSSI como ca-
nales de comunicación electrónicos. Su empleo ha de ser autori-
zado igualmente por el cliente cuando se utilicen este tipo de
mensajes. Los canales de mensajería análogos deben ser consi-
derados como pertenecientes a esta misma categoría de canales
de comunicación, aunque su proliferación bajo distintas plata-
formas, con toda probabilidad, hará que a medio plazo sea nece-
sario concretar la validez y reducirla a las plataformas que ofrez-
can más fiabilidad, mayor estabilidad y más garantías de seguri-
dad y privacidad.
En todo caso, siempre ha de primar el consentimiento expreso de los

usuarios frente al del vendedor. Este es uno de los aspectos fundamen-
tales de la LSSI, igualmente garantizado por la Ley Orgánica de Protec-
ción de Datos. La web no puede almacenar cookies o enviar ofertas sin
ese consentimiento del usuario, cuyo derecho a la privacidad le ampara
a este fin.
©Comparitech
27
c) Seguridad informática.
En lo tocante a la seguridad informática y la prevención de cibera-

taques o problemas de malware (virus informáticos), los proveedores
de servidores, hostings o cuentas de correo electrónico, y demás servi-
cios digitales deben de ofrecer también:
 Herramientas tecnológicas para la protección de los usuarios

frente a virus, spam, phishing y otras amenazas y contenidos no
deseados.
 Responsabilidad del usuario respecto al uso de internet con fines

no lícitos, incluyendo la vulneración de la intimidad y las propie-
dades industrial e intelectual.
d) Spam.
En caso de recibir comerciales no deseadas por medios electrónicos

(el llamado correo basura o spam), el usuario puede:
 Revisar la información facilitada por su proveedor de acceso a In-

ternet sobre herramientas que permitan el filtrado de contenidos
no deseados.
 Poner filtros que eviten la recepción de comunicaciones comer-

ciales no deseadas.
 Si considera que se ha cometido una infracción de la LSSI, puede

reclamar, por la vía administrativa, ante la Agencia Española de
Protección de Datos o al Ministerio de Energía, Turismo y Agenda
Digital.
I
Imagen: Pixabay
28
2.1. INFRACCIONES Y SANCIONES
Ante una denuncia, la resolución de la irregularidad podrá ser dirimida de modo

administrativo por la autoridad correspondiente, aunque en caso de tratarse de
una cuestión que exceda este ámbito, incurriendo en el delito, puede ser de-
nunciada ante las autoridades judiciales. Estas infracciones, como en todo pro-
cedimiento, son de tres tipos: leves, graves y muy graves
1. Entre las infracciones leves están contempladas:
 No dar datos de información generales de la empresa.
 No hacer caso de lo que señala la ley para comunicaciones co-

merciales, ofertas promocionales o concursos.
2. Las graves incluyen:
 No señalar de forma clara la actividad de la empresa ni hacer refe-

rencia al precio de los productos que se vendan en la web y de los
costes en el proceso de compra dando lugar a malos entendidos.
 Envío masivo de comunicaciones comerciales (spam).
 Cuando un usuario ha comunicado la negativa de recibir más no-

tificaciones y éstas no cesan.
 No poner a disposición del usuario las condiciones legales en las

que se sustenta un contrato.
 Incumplimiento habitual de la obligación de confirmar la recep-

ción de una aceptación, cuando se haya pactado su exclusión o el
contrato se haya celebrado con un consumidor.
 La resistencia, excusa o negativa a la actuación inspectora de la ley.
3. Finalmente, las muy graves cabe señalar que son aquellas que se re-
fieren al incumplimiento de la obligación de suspender la transmisión,
el alojamiento de datos o el acceso a la red o la prestación de cualquier
servicio equivalente de intermediación cuando un órgano administrati-
vo lo ordene.
29
En lo relativo a las sanciones, la LSSI determina estas cuantías:
 Las infracciones leves serán sancionadas con una multa de hasta

30.000 euros.
 Las infracciones graves serán sancionadas con una multa de 30.001

a 150.000 euros.
 Las infracciones muy graves serán sancionadas con una multa de

150.001 a 600.000 euros.
Estas sanciones, lógicamente, varían en su cuantía

dependiendo de lo que estipulen las resoluciones o,
en su caso, las sentencias que las avalen. En todo ca-
so, conviene ser especialmente cuidadosos y obser-
var muy bien las medidas necesarias para ubicar en
nuestra web los requerimientos legales a los que
obliga la LSSI. En la sección BIBLIOGRAFÍA tienes re-
cursos a los que acudir para poder hacerlo de modo
actualizado.
2.2. ENMIENDAS Y ACTUALIZACIONES
Desde su aprobación inicial, en 2002, ha transcurrido mucho tiempo y los avan-

ces en el mundo digital han sido constantes. Se genera así una serie de distor-
siones entre los objetivos definidos en la Ley y la realidad, que obligan a adap-
tar algunos aspectos que han quedado obsoletos, o bien implementar re-
cursos que se adapten a las nuevas circunstancias que la sociedad o los
mercados han ido imponiendo.
Por ello, la LSSI ha contado con varias actualizaciones - hasta el momento un

total de nueve- que han afectado a distintos aspectos de su texto regulador.
Son los siguientes:
 Aplicación de códigos de conducta: Las administraciones públicas

han de propiciar la creación de determinados códigos de conducta pa-
ra su implantación. Dichos códigos han de estar además adaptados a la
Ley de Competencia Desleal y han de expresarse con claridad.
30
 Actualización de navegadores: La ley obliga a actualizar la aceptación

de las cookies, siempre que se acceda por primera vez a la web o que
hayamos limpiado el historial de visitas de nuestro dispositivo.
 Medios de pago: El Informe de Medios de Pago y Fraude Online 2018

elaborado por la Asociación Española de la Economía Digital (Adigital) y
Confianza Online 2018 señala que la facturación procedente de móvi-
les, alcanzaba ese año un 32,1% del total, lo cual da la medida del cre-
cimiento que el mercado digital experimenta constantemente.
Según dicho informe, el banco es el principal proveedor usado para el
procesamiento de pagos, aunque las denominadas gateways, o pasa-
relas de pago electrónico para tarjetas, se triplicaron en un año. De
ellos nos ocuparemos a continuación.
Imagen: Pixfuel.co
2.3. MODALIDADES Y PLATAFORMAS DE PAGO
En general, los operadores amplían y actualizan constantemente los medios de

pago, conforme avanzan las tecnologías que los facilitan. Muchas multinaciona-
les del comercio electrónico disponen ya de sus propios canales de pago. Entre
los más habituales hasta ahora se encontraban las tarjetas de débito/crédito,
la transferencia y Paypal.
En 2018, la tarjeta bancaria siguió predominando en todo el mundo, canalizan-

do más del 60% de las transacciones. Sin embargo, el panorama es tan rápido
en sus cambios que no es extraño que algunas plataformas digitales de éxito se
31
hundan o desaparezcan en un plazo de tiempo breve, a menudo absorbidas

por su competencia. En todo caso, el esquema de estos operadores se basa
siempre en su eficacia y eficiencia, lo que motiva que su éxito radique en su
facilidad de utilización y en la rapidez de sus resultados.
Por ello, los criterios que deber reunir cualquier medio de pago online son:
1. Universal: debe ser aceptado en la mayor parte de los países y nego-

cios, aceptando cualquier clase de moneda convertible o, al menos, la
conversión a los sistemas monetarios más utilizados.
2. Regulado: necesita cumplir las leyes y estándares internacionales.
3. Seguro: ha de garantizar al usuario que no existirá error o fraude, y

debe asimismo de ofrecer las garantías de reembolso vigentes en caso
de reclamación o incumplimiento de condiciones de venta.
4. Sencillo: cualquier usuario debe poder entender rápidamente y sin

complicaciones su funcionamiento y condiciones.
5. Asequible: el coste de las comisiones por el servicio no debe ser abusivo.
Vuelve a leer estos cinco puntos y reflexiona sobre

ellos. Comprobarás que, aunque estemos hablando
de procedimientos sofisticados y nuevas tecnologías,
las reglas clásicas de un buen marketing permanecen
vigentes.
Los principales medios de pago actuales, todos ellos contemplados por la LSSI,
son los siguientes:
 Contrarreembolso: durante décadas fue el sistema habitual en las

compras a distancia. El cliente paga cuando recibe el bien o el servicio,
dando sus datos personales para posteriormente ejecutar el abono.
Como método de pago, suele aumentar los gastos, al incluirse la
transacción en los servicios que realiza la empresa de mensajería que
lleva los artículos hasta el punto concertado con el consumidor. Sin em-
bargo, está en desuso progresivo. Si el cliente no paga, se anula la entre-
ga, pero la empresa ha de cargar con las devoluciones y entregas fallidas.
32
 Transferencia bancaria: el comercio electrónico ha de señalar al clien-

te una cuenta bancaria para realizar el pago una vez recibido el pedido,
o en ocasiones con anterioridad, en cuyo caso el dinero se recibe por
adelantado. Supone menos costes para el negocio online.
 Pago online con tarjetas bancarias: El instrumento para materializar
los pagos por medio de tarjeta es la pasarela de pago, también llamada
TPV virtual, o la versión online del datafono para los establecimientos
comerciales tradicionales. Al elegir el pago con tarjeta, la pasarela solici-
ta los datos, los envía a la entidad emisora de la tarjeta, la cual acepta o
rechaza la operación. Le corresponde entonces al negocio online indi-
car al usuario el resultado. Si la tarjeta es de débito, el importe de las
compras se ejecuta en el acto, y si es de débito, según los plazos acor-
dados en el contrato bancario de la tarjeta. El vendedor paga una comi-
sión por la prestación del servicio por parte de la entidad financiera.
 Paypal: PayPal es una empresa fundada en 1998 bajo el nombre de
Confinity por Max Levchin, Peter Thiel, Luke Nosek y Ken Howery. En
2000, Confinity se fusionó con X.com, una compañía de banca en línea
fundada por Elon Musk. En 2001 pasó a llamarse PayPal y posterior-
mente, en 2002, la adquirió eBay. Es una de las mayores compañías de
pago digital del mundo y opera como un procesador de pagos para
tiendas online, sitios de subastas y comercios físicos. Cobra un porcen-
taje de comisión y una tarifa.
PayPal, al igual que una entidad bancaria, entre el comprador y el ven-
dedor. El primero recibe un correo electrónico con el abono, pero en
ningún momento conoce los datos personales del comprador, como
tampoco su número de cuenta, lo cual facilita la seguridad.
©PayPal
33
Entre sus ventajas, la rapidez, la flexibilidad o la recuperación de las

ventas perdidas. Del otro lado, Paypal cobra comisiones de ambas par-
tes, vendedor y comprados (cuando hay cambio de divisa).
Actualmente, PayPal es una de las plataformas de pago más consolida-

das, previa inscripción en su web o en su aplicación móvil. Al amparo de
su éxito han surgido otras plataformas similares de ámbito nacional e
internacional, que replican lo básico de su funcionamiento.
 Iupay: Constituida por entidades bancarias españolas: Kutxabank, Caja

Rural, Banco Sabadell, CaixaBank, Bankia, ING, Santander, BBVA, Deuts-
che Bank y CajaSur. Permite incorporar tarjetas de crédito de cada
banco y realizar las compras online sin tener que introducir en cada
transacción.
©iupay
 Amazon Pay: Plataforma de pago de Amazon, que es la única que al-

macena los datos, aunque se realice la transacción en otra web. El
usuario paga con su cuenta de Amazon lo cual le evita además regis-
trarse en la nueva web, ya que Amazon aporta esos datos al otro nego-
cio online en cuestión. A su vez, el vendedor recibe el nombre del clien-
te y su dirección de correo verificada.
34
©Amazon
 Payza: Cobra una tarifa por cada transacción y permite el envío de re-
cibos a los clientes. Además, permite enviar/recibir dinero entre cuen-
tas Payza de forma gratuita.
©Payza
35
 2Checkout: Proporciona ocho tipos diferentes de pago, incluyendo

PayPal, además de trabajar con 87 monedas diferentes. Ofrezca ade-
más la llamada facturación recurrente para clientes que soliciten un
cobro mensual o anual.
©2checkout
 Pagos online a través del móvil: Es la tecnología que más se está ex-
pandiendo, como todas relacionadas con los Smartphone. Existen dos
formatos generales:
 Pago por proximidad: son los denominados pagos efectuados sin

contacto, o contactless. El teléfono móvil almacena la credencial de
pago (los datos bancarios asociados) y los envía a la terminal del
vendedor mediante la tecnología NFC (Near Field Communication).
 Pago remoto: se realiza a través de una app o de un navegador

móvil, que certifica la información personal del cliente.
36
 Wallets: Una wallet o cartera móvil o cartera digital es un software que

almacena las claves del usuario y permite también pagar mediante un
dispositivo móvil en una tienda física, solo que con criptomonedas. Los
wallets pueden utilizar diferentes tecnologías para procesar pagos, co-
mo NFC o códigos QR, y se usan para permite enviar y recibir cripto-
monedas como bitcoin, del que hablamos más adelante.
©Pixabay
 Pagos por mensaje de texto (SMS) y Mensaje Multimedia (MMS): La

cantidad del abono se cobra a través de la factura del teléfono móvil.
Entonces el usuario está pagando a través de su proveedor de red tele-
fónica, de la forma en que generalmente paga por el uso de su telé-
fono. Y aunque antes nos hemos referido a los sistemas de mensajería
de Smartphone (WhatsApp, Telegram, etc.) como canales potencial-
mente válidos para la comunicación con el vendedor, no son, sin em-
bargo, válidos por sí mismos como instrumento de pago.
 Facturación directa del operador: La facturación directa del opera-

dor, o Direct Carrier Billing (DCB) utiliza una página web o app donde el
usuario introduce su número de teléfono. Los pagos se cobran en la
factura telefónica, o se realizan con saldos de prepago.
37
©Movistar
2.4. FUNCIONAMIENTO DE LAS PASARELAS DE PAGO
Por tratarse todavía del formato más habitual en el comercio electrónico mun-
dial, nos detenemos a explicar con algo más de detalle las pasarelas de pago. La
pasarela, como hemos indicado, es el software utilizado para intermediar entre
la página web del comercio y el banco. Algunas de los más usados son: Adyen,
Amazon Pay, Braintree, Ingenico, ePayments, MangoPay, Papam Ecommerce,
Paycomet, Paypal, Redsys, Stripe o UniversalP.
Pasarela RedSys © Caixabank
38
Las distintas partes y etapas con las que se realiza una transacción mediante
pasarela de pago son las siguientes:
 Procesador de pagos: procesa la solicitud, recibe el dinero del cliente en

caso de aceptarla, y lo entrega a la cuenta señalada como destino final.
 Cuenta comercial: puede ser la cuenta bancaria del propio negocio, u

otra indicada exprofeso por el proveedor o por el mismo vendedor.
 Aplicaciones de banca móvil: Se trata de aplicaciones dedicadas (es

decir, creadas exprofeso para un cliente y una función concreta). Las
proporcionan directamente los bancos a sus clientes, conectadas a sus
cuentas bancarias. Existen además aplicaciones de este tipo que agru-
pan entidades, caso de Bizum, que reúne a casi todos los bancos espa-
ñoles y que se utiliza en la compraventa online. Ofrece además
transacciones entre teléfonos.
©Bizum
39
Las Criptomonedas
Las criptomonedas son monedas virtuales aceptadas como método de pago

para transacciones electrónicas mediante el citado sistema de bloques denomi-
nado blockchain. El valor de las criptomonedas depende del mercado. El Bitcoin
es la más extendida, y está integrada en la venta online por la mayoría de las
plataformas de Ecommerce. También han ido aparecido otras con diferentes
características como Litecoin, Ripple, Ethereum o Dogecoin.
El principal problema de esta clase de monedas estriba en su descentralización

(no estar equiparadas o avaladas, al menos en unas condiciones de debidas
garantías fiscales) por bancos reconocidos universalmente. Esas dudas sobre su
respaldo económico real propicia que, en ocasiones ofrezcan poca transparen-
cia, fiabilidad y operatividad a los activos depositados en esta clase de moneda
virtual.
Todas estas plataformas tienen su utilidad y cada una

tiene unas ventajas sobre las demás, pero evidente-
mente no es necesario emplearlas todas. Tu elección
dependerá de tu target y de tu cartera de clientes,
que al final serán lo que determinará cuales son las
que ofrecen las prestaciones más interesantes y que
mejor se adapten a tu negocio.
40
¿QUÉ HAS APRENDIDO?
En primer término, que la protección de datos es un derecho recogido por la

legislación española e internacional, y su objetivo es cuidar de la privacidad y de
la intimidad de las personas, tanto en el mundo físico como en Internet, sobre-
manera en las transacciones e interactuaciones entre personas y empresas.
Que las leyes que regulan esta materia son dos: la Ley Orgánica de Protección
de Datos y Garantía de Derechos Digitales (LOPDGDD) de 6 de diciembre de
2018, Y la Ley de Servicios de la Sociedad de Información y Comercio Electrónico
(LSSI) de 11 de julio de 2002, que hace lo propio con las transacciones y opera-
ciones monetarias a través de internet y los dispositivos digitales.
Estas leyes se apoyan y actualizan según el Reglamento General de Protección

de Datos de la Unión Europea (RGPD), de 2018, que también está en vigor en
los 27 estados que componen la UE y coordina armónicamente sus legislacio-
nes respectivas. Este estándar tiende asimismo a reducir diferencias históricas
con otros modelos de mercado diferentes, como el de EEUU, y también con los
del resto del mundo. También facilitan herramientas para resolver dudas y pro-
blemas cuando se establecen transacciones a este nivel.
Las formas y plataformas más importantes que están disponibles para llevar a
cabo estas acciones en términos acordes con esta legislación, así como las obli-
gaciones, los derechos y deberes que comporta su uso.
41
Los recursos, estrategias y herramientas técnicas que debemos emplear para

que nuestros sistemas web sean seguros y para que nuestros clientes tengan, a
nivel de optimización tecnológica, la tranquilidad y la confianza de que sus datos
personales están a buen recaudo, y protegidos frente al uso ilegal o al robo por
parte de terceros.
Las buenas prácticas que, a nivel humano y como proveedores de servicios co-
merciales, debemos tener presentes para hacer de que nuestro tratamiento de
los datos, su privacidad y la preservación de la información que nos facilitan nues-
tros clientes sean una garantía de seriedad como empresa de cara al público.
42
AUTOCOMPROBACIÓN
1. ¿En qué año se promulgó la primera Ley de Protección de Datos en

España?
a) 2001.
b) 1999.
c) 2018.
d) 2012.
2. ¿Cuál de estos sistemas de pago electrónico no es viable?
a) SMS.
b) Payza.
c) WhatsApp.
d) 2checkout.
3. ¿En qué año se promulgó la LSSI?
a) 2002.
b) 1999.
c) 2010.
d) 2018.
43
4. La LOPDGG es una ley que respecto a la LOPD:
a) La actualiza.
b) La complementa.
c) La releva.
d) La deroga.
5. La cancelación de recepción de publicidad ¿puede ser anulada por el

cliente o ha de ser siempre negociada con la empresa?
a) Depende de las opciones que firmemos al aceptar los respectivos formu-

larios de tratamiento de datos.
b) No, existe un proceso de mediación que la LSSI especifica, y que puede

resolverse a favor del proveedor o del cliente.
c) Sí, mediante la denuncia ante el organismo administrativo o judicial co-

rrespondiente.
d) La decisión prioritaria siempre está en manos del cliente como receptor

de publicidad, según la LSSI y él determina esa cancelación.
44
SOLUCIONARIO
1. b 2. c 3. a 4. c 5. d
45
EXCLUSIVO PARA ALUMNOS TOP
1. Éticamente ¿por qué crees que la legislación debe tener presente la

protección de los datos personales de los clientes?
2. ¿Qué plataforma de pago online te resulta más atractiva/interesante

para un modelo de negocio emergente?
3. ¿Contratarías regularmente los servicios de un gabinete de abogados

expertos en materia web para tu empresa? ¿O te basta con conocer la
legislación por tus propios medios?
4. ¿Crees que la legislación vigente del E-Commerce de la UE debería ten-

der puentes hacia el modelo de mercado estadounidense o chino o fi-
jarse más en unificar los criterios de los estados europeos?
5. Existen límites de tiempo fijados para conservar los datos personales

de tus clientes. ¿Has pensado en cómo te desharías de ellos? ¿Sería un
modo realmente seguro o ese sistema tiene carencias de seguridad
que permita a terceras personas apropiarse de ellos?
46
BIBLIOGRAFÍA
 CEBALLOS ATIENZA, Rafael. Protección de datos de carácter personal: téc-

nicas de adaptación y procedimientos. 1ª ed. Alcalá la Real, Jaén: Forma-
ción Alcalá, 2012.
 GUASCH PORTAS, Vicente. Las transferencias internacionales de datos en
la normativa española y comunitaria. Madrid: Agencia Española de Pro-
tección de Datos: Agencia Estatal Boletín Oficial del Estado, 2014.
 FERNANDEZ LORENZO, Jessica, y VEIGA MAREQUE, José: La Adaptación a
LOPDGDD Paso a paso: Guía para la implementación de la protección de da-
tos. (Ley Orgánica 3/2018 y Reglamento UE). Madrid, Ed Colex 1ª ed 2019.
 GONZÁLEZ GOZALO, Alfonso: La formación del contrato tras la Ley de
servicios de la sociedad de la información y de comercio electrónico, ed.
Comares, Granada, 2004.
 KEARNS, Michael y ROTH, Aaron. El Algoritmo ético: La ciencia del diseño
de algoritmos socialmente responsables (POD) Ed La Ley, Madrid. 2020.
 LÓPEZ CALVO, José. Adaptación al nuevo marco de protección de datos
tras el RGPD y la LOPDGDD. Editorial Wolters Kluwer. Madrid, 2019.
 ONTAÑÓN RAMOS, Iván. Otras normativas en el ámbito de la seguridad de
la información. Madrid. Roble, 2014.
 RAZQUIN LIZARRAGA, Martin María. La confidencialidad de los datos em-
presariales en poder de las administraciones públicas: (Unión Europea y
España). Madrid: Iustel, 1aed., 2013.
 REBOLLO DELGADO, Lucrecio y SERRANO PEREZ, Mercedes. Manual de
protección de datos. Ediciones UNED / Dykinson Ed., 2014.
 RECIO GAYO, Miguel. Kit de herramientas para el delegado de Protección
de datos. Madrid, Ediciones Francis Lefebvre, 2020.
47
Referencias legislativas en el Boletín Oficial del Estado (BOE) [https://www.boe.es]:
 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

Carácter Personal (LOPD).
 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informa-
ción y de Comercio Electrónico (LSSI).
 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de di-
ciembre, de protección de datos de carácter personal (RLOPD).
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Per-
sonales y garantía de los derechos digitales (LOPDGDD).
 Reglamento (UE) 2016/679 sobre Protección de Datos personales del
Parlamento Europeo, de 27 abr. 2016.
Sitios web de utilidad:
 Agencia Española de protección de datos: https://www.aepd.es/es.

 Agencia supervisora de Protección de Datos de la UE:
https://europa.eu/european-union/about-eu/institutions-
bodies/european-data-protection-supervisor_es.
 Recursos web para la dotación de plantillas y formularios legales:
https://www.ciudadano2cero.com/pagina-web-rgpd-proteccion-
datos/#Textos_para_cumplir_con_la_Ley_de_Proteccion_de_Datos_y_RGPD.
 Informe de medios de pago y fraude online de la Asociación Española
de la Economía Digital (Adigital):
https://www.adigital.org/doc/202010_estudio-de-medios-de-pago-y-
fraude-online-2020.pdf.
 Confederación Canaria de Empresarios (CCELPA). Recursos para dota-
ción de instrumentos prácticos para aplicar la LOPDGDD, manuales y
tutoriales:
https://www.ccelpa.org/wp-content/uploads/2018/12/Gu%C3%ADa-
RGPD-2018.pdf.
 Referencias para plataformas y recursos de Ecommerce:
https://marketing4ecommerce.net/top-pasarelas-de-pago-las-mejores-
opciones-para-gestionar-tus-ventas-online-2019/
 Sitio web de la empresa SuperAdmin, por Mabel Pérez (gestora de con-
tenidos):
https://superadmin.es/blog/hosting/plantilla-politica-de-privacidad/.
48

Normativa Aplicable Al E-Commerce

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Normativa Aplicable Al E-Commerce

Cargado por

Copyright:

Formatos disponibles

UD016660_V(01) MD.PlantillaTexto(04)Esp.

NORMATIVA APLICABLE AL E-COMMERCE

TU RETO EN ESTA UNIDAD ........................................................................ 3

TU RETO EN ESTA UNIDAD

Vivimos inmersos en la era de la telecomunicación y en ella los datos que viajan

Por otra parte, la seguridad en Internet es otro factor de enorme importancia

En esta Unidad Didáctica aprenderás:

 Qué es la protección de datos y cómo se aplica en términos legales y

 Qué Leyes de Protección de Datos afectan al E-Commerce en Es-

 Cómo se relacionan estas Leyes con las de otros países y merca-

 Cómo proveer y adaptar nuestros sistemas y contenidos web para

1. EL REGLAMENTO GENERAL DE PROTECCIÓN

La conocida Ley Orgánica de Protección de Datos (LOPD) fue promulgada en

También se hizo obligatoria la presencia de rótulos y carteles indicando que el

Y aunque muchos se siguen refiriendo a la Ley española de protección de datos

Tal y como recoge Wikipedia: “el Reglamento General de Protección de Datos

Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) señala a este

No es solo una frase hecha: al llevar nuestra vida a In-

La finalidad de la LOPDGDD es proteger la intimidad, privacidad e integridad de

Portada de prensa de 2018 anunciando la entrada en vigor de la LOPGDD (©Diario Expansión)

1.1. DATOS PERSONALES

¿Qué son exactamente los datos personales en Internet?

Por datos personales entendemos las piezas de tex-

Es decir, los que constituyen identificadores online como nombre de usuario,

No se consideran datos personales aquellos que no

No se consideran datos personales aquellos que no permiten identificar a una

Una de las principales problemáticas de nuestro tiempo es la globalización de

No es de extrañar que el enfoque legal a este respecto entre países de distintos

“La ideología estadounidense detrás de la privacidad de datos es equilibrar la habili-

¿Alguna vez has viajado a países sajones como Ingla-

Una de las variables más elementales de formulario de tratamiento de datos

Llegados a este punto, el RGPD es el texto legislativo que tipifica y determina, de

1. Los que definen la ideología, la pertenencia a organizaciones políticas y

2. Los historiales médicos, los indicadores de salud, genéticos y biométri-

3. Los registros de sanciones administrativas y penales (multas, condenas

 Derecho de acceso a los propios datos personales; todo aquel usua-

 Derecho de rectificación; cambiar si los datos son incompletos o

 Derecho de supresión; capacidad de exigir su eliminación si se tratan

 Derecho a la limitación del tratamiento, es decir, a solicitar el blo-

 Derecho a la portabilidad; es la posibilidad de transmitir los datos ya

 Derecho de oposición; consiste en la negativa a que los datos sean

Esquema de los derechos que recoge el RGDP (© Aplifisa)

Considera tu propio caso como usuario: ¿qué datos

1.3. EL DOCUMENTO DE REGISTRO

a) La identidad del responsable (Nombre, dirección postal, NIF, sitio web

c) Los datos propiamente dichos que, mediante las cookies o el empleo

d) También es procedente incluir el desarrollo de herramientas y algo-

e) Además, es necesario incluir un epígrafe que especifique las redes

f) Por último, hay que recordar que la aceptación de las condiciones y la

Una vez aceptado el documento, podremos almacenar esa información y tratar-

 Cuatro años en caso de mandato tributario.

 Cinco años para la formulación, ejercicio o la defensa de reclamaciones.

 Seis años respecto los libros de contabilidad.

 Diez años en aquellos supuestos que afecten a la legislación de Blan-

Es imprescindible estar al día en la vigencia de estos

1.4. PROTOCOLOS DE ALMACENAMIENTO

Es obligatorio y a este fin puede ser requerido por la Agencia de Protección de

La agencia de protección de datos ofrece tutoriales para aplicar el RGDP (©MEC)

 Nombre y datos de contacto del responsable o corresponsable y del

 Finalidades o motivos del tratamiento.

 Descripción de categorías de interesados y datos personales tratados.

 Categorías de los destinatarios a quienes se comunican los datos per-

 Transferencias de datos a otro país u organización.