LA VENTA A TRAVÉS DE INTERNET – Algunas consideraciones

comercio-electronico- legaltabac

1º.- SEGURIDAD EN LAS VENTAS

Como en las ventas tradicionales, se debe poner especial atención a los aspectos relacionados con la seguridad a la hora de realizar las transacciones. De manera similar que se solicita la identificación para poder realizar un pago a través de un TPV con una tarjeta de crédito en un establecimiento, al permitir pagos por Internet, se deben adquirir e implementar las soluciones que permitan efectuar transacciones seguras. Éstas no se dirigen exclusivamente al pago. Pueden ser de comunicación, envío de datos personales, etc.. Para dotar de seguridad a estas comunicaciones es común el uso de certificados digitales que garantizan la confidencialidad.

También se debe tener en cuenta que implementar un sistema de ventas por Internet va a tener una serie de implicaciones y obligaciones legales que repercutirán en nuestros procesos de negocio y muy probablemente, crearán otros. Entre las obligaciones relacionadas con la normativa cabe señalar aquellas recogidas por la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información – Comercio Electrónico (LSSSI – CE) y la Ley de medidas de Impulso para la Sociedad de la Información (LISI).

Entre las transacciones más críticas se encuentran el envío de datos personales y la realización del pago. Para dar solución a éstos, existen numerosas aplicaciones en el mercado que facilitan la implementación de un sistema seguro.

2º.- SISTEMAS DE PAGO ONLINE

En una transacción de compra/venta electrónica existen tres actores: el comprador, el vendedor y la entidad bancaria / entidad intermediaria. Tras escoger el producto o el servicio, se envía al comprador a un formulario seguro para el pago, que conecta al cliente con el banco o entidad intermediaria. Éste aprueba la operación y lo comunica al vendedor que finaliza la compra con el cliente.

  • Pasarela de pago (Terminal Punto de Venta virtual

Las pasarelas de pago de Internet son el equivalente a los TPV de los comercios. La diferencia esencial radica en que en el caso de los TPV se habla de dispositivos físicos y, con pasarela de pago, estamos hablando de un dispositivo virtual. Para disponer de una pasarela de pago es necesario abrir una cuenta en la entidad bancaria con la que se quiere trabajar.

El funcionamiento de una pasarela de pago básicamente es similar al de un TPV. Para realizar una “venta virtual”, la pasarela de pago valida los datos de la tarjeta de crédito y procesa el pago con la entidad bancaria. Ésta a través de un identificador único asignado al negocio, establece la conexión entre la aplicación de comercio electrónico (tienda virtual) y la pasarela de pago para finalizar la venta. La operación se realiza en tiempo real.Pagos Online Legaltabac

Estos sistemas ofrecen un elevado grado de seguridad ya que la página donde se introducen los datos de la tarjeta de crédito, está alojada en el servidor seguro del banco (no en el vendedor) y éste, cifra los datos que se usan para realizar la transacción.

Puede darse el caso que la aplicación de pago de un comercio electrónico no use la pasarela de pago de una entidad bancaria. En ese caso no se garantiza la seguridad ya que se están dejando los datos directamente al vendedor lo que puede facilitar la intromisión de terceros.

  • Sistemas prepago – PayPal

Existen otras entidades que funcionan como intermediarios con el fin de poder realizar pagos y recibir cobros. No cuentan con una asociación directa a una tarjeta de crédito si no que, se trata de una especie de “almacén” donde sólo se puede gastar lo que tiene de saldo previamente transferido desde una cuenta.

PayPal es un ejemplo de este tipo de entidades. Para poder hacer uso de PayPal tanto el vendedor como el comprador han de crearse una cuenta en este servicio.

Como tienda virtual es complicado determinar cuándo se está realizando un pedido de manera fraudulenta. El mayor inconveniente que puede sufrir un comercio ante un intento de fraude es la obligación de responder a la devolución de los productos o servicios vendidos o entregados mediante un pago fraudulento.

3º.- LEY ORGÁNICA DE PROTECCIÓN DE DATOS

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) define que datos de carácter personal son cualquier información concerniente a personas físicas identificadas o identificables.

  • ¿Que son los ficheros de datos personales?

Todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma su creación, organización y accesoEl Nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos ha sido aprobado el 21 de diciembre por el Consejo de Ministros. Entre sus novedades más importantes destaca el aumento del ámbito de aplicación de la Ley a los ficheros y tratamientos no automatizados o en soporte papel.

  • ¿A que estoy obligado por crear ficheros?
        1. Inscribirlos en el Registro General de Protección de datos
        2. Informar y obtener consentimiento acerca del tratamiento
        3. Adoptar medidas establecidas en el Nuevo Reglamento de Protección de Datos 1720/07
        4. Guardar secreto
        5. Informar a los titulares de los datos del ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición.
  • ¿A qué me obliga la LOPD?

La LOPD obliga a respetar el derecho a la intimidad de las personas que tiene su base en la Constitución Española y respetar la privacidad de los datos almacenados en los ficheros.

  • ¿Qué es el tratamiento de datos?

Por tratamiento de datos entendemos operaciones y procedimientos técnicos de carácter personal que permitan la recogida, grabación, conservación, modificación, bloqueo y cancelación así como cesiones que se deriven de comunicaciones o consultas.

  •  Niveles de los datos

La ley establece tres niveles de medidas de seguridad (básico, medio, alto) los cuales deberán ser implantadas dependiendo de los distintos datos personales incluidos en el fichero (salud, ideología, religión, creencias…).

  • Tipo de datos
    1. Nivel básico es cualquier conjunto de datos que se refieren a una persona identificada o identificable. : nombre, apellidos, teléfono,…
    2. El nivel medio incluye datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los servicios de solvencia y crédito.
    3. El nivel alto incluye datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas afectadas.

Lo habitual en el caso de PYMEs es tener una administración de empleados, cuya nómina puede incluir datos de carácter personal de nivel alto: el tipo de contrato utilizado, en términos de la Seguridad Social, desvela posibles discapacidades del propio empleado; además se recaba información para Hacienda de la discapacidad de personas que están a cargo de los empleados. También las posibles afiliaciones sindicales son datos personales de nivel alto.

Si dicho fichero está en manos de una gestoría o no, no cambia la obligación de notificarlo a la AEPD. Si la gestión del fichero es realizada por terceros (típicamente gestorías), se debe hacer constar qué gestoría se hace cargo del tratamiento de los datos. En la mayoría de PYMEs, los otros ficheros de datos personales sólo tienen datos de nivel básico. Aunque también deben ser declarados ante la agencia española de protección de datos, su nivel de protección es más fácil de cumplir.

  • Documento de Seguridad

Su cumplimiento alcanza a todo tipo de datos y ficheros (nivel alto, medio, bajo). Además constituye la primera medida que responsable de seguridad debe cumplir.

Para facilitar el cumplimiento de las exigencias legales, la Agencia de Protección de Datos de Carácter Personal  ha elaborado un modelo de documento de seguridad en pdf . Este documento se debe personalizar para cada empresa, con su nombre.

  • Medidas de Seguridad

La LOPD establece la obligación de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Se trata de garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

  • Derechos y deberes de la LOPD

La LOPD establece una serie de derechos y deberes relativos a los datos personales y su tratamiento. Los interesados a los que se soliciten datos personales deben ser informados de la posibilidad de ejercitar los derechos Acceso, Rectificación, Cancelación, Oposición. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al deber de guardar secreto profesional.

4º.- LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN -Comercio Electrónico

    • ¿Quién está obligado?

La ley se aplica a todas las actividades que se realicen por medios electrónicos y persigan un fin económico (incluidos los servicios relativos a juegos de azar que implique apuestas de valor económico).

Se dice que existe actividad económica cuando el responsable de la prestación recibe ingresos bien directos (por ejemplo mediante el pago de los propios usuarios) o indirectos (por ejemplo por publicidad alojada en el sitio web).

  • Deber de información general

La LSSI-CE estipula que los prestadores de servicios de la información tienen la obligación de ofrecer una información general, de manera permanente, sencilla y gratuita que incluya datos como el nombre o denominación social, la dirección de correo, los datos de inscripción del registro en que se esté inscrito o códigos de conducta a los que se esté adherido.

  • Régimen jurídico de la contratación electrónica

El tremendo impacto de las nuevas tecnologías ha hecho que la contratación electrónica se presente tanto a los ciudadanos como a las empresas como un instrumento para alcanzar una mayor eficiencia en el sector comercial.

La LSSI-CE establece el régimen jurídico de las transacciones celebradas en forma telemática, recogiendo aspectos como la información del proceso de contratación que ha de estar disponible para el usuario antes de la misma y los mecanismos necesarios para la realización de la misma.

  • Publicidad

Hoy en día en cualquier negocio no es suficiente con ofrecer un buen producto o dar un buen servicio. Es necesario transmitir al cliente un mensaje adecuado. El marketing y la publicidad son ya una parte importante dentro del proceso del comercio, y las comunicaciones electrónicas e Internet han abierto nuevas posibilidades y medios de difusión de mensajes publicitarios.

La LSSI-CE establece los requisitos en materia de publicidad, comunicaciones comerciales y ofertas promocionales que han de cumplirse a la hora de utilizar medios electrónicos.

    • Recomendaciones

La página web es la imagen de la empresa, por eso ha de estar siempre actualizada y convenientemente corregida para así evitar una mala imagen de la empresa y de su producto o servicio. Además, la LSSI-CE establece una serie de requisitos de información a usuarios, contratación electrónica, publicidad y comunicaciones comerciales que se han de cumplir a la hora de prestar servicios a través de Internet. Por todo ello es conveniente tener presente una serie de recomendaciones a la hora de prestar servicios a través de Internet.

La Directiva 2006/ 24/ CE sobre retención de datos y comunicaciones electrónicas viene a armonizar las diferentes legislaciones de los Países de la Unión Europea, estableciendo la constitución de medidas en una sociedad para fines de orden público tales como la Salvaguarda de la Seguridad Nacional y la Prevención y detención de delitos graves.

Comercio electrónico

Una página web es un gran medio de comunicación, que conlleva la obligación de mantenerse actualizada. Esta continua actualización se tiene que realizar no sólo del contenido (catálogo de productos, precios, condiciones de contratación, etc.), ya que también hay que ser consciente de la necesidad de actualización de los programas y sistemas operativos que forman la plataforma.

Cada vez que un fabricante del software se da cuenta de fallos en sus productos, publica las correspondientes correcciones. Una página web accesible a todo Internet debe tener el software base siempre actualizado. Los servidores no actualizados son objeto de frecuentes ataques, y si un servidor es comprometido, puede ser usado por ajenos para sus propios fines, muchas veces ilícitos, con los consiguientes perjuicios, incluso económicos y/o penales que ello puede acarrear.

Es por esto que puede ser recomendable contratar el albergue de su sitio web con una empresa experta en este sector, e incluir en este contrato las cláusulas que obliguen a la empresa prestadora del servicio a aplicar las actualizaciones que publiquen los fabricantes del software base de los servidores, e informar al cliente de tales actualizaciones.

Una vez que la PYME ha decidido posicionarse en Internet a través de una página web, deben tenerse en cuenta las obligaciones legales previstas en la LSSI-CE y la LOPD. La forma más común es introducir un aviso legal o condiciones de uso que expliquen y proporcionen toda la información correspondiente a los usuarios. También es importante establecer una política sobre los enlaces a páginas externas en el aviso legal ante posibles responsabilidades. El aviso legal además permite incluir protección intelectual sobre imágenes, texto, diseño… que estén incorporados a la página web respecto de las injerencias de terceros.

Legislación Nacional

  1. En materia de seguridad informática existen siete normativas legales relevantes:
  2. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD). [Documento disponible en HTML (BOE 298 de 14-12-1999) ]
  3. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. [Documento disponible en HTML (BOE 298 de 19-01-2008) ]
  4. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE). [Documento disponible en HTML (BOE 166 de 12-07-2002) ]
  5. Ley 59/2003, de 19 de diciembre, de Firma Electrónica. [Documento disponible en HTML (BOE304 de 20-12-2003) ]
  6. Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de laLey de Propiedad Intelectual (LPI), regularizando, aclarando y armonizando las disposiciones vigentes en la materia. [Documento disponible en HTML (BOE 97 de 22-04-1996) ]
  7. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.[Documento disponible en HTML(BOE 25 de 29-01-2010 páginas 8089 a 8138) ]
  8. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.[Documento disponible enHTML (BOE 25 de 29-01-2010 páginas 8139 a 8156) ]

En esta sección se proponen unas breves guías que describen la normativa vigente y su ámbito de aplicación.

Las primeras dos normativas abordan la problemática y legislación aplicable de los datos de carácter personal. Además es recomendable la visita a la página web de la Agencia Española de Protección de Datos , para más información de la protección de datos de carácter personal.

La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, regula el régimen jurídico de los servicios de la sociedad de información y comercio electrónico, y todos los aspectos que hay que tener en cuenta a la hora de realizar transacciones electrónicas. En el siguiente tríptico  se puede encontrar una indicación de los aspectos básicos de dicha ley. Para una información más detallada, es recomendable consultar la página web de información general de la LSSl .

La cuarta normativa regula todos los aspectos referentes al régimen jurídico de la Firma Electrónica y todos aquellos requisitos que son necesarios para que a la hora de realizar comunicaciones exista identidad y seguridad.

La quinta normativa de Propiedad Intelectual describe y regula el conjunto de derechos que pertenecen a los autores y otros titulares respecto de las obras.

La sexta y séptima normativa regulan la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y los criterios y recomendaciones de seguridad, normalización y conservación de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas.

Se recomienda también visitar la sección de buenas prácticas para profundizar en cómo implantar medidas que faciliten el cumplimiento de las disposiciones legales.

Legislación Europea

En materia de seguridad informática existen dos normativas legales relevantes:

  1. Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de noviembre.[Documento disponible en PDF (Directiva 2009/136/CE/) ].
  2. Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre.[Documento disponible en PDF (Directiva 2009/140/CE) ].

La Directiva 2009/136/CE modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.

La Directiva 2009/140/CE modifica la Directiva 2002/21/CE relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a la autorización de redes y servicios de comunicaciones electrónicas.

La normativa del tabaco que regula la venta a través de internet aún no está desarrollada y publicada pero estamos a tu disposición si deseas consultar más información o tienes alguna duda. Puedes dirigirse al área jurídica de nuestros asesores legales en www.legaltabac.es

ConcectayComunica

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s