PROTECCIÓN DE DATOS PERSONALES EN COMERCIOS ELECTRÓNICOS B2C PERSONAL DATA PROTECTION ON E-COMMERCE B2C

PROTEÇÃO DE DADOS PESSOAIS EM COMÉRCIOS ELETRÔNICOS B2C


Carolina Sacoto*


Recibido: 13/05/2020 Aprobado: 25/06/2020


Resumen

En Ecuador, el crecimiento acelerado de las transacciones comerciales realizadas por internet ya es una realidad. Desa- fortunadamente, el auge de esta industria se da en un entor- no de incertidumbre total ante la inexistencia de una norma adecuada que regule el tratamiento de datos personales. En ese contexto, este artículo pretende señalar las obligaciones y avisos legales esenciales relacionados con la protección de da- tos personales que los comercios electrónicos B2C deberían tener presente a la hora de operar en el mercado. El análisis se realiza en atención al actual Proyecto de Ley de Protección de Datos Personales, desde una perspectiva legal y, vinculada a ella, una perspectiva técnica y lingüística. Finalmente, se rea- lizan recomendaciones para facilitar al responsable el cumpli- miento de los parámetros revisados en este documento.

Palabras clave: Privacidad en internet; Tratamiento de datos; Seguridad de datos; Procesamiento de datos; Contratación electrónica


Summary

In Ecuador, the accelerated growth of commercial transactions made through internet is already a reality. Unfortunately, its rise is taking place in conditions of total uncertainty caused by the absence of legal regulations regarding data protection and its processing. In this context, this article aims to cover the main obligations and legal notices related to personal data protection that B2C electronic commerce should consider when operating. The analysis is


based on the personal data protection bill of Ecuador from a legal perspective, and linked to it, a technical and linguistic perspective; fi ally, this work provides recommendations to guide organizations with the compliance of the requirements reviewed in this document.

Key words: Internet privacy; Data treatment; Data security; Data processing; Electronic contracting


Resumo

No Equador, o crescimento acelerado das transações comerciais realizadas por internet já é uma realidade. Infelizmente, o auge desta indústria está acontecendo ao redor de uma incerteza total diante da inexistência de uma norma adequada que regule o tratamento dos dados pessoais. Nesse contexto, este artigo pretende indicar as obrigações e avisos legais essenciais relacionados com a proteção de dados pessoais que os comércios eletrônicos B2C deveriam observar na hora de entrar no mercado. A análise se realiza em compatibilidade com o atual Projeto de Lei de Dados Pessoais, desde uma perspectiva legal e, vinculada a ela, uma perspectiva técnica e linguística. Finalmente, se realizam recomendações para facilitar ao responsável o cumprimento de parâmetros revisados neste documento.

Palavras chave: Privacidade na internet; Tratamento de dados; Segurança de dados; Processamento de dados; Contratação eletrônica


image

* Abogada por la Universidad Técnica Particular de Loja, Ecuador; Ingeniera comercial por la Universidad del Azuay, Ecuador; Magíster (c) en Propiedad intelectual y nuevas tecnologías por la Universidad Internacional de La Rioja, España. Tiene experiencia en comercio electrónico y es abogada en libre ejercicio profesional. Correo electrónico: carolina.sacoto94@gmail.com

INTRODUCCIÓN


El constante desarrollo tecnológico ha permitido la creación y rápida expansión de un nuevo modelo de negocio que gira en torno a la compra y venta de bienes y servicios por internet a través de relaciones contractuales por medios electrónicos. Este es un ca- nal de ventas que, mediante el uso de herramientas tecnológicas, obtiene gran cantidad de información sobre los internautas, la cual, tratada en diverso modo y por diferentes prestadores de servicios, consigue, además de prestar el servicio de compra y venta en lí- nea, mejorar la experiencia del usuario al navegar por una página web.


En este sentido, y si bien las acciones de procesamien- to de datos están encaminadas a potenciar las venta- jas que un e-commerce ofrece, en la misma o mayor medida representan una amenaza latente para la pri- vacidad de las personas, quienes, además, no tienen ningún poder de negociación con los comercios. Esta

situación ha llamado la atención del legislador de cada país, quien ha tenido la difícil tarea de crear la norma- tiva adecuada para tutelar un derecho fundamental de la persona, obviamente sin impedir el desarrollo del comercio electrónico.


Lamentablemente en Ecuador, si bien existe un Proyecto de Ley Orgánica de Protección de Datos Personales, a la fecha, el marco jurídico es insuficien- te; pues, con o sin norma que regule este derecho, es de gran importancia que el comercio electrónico cumpla con parámetros adecuados de protección de datos personales. Por tal motivo, este artículo hará una revisión de los requisitos fundamentales que los e-commerce B2C deberían tener en Ecuador, al mo- mento de salir al mercado. Para lograr una visión in- tegral del asunto, se abordarán estos puntos desde el ámbito legal y, vinculadas este, las perspectivas técni- ca y lingüística.


NOCIONES IMPORTANTES SOBRE EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES EN EL MARCO DEL COMERCIO ELECTRÓNICO


  1. Una mirada a la evolución del derecho a la protección de datos personales


    La aparición de las primeras normativas que regula- ban la protección de datos se remonta a los años 70 (Frosini 1998). Estas formaban parte de la primera ge- neración de protección de datos y nacieron como una reacción a la “informatización progresiva de la socie- dad y también, a la incertidumbre acerca de sus impli- caciones inmediatas, así como de las medidas precisas que debían tomarse” (Lazpita 1994, 404).


    A partir de esa base, surgió una variada legislación a nivel internacional. Esta se distinguió, por un lado, por ordenamientos jurídicos que se decantan por el impulso del desarrollo económico, como es el caso de Estados Unidos. Por otro lado -línea que preten- de seguir Ecuador- se hallan aquellos otros que han implementado un sistema jurídico con un nivel alto

    de protección de datos personales, al que confieren un rango de derecho fundamental independiente, como es el caso de la Unión Europea. Con tal aporte a la doctrina se inició “una nueva etapa, que se basa en la consideración de la protección de datos de carácter personal como un verdadero derecho fundamental autónomo e independiente del derecho a la intimi- dad” (Piñar 2003, 29).


    La explicación a esta evolución conceptual, que sitúa el derecho a la protección de datos personales en la 3.ª generación de derechos fundamentales, viene dada por el crecimiento preponderante que ha tenido el uso de la tecnología en todos los ámbitos de la vida diaria. Y “la protección de datos personales constituye una respuesta jurídica frente al fenómeno de la sociedad de la información para frenar la potencial amenaza que el desarrollo tecnológico representa para los de- rechos y libertades de las personas” (Herrán 2003, 15).

    Finalmente, y en respuesta a las crecientes exigencias que la era digital ha traído, en el año 2012 se inició en Europa la elaboración del más moderno instrumento que se tiene en la materia, el RGPD1. Esta normativa es un modelo nuevo que, por los principios, derechos y obligaciones que incorpora, pretende lograr un uso ético y responsable de la información. Además, inten- ta armonizar dos objetivos importantísimos: por un lado, la protección de datos y, por otro, libre circula- ción en el mercado para no limitar de forma injustifi- cada la innovación. En Ecuador, el nuevo proyecto de ley en la materia sigue casi en su totalidad los precep- tos legales contenidos en el mencionado Reglamento.


    Nuestro país no es uno de los que ha respondido con rapidez a la era digital. Como consecuencia, la ley para la protección de datos personales en Ecuador aún no es una realidad, y lo único que tenemos son precep- tos legales dispersos en diversas normas que no son ni suficientes, ni claros, ni completos para regular eficientemente el tratamiento de los datos personales en instituciones públicas y privadas. Sin embargo, no deja de ser una normativa vigente y plenamente apli- cable para el caso concreto; y, por esta razón, la revisa- mos brevemente a continuación.


    image

    La Constitución del Ecuador, en su art. 66 numeral 19 establece que se reconoce y garantiza a las personas el acceso, la decisión y protección sobre información y datos de carácter personal que le concierne, de for- ma que su tratamiento requerirá la autorización del titular o el mandato de la ley; y el art. 92 de la misma norma posee un sentido similar. Luego, tenemos la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, que principalmente contiene una definición bastante básica sobre lo que se considera dato personal, regula la contratación electrónica, y de- dica su art. 9 a la protección de datos, en el que pone énfasis en el consentimiento y el mandato legal como base para el tratamiento de datos. También establece que el procesamiento de los datos debe responder a los derechos de privacidad, intimidad y confidencialidad. En definitiva, esta ley sí recoge algunos preceptos im- portantes en la materia, pero sin una estructura clara y adecuada que resulte eficiente.

  2. ¿Qué se considera dato personal?


    El art. 5 del proyecto de Ley Orgánica de Protección Datos Personales, recoge una definición que tiene en cuenta todo dato que concierne a una persona, cuya identidad es evidente (identificada) o puede estable- cerse y llegar a serlo, directa o indirectamente, a partir de la combinación de unos datos con otra información (identificable). Esta identificación requiere obligatoria- mente, elementos que describan de forma clara a una persona de tal modo que no se la confunda con otra.


    Además, hace énfasis en la posibilidad de que un dato se haga identificable en el “presente o en el futuro” como un anticipo a las novedades que tecnologías inexistentes hoy en día podrían traer. Este es un con- cepto más adecuado en comparación con la única e incompleta definición disponible en el ordenamiento jurídico ecuatoriano a la fecha, que está prevista en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos y que textualmente dice: “son aque- llos datos o información de carácter personal o ínti- mo, que son materia de protección en virtud de esta ley” (Disposición general 9.ª, glosario de términos).


    Para entender de mejor manera esta definición es pre- ciso mencionar unos cuantos ejemplos, con datos que permiten identificar directamente a una persona, su nombre o número de identificación; asimismo permi- tirán identificarla indirectamente, mediante informa- ción como su dirección o número de celular. A estos clásicos datos personales, se suman aquellos que pro- vienen del uso de la tecnología y que también hacen posible la identificación, los cuales usualmente son re- cogidos cuando la persona navega por internet en una web, por ejemplo, la dirección IP.


    Finalmente, en ese concepto se evidencia que la perso- na objeto de protección es una persona física.


  3. Características de los comercios electrónicos B2C


    Pues bien, para comprender las obligaciones legales en materia de protección de datos personales que se


    image

    1. Reglamento General de Protección de Datos, vigente para su aplicación desde el 25-V-2018.

      abordarán más adelante hay que tener claro algunas cuestiones importantes sobre los e-commerce.


      Desde el surgimiento del comercio electrónico en los años 90 hasta la fecha, las plataformas digitales han atravesar varias etapas para poder llegar a su actual estado: un modelo de negocio que incluye el uso de herramientas tecnológicas de seguridad, funciona- lidades que permiten personalización del servicio, elementos de publicidad, campañas de marketing ma- sivas integradas, etc. Es decir, es un modelo de nego- cio capaz de incorporar todo tipo de tecnologías para el tratamiento de datos personales, y estos rasgos lo han posicionado como el canal de ventas más impor- tante a nivel mundial.


      Existen tantas definiciones de comercio electrónico como autores; sin embargo, resultan más acertadas aquellas que ya tienen presente la distribución de in- formación que se genera en las transacciones comer- ciales por internet.2 Así mismo, existen varias formas de clasificar al comercio electrónico. La que nos inte- resa es aquella que tiene en cuenta a quiénes partici- pan en la transacción electrónica; particularmente, el modelo B2C (business to consumer), en el que intervie- ne, por un lado una empresa, y por otro el consumidor final hacia el que la compañía dirige sus esfuerzos de venta.


      Este modelo de negocio no sería tan atractivo de no contar con innumerables ventajas tanto para consu- midores como para empresarios. Entre las más valora- das están: comodidad, variedad de productos, precios competitivos, atención continua al público, acceso a un mercado global y, una de las más importantes, la personalización del servicio.


      Ahora bien, para que las transacciones de un e-com- merce sean posibles, es necesario que se realicen con otros proveedores de soluciones electrónicas. Los ser- vicios que casi siempre son requeridos son: servidores en la nube para el almacenamiento de datos, pasarelas de pago, herramientas para publicidad, etc. Procesos en los que existe un importante intercambio de datos


      image

    2. Ver, en este sentido: Anteportamlatinam 2014.

    3. Proyecto de Ley Orgánica de Protección de Datos Personales, artículo 5.

    4. Negrita de la autora.

      personales, sin los cuales no sería posible prestar el servicio. Adicionalmente, el éxito de una página de comercio electrónico está ligado claramente a la efi- ciencia del servicio; pero, sobre todo, a la estrategia de marketing que se utilice para hacerle apreciar al cliente las ventajas de comprar en su tienda. Y tanto el servicio como los esfuerzos comunicacionales para lograr ese objetivo necesitan de información valiosa de los compradores.


  4. Contratación electrónica


En vista de que la dinámica del negocio requiere una importante cantidad de datos personales para que se logre el nivel de eficiencia deseado, ¿cómo hacen los comercios para conseguir toda esa información y po- der tratarla de una forma lícita? La respuesta es me- diante una contratación electrónica que utilice, como base legal, el consentimiento dado por el internauta.


Para la mayoría de propósitos, cuando no ha existido una relación contractual previa, los comercios electró- nicos requieren del consentimiento del titular de los datos personales para tratar su información, que se ex- terioriza con la aceptación de contratos electrónicos. Ellos son básicamente los Términos y Condiciones, las Políticas de Privacidad y los Avisos sobre. Más ade- lante abordaremos el contenido sugerido para estos contratos.


En este punto se revisará qué se entiende por con- sentimiento. Nos remitimos nuevamente a la defi- nición que pretende el proyecto de Ley Orgánica de Protección de Datos Personales en Ecuador3, que lo define como “manifestación de la voluntad libre, pre- via, específica, expresa informada e inequívoca4 por la que el titular de los datos personales autoriza al res- ponsable del tratamiento de datos personales a tratar los mismos”.


Así, en ella se entiende que existen requisitos para que el consentimiento en materia de protección de datos sea válido: primero, la voluntad libre; y solo se con- sidera que es libre el consentimiento que se ha dado

sin que exista violencia, error, coacción, o temor de consecuencias negativas. Luego, el consentimiento debe ser previo, es decir, tiene que conseguirse antes de tratar los datos personales. También debe ser es- pecífico: debe describirse claramente y en términos inequívocos el fin para el que se recogen ciertos datos, de modo que los consentimientos genéricos aplicados a un contexto ilimitado no son válidos.


Después, la norma refiere que el consentimiento debe ser expreso, es decir, manifiesto, cierto y explícito (Albaladejo 2002); además debe ser informado, pues el interesado debe contar con la información suficiente que le permita tener conciencia y comprensión clara y amplia de las consecuencias de dar su consentimiento o de no darlo; y, por tanto, el responsable debe propor- cionar una descripción específica y completa de toda la información que permita al titular comprender las implicaciones de su actuar. Finalmente, se dice que debe ser inequívoco ya que no debe caber duda algu- na de que el titular quería exteriorizar su voluntad de admitir el tratamiento de sus datos.


En consecuencia, el silencio, por regla general, y al menos en el ámbito de contratación electrónica, no puede considerarse expresión de la voluntad, toda vez que “nadie puede imponer a otro que el silencio sea signo de declaración” (Flume 1998, 94). Se trata, más bien, de una falta de expresión, y considerarla como aceptación de una oferta resultaría abusivo; tampoco podrá entenderse que una oferta ha sido aceptada por el solo hecho de visitar un determinado sitio web.

En el caso particular de las páginas web, la manifesta- ción de la voluntad se da cuando se selecciona la ca- silla en donde se debería poder visualizar el contrato y se pulsa clic en el botón “aceptar”; razón por la cual, las casillas ya marcadas que llevan a una inacción del sujeto no deben constituir consentimiento.


En cuanto a los contratos electrónicos, existe acuerdo en que es posible la formación del consentimiento por cualquier medio electrónico. Puesto que, “si la volun- tad puede declararse por gestos, y aun por silencios, cómo no se va a poder declarar por medio de un or- denador” (Rodríguez 2000, 356). No hay discusión al respecto, debido a que la contratación electrónica cumple con los elementos esenciales de la contratación común, regulada en materia civil; y, si bien incluye el uso de medios telemáticos y presenta particularidades que han sido desarrolladas para generar mayor segu- ridad jurídica, no aporta novedades relevantes que lle- ven a un debate sobre el asunto. Asimismo, tampoco parece existir problema jurídico alguno en el uso de las nuevas tecnologías o de internet para expresar el consentimiento.


En el mismo sentido, La Ley de Comercio Electrónico, Firmas y Mensajes de Datos de Ecuador, en su artículo 45, establece la validez de los contratos electrónicos e indica que “no se negará validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado en su formación uno o más mensajes de datos”; ade- más, regula el consentimiento para el uso de medios electrónicos.


OBLIGACIONES LEGALES EN MATERIA DE PROTECCIÓN DE DATOS RELACIONADAS AL COMERCIO ELECTRÓNICO


En este punto es importante entender que la fina- lidad de la norma no es impedir a los comercios el uso de datos personales, sino evitar conductas indebidas en el tratamiento de estos datos, a fin de precautelar un derecho fundamental de la persona. Ahora, que las empresas estén preparadas para dar cumplimien- to a lo dispuesto en una futura ley en la materia, así como para iniciar operaciones comerciales con otros países que exigen el mismo nivel de protección de

datos personales que ellos ofrecen, será indispensa- ble al menos considerar los puntos que se explican a continuación.


El comercio debe cumplir el principio de licitud, lealtad y transparencia, en virtud del cual se exige que el trata- miento de datos personales tenga un fundamento legal. En el caso de los e-commerce, como ya se indicó, hay que tener en cuenta principalmente el consentimiento

como base para el procesamiento legal de datos per- sonales, tratamiento que ha de ser ético. Además, la empresa debe proporcionar al usuario sufi te infor- mación relativa a sus datos personales. En todo caso, ha de existir un esfuerzo honesto de usar todos los medios disponibles para mantener al interesado informado an- tes, durante y después de cualquier proceso relacionado al tratamiento de los datos personales.


También hay que tener presente que la finalidad del tratamiento de los datos debe delimitarse correcta- mente, de modo que resulte específica y clara. De igual manera, el responsable debe identificar cuáles son los datos mínimos que requiere para cumplir con su pro- pósito legal, de modo que no resulten excesivos e in- adecuados; así se dará cumplimiento a los principios de limitación de la finalidad y de minimización.


Y, en concordancia con el principio de limitación de almacenamiento, los datos personales deben conser- varse únicamente por el tiempo que sea necesario para cumplir el fin para el que se recogieron. Transcurrido ese periodo deben eliminarse, o pueden mantenerse, pero siempre que se vuelvan anónimos, de manera que no se identifique al titular.


El responsable del tratamiento garantizará razonable- mente que los datos sean exactos y precisos, que se han actualizado, y que todo dato falso o engañoso se ha rectificado o eliminado sin dilaciones. Asimismo, el responsable debe implementar medidas técnicas y organizativas, de forma que se minimice el riesgo de actos fraudulentos vinculados con los datos del inte- resado, sin importar que estén vinculados al su uso, acceso, divulgación, pérdida o destrucción no auto- rizado, accidental o deliberado. Los comercios deben asegurarse de evitar cualquier tipo de consecuencia desfavorable para el interesado que vulnere sus de- rechos y libertades; porque, en virtud del principio de seguridad, se tiene que garantizar una protección apropiada de la información.


Por otro lado, íntimamente relacionados a estas obli- gaciones que tienen los responsables del tratamien- to, los derechos de las personas usuarias de estas


image

  1. Negrita de la autora.

    plataformas digitales. La exigencia de informar al usuario para obtener su consentimiento es un derecho específico del interesado: el de tener a su disposición toda la información respecto del tratamiento sus datos personales. Su contenido depende de si los datos se re- cogen directamente del individuo o si se los consiguió de otra fuente; y, por lo general, los datos que se deben compartir incluyen:


  2. En este punto es interesante la sentencia del CJEU, C-131/12, Google Spain SL, Google Inc. versus la Agencia Española de Protección de Datos (AEPD).

    efectivamente permiten el ejercicio de los derechos del usuario, pero mediante procesos tan complejos, que al final resultan inútiles. Puede pasar también que estos términos y políticas están presentes en extensio- nes poco razonables, de modo que no habrá manera de que el usuario las lea; menos aún, cuando la co- modidad es una ventaja muy valorada en este tipo de modelo de negocio y, dado que leer políticas extrema- damente largas, con tecnicismos o incomprensibles, no resultaría nada cómodo para un internauta.


    Este es justamente el gran problema al que nos enfren- taremos en un futuro cercano, pues si los avisos legales no fueron de fácil acceso, si el usuario ni siquiera los notó, o si estuvieron presentes, pero en una extensión tal que era casi imposible que el internauta los lea, se- ría adecuado dudar de si el usuario ha dado su con- sentimiento informado. Y evidentemente no sería así, porque la información que se dé al usuario ha de ser concisa, transparente, inteligible y de fácil acceso.


    Pues bien, para entender a qué se refiere la accesibi- lidad técnica es necesario comprender que no solo es importante colocar toda la información en el sitio web, sino que, además, esta debe ser de fácil acceso; pues, de otra manera, poco se lograría con tener los datos completos en la web si un usuario medio es incapaz de identificarlos dada la complejidad de diferenciarlos de los otros elementos.


    Este aspecto forma parte integrante del cumplimiento de las obligaciones legales en materia de protección de datos. Aquí ya no se aborda el qué se debe cumplir, sino el cómo; y, para hacerlo operativo, es esencial de- sarrollar procesos intuitivos que permitan llegar hasta los avisos legales, formularios y otros elementos que garanticen el efectivo cumplimiento de las obligacio- nes antes descritas; esto. Tal procedimiento debe ser posible para un internauta sin que este sea un experto en el uso de plataformas digitales. Así, se entiende que las herramientas puestas a disposición de los indivi- duos deben ser de uso sencillo e idealmente amigables.


    En suma, el comercio no usará las herramientas tec- nológicas de las que dispone solo para mejorar la ex- periencia del usuario o para inducirlo a la compra, sino también para conseguir una plataforma web en la

    que, por los elementos que incorpora, la persona sien- ta confianza al usarla, y perciba que efectivamente la empresa ha puesto esfuerzo en dejar a la vista las con- diciones bajo las cuales prestará su consentimiento. Este proceder, sin lugar a duda generará un impacto positivo en el potencial comprador, quien no temerá que el comercio pretende ocultar información.


    Para lograrlo habrá que tener en cuenta los requeri- mientos siguientes:



    AVISOS LEGALES EN LA WEB Y COMUNICACIONES COMERCIALES


    Una vez que hemos visto las obligaciones, así como los aspectos que validan y apoyan en gran medi- da su cumplimiento, en este apartado se revisarán los puntos que usualmente se recogen en cada aviso legal.


    1. Contrato de términos y condiciones


      Usualmente, el contrato de términos y condiciones de la web cumplirá con el objetivo de informar al usuario sobre los datos del comercio, así como sobre la diná- mica y proceso de compra dentro de la web. Respecto a este asunto se abordan las políticas de devolución, las garantías del usuario en el correcto manejo de la plata- forma y se definen las responsabilidades de las partes. También se hace referencia a la protección de datos per- sonales, a la política de cookies y también en el apartado de legislación y fuero; asimismo se suele hacer mención a los códigos de ética a los que el comercio esté adhe- rido. Lamentablemente, en Ecuador no existe ningún tipo de iniciativa para la creación de códigos en esta rama, situación que se espera cambie con la expedición de la Ley Orgánica de Protección de Datos Personales, pues son especialmente necesarios para establecer pau- tas a seguir y para la resolución de conflictos.


    2. Política de privacidad


      En concreto, esta es la política en la que quedarán recogidas las obligaciones y derechos que se han ex- plicado. Generalmente, una política adecuada empie- za por informar al internauta quien es el responsable del tratamiento de los datos personales, y proporcio- na su información completa. Luego, explica cuáles son las finalidades por las cuales se recogen los datos

      personales y relaciona esta información con la base le- gal del tratamiento. Después, se suele informar sobre el tipo de datos que se recogen y cómo, habitualmente existen datos que el usuario proporciona al comer- cio. Hay datos que la empresa los recoge cuando el internauta navega en la web, otros vendrán de redes sociales o incluso de medios, tales como llamadas te- lefónicas, mensajes de texto o correos electrónicos y, en plataformas más modernas, de llamadas al robot de la página web.


      Además, se informa sobre los terceros con quienes se comparten los datos personales: qué información se les proporciona, con qué fin y en qué condiciones. Hay que considerar que las empresas prestadoras de servicios de hosting, de publicidad online y de trans- porte, comúnmente tienen acceso a datos personales de los clientes de la empresa. También se debe hacer referencia al tiempo que se pretende mantener la in- formación y a las medidas de seguridad que se han implementado en la web.


      Finalmente, y de modo fundamental, deben explicarse al usuario los derechos que le corresponden y la forma en que puede ejercitarlos; una política responsable no hace solo una mera lista de estos, sino que los explica en términos sencillos y pone a disposición de la per- sona vías fáciles para elevar las correspondientes soli- citudes al comercio.


    3. Política de cookies


      Este aviso legal es el más duro de comprender para los usuarios, dado el tecnicismo de algunos términos

      y, así, representa un reto para el comercio en cuanto a la forma en la que se proporciona la información al usuario. Para empezar, hay que explicar en palabras sencillas qué es una cookie y cuáles son los tipos de cookies que se usan en el sitio web. Esta herramienta es en extremo versátil y útil, pues permite entre otras cosas: el uso de los carritos de compra, personalizar la página web para el usuario en una segunda visi- ta, almacenar información relacionada a la forma de pago del cliente, analizar y segmentar a los visitantes del sitio, así como enviar y presentar publicidad. Esta tecnología es de vital importancia para lograr el come- tido de una plataforma web. Por esta razón, ni bien el internauta aterriza en la página de inicio, el comercio ya pide su consentimiento para usar cookies.


      Al efecto, es especialmente recomendable usar tablas, paneles u otros elementos que permitan mostrar la re- lación entre la cookie que se implementa, su finalidad, su propiedad, su descripción y la vigencia, de modo que el internauta no se sienta abrumado por térmi- nos técnicos o exceso de texto y termine por rechazar el uso de cookies. Asimismo, es indispensable que se informe al usuario del sitio cómo puede configurar el uso de cookies o, en su caso, deshabilitarlas y nueva- mente recordar que, en virtud de los principios revi- sados, solo se debe recoger la información necesaria para los propósitos explicados al internauta.


    4. Comunicaciones comerciales


    Por último, se debe tener presente que, en toda tran- sacción por internet, la comunicación electrónica

    digital ocupa un papel primordial. En la actualidad, una de las herramientas más comunes que usan los comercios en línea para comunicar sus promociones y productos son las campañas de mailing.


    Para usarlas se ha de tener presente que estas comu- nicaciones deben, en primer lugar, tener clara iden- tificación de la persona que las envía. En el caso de promociones, ofertas o concursos, la información que se ofrezca debe ser inequívoca y sugerir con claridad las condiciones de acceso. Además, pueden ser envia- das solo si el interesado lo ha consentido de forma ex- presa (opt-in7) o si ya existe una relación contractual previa.


    En todo caso, se debe ofrecer al destinatario la posi- bilidad de oponerse al tratamiento de sus datos para fines promocionales mediante un proceso que sea sencillo y gratuito. Este, además de estar presente en el momento de la recogida de los datos, debe constar en cada comunicación comercial, acompañado de una dirección de correo mediante la que el usuario pueda ejercitar su derecho. De no ser así, estas comunicacio- nes quedan prohibidas.


    Nuestra legislación8 hace referencia a la publicidad y promoción por redes electrónicas, y hace énfasis en que el consumidor debe tener acceso a toda la infor- mación disponible relacionada al bien o al servicio del que se trate; igualmente exige que se facilite un medio sencillo para que el destinatario de las comunicacio- nes comerciales pueda solicitar la exclusión de listados con objetivos de marketing y publicidad.


    CONCLUSIONES Y RECOMENDACIONES


    La situación que vivimos hoy en día ha hecho que comprar por internet no sea solo una opción sino una necesidad. Si antes de esta emergencia el papel prota- gónico que tenía el e-commerce era innegable, de aquí en adelante advertiremos un crecimiento exponencial de transacciones electrónicas. La gran mayoría de las

    empresas ecuatorianas, sean estas pequeñas, medianas o grandes, se encuentran en proceso de trasladar su negocio físico a internet, y lo están haciendo sin que exista normativa adecuada que alcance a regular efi- cientemente la cantidad de negocios que tenemos por delante con los nuevos hábitos de compra.


    image

  3. Acción mediante la cual, el internauta acepta recibir información sobre la empresa, usualmente vía correo electrónico.

  4. Ley de Comercio Electrónico, Firmas y Mensajes de Datos, artículo 50.

    Además, toda persona tiene derecho a conocer el propósito con el que se tratan sus datos y a controlar la forma en la que estos se emplearán, de forma que el uso indiscriminado de datos personales con fines económicos u otros que resulten poco éticos y causen daño al titular de la información están prohibidos.


    A fin de evitar que los avisos legales por medio de los cuales se recaba el consentimiento del internauta para tratar datos personales resulten abusivos, los comer- cios deberían limitar sus acciones de tal manera que respeten las obligaciones en la materia. Hacerlo, a más de preparar al comercio para el cumplimiento de una ley a corto o mediano plazo que le faculte para operar lícitamente en el tráfico mercantil, le permitirá cum- plir las expectativas de sus potenciales clientes y ganar credibilidad frente a estos. Hoy en día es fácil para el usuario comparar y verificar el nivel de responsabili- dad, transparencia y esfuerzo puesto por otros comer- cios respecto del tratamiento de datos personales.


    Con lo expuesto, es urgente que Ecuador cuente con una ley de protección de datos personales que salva- guarde derechos fundamentales de los ecuatorianos por diversas razones. Por un lado, debe existir una norma completa y suficiente capaz de garantizar a la persona un derecho sobre el uso y empleo de sus da- tos personales y de equiparar el desequilibrio entre comercios y usuarios, de modo que se reduzca la po- sición preferente en la que se encuentra una empre- sa con sus avisos legales frente al usuario del servicio que no tiene ninguna capacidad de negociación. Por otro lado, también se necesita una normativa que pro- mueva el desarrollo del e-commerce en nuestro país, y que haga factible el intercambio comercial con otros territorios que exigen niveles mínimos de protección de datos para realizar negociaciones. Ahora bien, esta normativa debe estar a la altura de las exigencias de otros países y tendría que ocuparse no solo sobre qué se debe informar o qué derechos le asisten al internau- ta, sino que también debería dar pautas sobre cómo deben cumplirse las obligaciones que le sean aplica- bles al comercio. En relación con este punto, es esen- cial tener en cuenta aspectos técnicos y lingüísticos, de suerte que se asegure que el consentimiento sea

    efectivamente una manifestación de voluntad libre, inequívoca, específica e informada. De la mano de una nueva ley debería promoverse la creación de entidades de certificación con códigos de conducta propios que sin duda impulsarán buenas prácticas entre los co- mercios más relevantes que se posicionen en Ecuador. Es claro que la norma, por su propia naturaleza, que ha de ser flexible para poder adaptarse a los nuevos retos del ámbito tecnológico, no puede ahondar en cuestiones tan específicas sobre el cómo cumplir las obligaciones en la materia, pero sí que lo puede hacer una entidad de certificación.


    Finalmente, es importante decir que estas medidas no deben ser una razón para creer que el internauta va a restringir demasiado las posibles acciones de los co- mercios en relación con el tratamiento de sus datos personales; de facto, los usuarios aceptan compartir su información para recibir ciertos servicios y lo harán más aún si sienten esa confianza que genera el hecho de que puedan identificar prácticas responsables por parte de la empresa9. Además de que, como ya se ex- plicó, hacerlo les permitirá participar lícitamente de la dimensión internacional de este tipo de comercio.


    Recomendaciones


    Antes de implementar cualquier herramienta para recolección de datos en la web, es recomendable, en primer lugar, definir con precisión los propósitos del tratamiento de datos personales, que deben estar rela- cionados con la actividad de la empresa. Asimismo, se debe identificar la base legal que respalde el tratamien- to de los datos personales para ese fin y, luego, anali- zar cuidadosamente cuáles son los datos estrictamente necesarios para el cumplimiento de dichos fines. Con este análisis podremos ya escoger las herramientas tecnológicas más apropiadas para recolectar y tratar la información sin que se recojan datos irrelevantes y excesivos. En el proceso de recabar el consentimiento del usuario es recomendable que el e-commerce incor- pore una página de visualización obligatoria del aviso legal antes de que el internauta pueda marcar la casilla de aceptación; así se presume que la persona ha dado su consentimiento informado.


    image

  5. Estudio realizado por la compañía Accenture Interactive denominado Pulse Check 2018 Making it Personal.

También es recomendable que, una vez implementada la web, junto con las pruebas en las que se verifique la experiencia del usuario, se compruebe la accesibi- lidad técnica. El usuario debería ser capaz de ubicar los avisos legales sin dificultad y de ejecutar órdenes sencillas que validen la facilidad de los procesos rela- cionados a la protección de datos personales.


Finalmente, se debe comprobar que se han teni- do en cuenta todos los puntos mencionados en este

documento, y, para conseguirlo, nada mejor que una lista de verificación en la que se anote si se cumple o no con cada parámetro, de modo que sea posible cuan- tificar el nivel de cumplimiento. No estará por demás hacer este control con cada actualización del sitio web.


Estas recomendaciones no son más que una parte de un proceso de planificación para una mejora continua que, de cumplirse, dará a la empresa una ventaja com- petitiva sobre aquellas que no lo hagan.

BIBLIOGRAFÍA


Accenture Interactive. 2018. “Making it Personal. Why brands must move from communication to conversation for greater personalization. Pulse Check 2018.” Acceso el 15-IV-2020. https://www. accenture.com/_acnmedia/PDF-83/Accenture- Making-Personal.pdf#zoom=50


Adelola, Tiwalade. Dawson, Ray y Batmaz, Firat. 2015. “Privacy and data Protection in e-commer- ce in developing nations: evaluation of different data protection approaches”. Journal for Digital Society 6: 950-959. Acceso el 10-IV-2020. https:// pdfs.semanticscholar.org/ae95/5ceae73996d0d- 59ba1a55afaad101405744b.pdf%20 https://www. omicsonline.org/open-access/data-privacy-issues- and-possible-solutions-in-ecommerce-2168- 9601-1000294-104325.html


Albaladejo, Manuel. 2002. Derecho Civil. Introducción y Parte General. Barcelona: Librería Bosch S.L.


Alonso Conde, Ana. 2004. Comercio electrónico: antecedentes, fundamentosyestadoactual. Madrid: Dykinson.https://bv.unir.net:3555/es/ereader/unir

/60875


Anteportamlatinam Valero, José. 2014. Relevancia del e-commerce para la empresa actual. Tesis de Licenciatura en Administración y Dirección de Empresas. Universidad de Valladolid.


Brkan, Maja y Psychogiopoulou, Evangelia. 2017. Courts, Privacy and Data Protection in the Digital Environment. Cheltenham: Eward Elgar Publising Limited.


European Union Agency for Fundamental Rights and Council of Europe. 2018. Handbook on European data protection law. Luxembourg: Publications Office of the European Union.


Frosini, Vittorio. 1988. Informática y Derecho. Bogotá: Editorial Temis.

Flume, Werner. 1998. El Negocio Jurídico. Madrid: Editorial Fundación Cultural del Notariado.


Herrán, Ana. 2003. El derecho a la protección de da- tos personales en la sociedad de la información: Cuadernos Deusto de derechos humanos. Bilbao: Universidad de Deusto.


Illescas Ortiz, Rafael. 2019. Derecho de la contratación electrónica. Pamplona: Editorial Civitas.


Information Commissioner’s Office. 2018. “Guide to the General Data Protection”. Acceso el 25-IV-2020. https://ico.org.uk/for-organisations/guide-to- data-protection/guide-to-the-general-data- protection-regulation-gdpr/


Lazpita, María. 1994. “Análisis comparado de las legislaciones sobre protección de datos de los Estados miembros de la Comunidad Europea”. Informática y Derecho 6-7: 397-420. Acceso el 3-IV- 2020. https://dialnet.unirioja.es/servlet/articulo

?codigo=248383


Lodder, Arno y Murray, Andrew. 2017. EU Regulation of e-commerce. Cheltenham: Edward Elgar Publishing Limited.


Martín Bernal, José. 2001. “Internet y Virtualización del Derecho en General y del Derecho Civil en Particular”. Revista Actualidad Civil 2: 443-459. Acceso el 20-IV-2020. http://actualidadcivil. laley.es


Pinochet, Ruperto. 2004. “La Formación del Consentimiento a Través de las Nuevas Tecnologías de la Información”. Ius et Praxis 10: 267-320. Acceso el 2-IV-2020. https://scielo.conicyt. cl/scielo.php?script=sci_arttext&pid=S0718- 00122004000200009#nota46

Rodríguez Adrados, Antonio. 2000. “El Documento Negocial Informático”. Notariado y Contratación Electrónica, editado por Consejo General del Notariado, 353-74. Madrid: Colegios Notariales España.


Seoane, Eloy. 2005. La nueva era del comercio electró- nico. Madrid: Ed. Ideaspropias.


Singh, Avinash. 2018. “E-Commerce interfering with Privacy: Perceived Risks and Security is- sues with Techno-policy outcomes”. En Digital Transformation Strategies and trends in E- learning 1: 802-23. Acceso el 10-IV-2020. https://papers. ssrn.com/sol3/papers.cfm?abstract_id=3298224


Piñar Mañas, José. 2003. “El derecho a la protección de datos de carácter personal en la jurispruden- cia del Tribunal de Justicia de las Comunidades Europeas”. Cuadernos de Derecho Público 19-20: 45-90. Acceso el 15-IV-2020. https://core.ac.uk/ download/pdf/61482627.pdf


Vega Clemente, Virginia. 2013. “COMERCIO ELECTRÓNICO Y PROTECCIÓN DE DATOS”.

Revista de Estudios Económicos y Empresariales 25: 205-244. Acceso el 11-IV-2020. https://core.ac.uk/ download/pdf/72044528.pdf

Legislación


Carta de los Derechos Fundamentales de la Unión Europea (Parlamento, Consejo y Comisión Europea, 7-XII-2000).


Constitución de la República (Ecuador, Registro Oficial No. 449, 20-X-2008).


Convenio No. 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de datos de Carácter Personal (Consejo de Europa, 28-I-1981).


Directiva 95/46/CE. Relativa a la protección de las personas físicas en lo que respecta al tratamien- to de datos personales y a la libre circulación de estos datos (Parlamento Europeo y del Consejo, 24-X-1995).


Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (Ecuador, Registro Oficial No. 557, 17-IV-2002).


Proyecto de Ley Orgánica de Datos Personales (Ecuador, Memorando No. PAN-CLC-2019-0184, 19-IX-2019).


Reglamento General de Protección de Datos de la Unión Europea (Parlamento y Consejo de la Unión Europea, Reglamento (UE) 2016/679, 27-IV-2016).