Ciberseguridad: Protección de datos personales en eCommerce

Las empresas que se dedican a crear un eCommerce, especialmente aquellas que se encuentran en una fase inicial, suelen contar con una serie de prioridades tales como la estética de la tienda, el proceso de checkout o procesado de la compra, la gestión de redes sociales, etc. Todas estas cuestiones de ciberseguridad son relevantes, pero llevar a cabo una gestión adecuada de los datos personales de los clientes también lo es, ya que ofrecerá diversos beneficios al comercio, además de evitar posibles sanciones legales por su incumplimiento.

Ofrecer confianza a los usuarios es un factor clave. Los clientes son cada vez más exigentes con el uso que se hace de su información personal por lo que gestionarla de forma adecuada será fundamental para generar seguridad. Para adecuarse a la reglamentación vigente en materia de protección de datos la tienda debe cumplir el RGPD (Reglamento Europeo de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales). Para ponernos en situación, el RGPD es un reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en cuanto a la LOPDGDD es la adaptación al derecho español del RGPD.

Para proteger adecuadamente los datos personales de los usuarios y clientes es fundamental determinar qué tipos de datos se recaban, incluyendo aquellos proporcionados por las cookies. Además se deben identificar todos los mecanismos de entrada de datos personales como son los formularios de registro, contacto, etc., y de salida, tales como los relativos a presupuestos o facturas. Teniendo en cuenta toda esta información será posible redactar conforme a la ley, los textos legales que el eCommerce necesita para adecuarse a la legalidad vigente.

El RGPD trae consigo otra novedad como es la forma en que se recoge información personal ya que esta debe realizarse mediante capas. Esto significa que cada vez que se requiera información personal de un usuario, se deberá informar en una primera instancia y de forma clara acerca de los aspectos más relevantes que afecten a esa información como es su responsable, la finalidad, los derechos que puede ejercer el usuario y cualquier otra información relevante.

Un aspecto clave en la recogida de datos personales es legitimar el consentimiento por parte del usuario, ya que este deberá cumplir  varias condiciones:

• El usuario deberá indicar de forma expresa que acepta la recogida de sus datos
• Cada formulario de contacto deberá solicitar el consentimiento en la recogida de datos personales
• Se debe informar previamente de cuál es su propósito
• Por último, se deberá poder acreditar que la recogida de datos se ha hecho conforme al RGPD

Una vez se han recopilado los datos personales de los clientes y usuarios, será necesario aplicar una serie de medidas de obligado cumplimiento de carácter organizativo, que tendrán que ser conocidas por todo el personal de la empresa que gestione datos personales:

• Nadie ajeno a la empresa deberá tener acceso a esta información, evitando situaciones que puedan poner en riesgo su privacidad
• Tanto la información que se encuentre en formato físico como digital, deberá almacenarse en lugar seguro destruyéndola de forma conveniente para evitar que pueda ser recuperada.
• Todos los miembros de la empresa deberán mantener en la confidencialidad, incluso cuando finalice la relación laboral del trabajador.

La nueva normativa en el tratamiento de datos personales también obliga a notificar a la Agencia Española de Protección de Datos o a la Autoridad de protección competente en un plazo máximo de 72 horas desde que haya tenido constancia de la violación de la privacidad, como por ejemplo el robo o acceso no autorizado a datos personales. En dicha notificación se incluirá toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. Además, bajo determinadas circunstancias, cuando los derechos y libertades de los usuarios afectados puedan verse coartados, también será obligatorio notificárselo.

Las empresas que se dedican al comercio electrónico, también tienen la obligación de implementar una serie de medidas de carácter técnico que reduzcan la posibilidad de sufrir un incidente de seguridad, que afecte a la privacidad de los datos personales. Algunas de estas medidas de seguridad son extensibles a cualquier entorno, ya sea profesional como personal. Por ejemplo:

• El dispositivo con el que se gestionen los datos personales deberá evitar hacer uso de cuentas con permisos de administrador para su uso habitual
• Se requerirá el inicio de sesión mediante contraseña siendo preferible que esta sea robusta
• Cada usuario que haga uso del dispositivo tendrá una cuenta distinta y siempre que no esté en presencia del dispositivo este se bloqueará.

Además los sistemas que gestionan los datos personales deberán contar con unas medidas técnicas mínimas:

• Todos los dispositivos y el software que se utilice en la empresa se encontrarán actualizados a la última versión disponible, así se dispondrá de los últimos parches de seguridad y funcionalidades liberadas por el desarrollador o fabricante de software.
• Todos los dispositivos tendrán instalado aplicaciones antimalware actualizadas y activas, ya que existe una gran cantidad de virus capaces de robar información de carácter personal.
• El cortafuegos también se encontrará siempre activo, evitando así accesos remotos no autorizados.
• Cuando se vayan a trasportar datos personales en un medio extraíble o se almacenen en un entorno cloud, estos siempre se cifrarán previamente. Esta medida de seguridad puede ser extensible también a los datos que se encuentran almacenados en la  organización, ya que otorga un extra de seguridad y privacidad.
• Por último, pero no por ello menos importante, periódicamente se deben llevar a cabo copias de seguridad, almacenándolas en un lugar seguro y distinto al dispositivo donde se encuentran los datos originales, pudiendo además aplicarse técnicas de cifrado.

Para gestionar los datos personales de forma segura, las empresas que se dedican a actividades de eCommerce deberán respetar la legislación tanto en su fase de recogida, como de gestión y almacenamiento. Y en caso de incumplimiento, la empresa se enfrenta a sanciones que pueden comprometer seriamente la continuidad de la organización y lo que es más importante,  la pérdida de confianza de los clientes.

Marcos Lozano, experto en Ciberseguridad (INCIBE)

Publicado el 16/04/2024 por:

Marco Lozano

Ingeniero de software y Diplomado en tecnologías de la Informática por la Universidad SEK, Marco A. cuenta con una amplia carrera en el área de la ciberseguridad desempeñando tareas como asesor y consultor tecnológico desde hace más de 18 años en empresas de diversos ámbitos que discurren desde los medios de prensa hasta la Administración Pública. En la actualidad ejerce como Responsable de Servicios de Ciberseguridad para Empresas en el Instituto Nacional de Ciberseguridad (INCIBE), forma en diversos másteres de ciberseguridad y colabora con la Comisión Europea y diversos medios de comunicación. Cuenta con una amplia formación y certificaciones como CISM, GIAC, CCS-G, CCS-T, ITIL e ISO 27000 entre otras.