Seleccionar página
Como todo negocio o actividad empresarial, la operación de una tienda online está sujeta a una serie de normas y regulaciones. A continuación, vamos a dar un breve repaso a la normativa esencial que tiene que cumplir nuestra tienda online.

Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI)

Regula específicamente las actividades de comercio electrónico, contratación, información, publicidad y servicios de intermediación online cuando constituyan una actividad económica o lucrativa para el prestador. Establece las obligaciones, responsabilidades y códigos de conducta, regulando las interacciones electrónicas de índole comercial. Están sujetas a esta Ley todas las tiendas establecidas en España. El artículo 22 de esta Ley, relativo a los derechos de los destinatarios de los servicios, hace referencia al manejo de cookies, lo que también enlaza con la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/1999.

Desde un punto de vista práctico… la página “Aviso Legal”

En todos los sitios web que den soporte a una actividad económica o lucrativa para el prestador debe de constar un documento que informe al usuario de las condiciones de uso del sitio y que facilite la información legal preceptiva. Este documento se suele ubicar como una página específica dentro del sitio denominada “Aviso Legal”. Una web informativa que dé soporte a nuestra empresa o negocio (aunque el sitio web en sí mismo no tenga funcionalidad de comercio electrónico), o un simple blog personal que incluya publicidad (que nos rendirá un beneficio económico), nos obliga a que facilitemos un Aviso Legal en nuestra web, que habitualmente incluye (ver Art. 10 LSSI):
  • La identificación del responsable del sitio: nombre o razón social, NIF o CIF, domicilio postal, email (y cualquier otro dato que permita establecer una comunicación directa y efectiva).
  • El dominio utilizado.
  • Si el sitio da soporte a una actividad sujeta a autorización administrativa, los datos de dicha autorización, incluyendo cuál es la Entidad Supervisora.
  • Si el sitio da soporte al desempeño de una profesión regulada, el Colegio Profesional y nuestro Nº de Colegiado, el título profesional habilitante oficialmente y la normativa profesional que aplica.
  • La información pertinente sobre la políticas que aplican: comercial, garantía, envío y devolución de impuestos…
  • Las vías y procedimientos a seguir en caso de queja o reclamación, así como las entidades de intermediación a las que se pudiera estar adherido.

Ley Orgánica de Protección de Datos (LOPD) y Reglamento General de Protección de Datos (RGPD)

Garantizan y protegen el uso y el tratamiento de los datos personales de nuestros usuarios recogidos en cualquier soporte (es decir, siempre que tratemos datos de carácter personal, incluso aunque no hagamos un tratamiento electrónico, estamos sujetos a esta Ley). La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal de control independiente encargada de velar por el cumplimiento de la normativa sobre protección de datos: en su sitio web podemos encontrar información y herramientas para que nuestro negocio cumpla con los requerimientos de Protección de Datos. La LOPD impone la obligación de facilitar información sobre la existencia de un tratamiento de datos de carácter personal, la finalidad y uso que se va a dar a los mismos, la identidad y vías de contacto directo y efectivo con el responsable (o representante) del tratamiento de los datos (debe estar en territorio español), la obligatoriedad/voluntariedad y consecuencias de dar acceso o no a los datos recopilados, y la forma de ejercer los derechos de Acceso, Rectificación, Cancelación y Oposición (los denominados “derechos ARCO”), así como los derechos establecidos en el RGPD de Limitación, Portabilidad y Derecho al Olvido sobre los datos de carácter personal. Existen al menos dos elementos técnicos que podemos decir están presentes prácticamente en todos sitios web y que tienen carácter de dato personal, lo que nos obliga a ajustarnos a la normativa de la LOPD y el RGPD: las direcciones IP y las cookies. Las direcciones IP son consideradas datos personales, tanto por parte de la AEPD, como por diferentes Tribunales (entre ellos, el Supremo), ya que con los medios adecuados pueden correlacionarse con personas “identificadas o identificables”. Las direcciones IP que han accedido a un sitio web son conocidas, tanto por el proveedor de internet, como por el proveedor de hosting o el de servicio de e-commerce, y también lo pueden ser por el propietario del sito e incluso por terceros que faciliten funcionalidades adicionales a través de plugins. Por su parte, las cookies son un mecanismo técnico que permite almacenar, recuperar y compartir información sobre la forma de navegar y hábitos del usuario que accede a un sitio, haciendo que su estancia en él no sea estrictamente privada y que la información de su navegación pueda ser tratada por el propietario del sitio o por terceros para generar un perfil personal del usuario. Por otra parte, el caso más evidente de tratamiento de datos personales ocurre cuando pedimos a un usuario que rellene un formulario que permita identificarlo a nivel personal, típicamente formularios de suscripción a acciones de marketing (newsletter, publicidad y promociones vía email…), formularios para que nuestros usuarios hagan comentarios sobre productos o entradas a nuestro blog, formularios de registro de cliente para poder atender sus pedidos, etc. En resumen, las Leyes y Reglamentos de Protección de Datos son muy garantistas y no tiene sentido cargar con la responsabilidad derivada de recopilar aquellos datos (o permitir la recopilación de datos personales por parte de terceros) que no tengan una finalidad clara y práctica para nosotros.

Desde un punto de vista práctico… la página “Política de Privacidad”

Si nuestro sitio web o tienda online trata datos personales de nuestros usuarios o clientes estamos obligados a informarles de ello, así como de la finalidad con la que captamos dichos datos, el tratamiento que hacemos de los mismos y la forma en que los usuarios pueden ejercer sus derechos ARCO. Esta información se recoge en un documento específico que se sitúa como la página “Política de Privacidad” de nuestro sitio. La AEPD proporciona guías y herramientas para ayudarnos a generar los documentos adecuados para nuestra empresa (quedando excluidos los casos en que se traten datos que impliquen un alto riesgo para los derechos y libertades de las personas -como p.e. sobre la salud, orientación política, etc- o efectuemos tratamientos masivos de datos). El documento “Política de Privacidad” debe de estar escrito de una forma fácilmente comprensible y suele indicar:
  • Los motivos y finalidad del tratamiento de datos que hace en nuestro sitio.
  • La identificación del responsable del sitio y/o del responsable de protección de datos del sitio, así como los medios para establecer una comunicación directa y efectiva con dicho responsable.
  • Los receptores de los datos, especificando si se facilitan datos a terceros (inclusive en otros países).
  • El tiempo durante el que los datos van a permanecer almacenados.
  • La forma en que un usuario puede ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición.

Desde un punto de vista práctico… la “Aceptación de Cookies” y la página “Política de Cookies”

Para cumplir con la normativa de cookies lo habitual es utilizar dos mecanismos:
  1. presentar al usuario que accede a nuestra web (o a nuestra tienda) un aviso en el que le informemos de que nuestro sitio utiliza cookies y le solicitemos que nos dé consentimiento expreso de su aceptación (normalmente esto suele hacerse solo en el primer acceso)
  2. publicar un documento específico detallando la “Política de Cookies” que aplicamos y que situaremos como una página permanentemente visible de nuestro sitio.
La funcionalidad de aviso al usuario de que nuestro sitio utiliza cookies, así como el registro de su aceptación, normalmente se hace mediante de un plugin que se instala en nuestra web y que, para el visitante, aparece como un “banner” o “popup” informativo que muestra un mensaje diciendo “Este sitio utiliza cookies…” junto con uno o más botones adicionales que permiten:
  • que el usuario acepte el uso de cookies cuando accede a nuestro sitio
  • que obtenga información adicional de la forma en que las cookies son usadas en nuestro sitio y cómo gestionarlas
  • que incluso (si así lo deseamos y hemos instalado un plugin de cookies con esta funcionalidad) el usuario pueda seleccionar individualmente el tipo de cookies que acepta/rechaza (Necesarias / Preferencias de usuario / Estadísticas / Publicitarias)
En cuanto al documento “Política de Cookies”, éste suele incluir:
  • una breve explicación de qué son las cookies y para qué se usan en nuestro sitio.
  • el detalle concreto de la tipología de las cookies usadas, p.e. de reconocimiento y seguimiento de usuarios que ya hubiesen accedido previamente a nuestro sitio, de análisis del acceso y comportamiento de usuarios (procedencia geográfica, dispositivos de acceso, áreas de interés…), cookies publicitarias para gestionar la presencia de anuncios en nuestra web (contenidos de interés…), etc.
  • Quién instala las cookies en el equipo del usuario, ya sea el propietario del sitio, ya sean terceras partes (p.e. típicamente Google Analytics si usamos sus servicios para analíticas web).
  • La forma en que el usuario puede conocer y gestionar (p.e. eliminar) las cookies instaladas en su navegador a partir de nuestro sitio web

Desde un punto de vista práctico… los formularios

Todos los sitios que mediante formularios (de contacto, de suscripción a newsletters, de publicidad o acceso a promociones, de comentario sobre productos o entradas en nuestro blog…) recopilen datos personales de los usuarios están sujetos a la normativa del RGPD. Esto implica que en cada formulario:
  • informemos claramente al usuario de qué datos personales se recogen (nombre, email, dirección IP…)
  • pongamos un botón de aceptación explícita de la “Política de Privacidad”
  • añadamos un enlace a la página “Política de Privacidad” en el propio formulario, además de un breve resumen de la misma
Los temas de protección de datos son de cierta complejidad y no existe una implementación sencilla y única que sirva para todos los sitios con independencia de su propósito (p.e. blog o tienda), de su funcionalidad (p.e. si incluye formularios de suscripción o no), de la tipología de datos recogida (p.e. generales o sensibles), etc. Por eso no debemos de “copiar” los textos de otra web o dejar su redacción en manos “del informático”, sino que es recomendable consultar con alguna de las múltiples empresas especializadas en protección de datos para que la implementación en nuestro sitio sea la apropiada y no peque de defecto o excesos innecesarios. Ver texto legal completo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/1999  y del Reglamento General de Protección de Datos (RGPD) EU 2016/67 

Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias

Regula la protección y la defensa de los consumidores y usuarios a través de normas que salvaguardan su salud y seguridad, su derecho a la información y la protección de sus intereses económicos legítimos (en lo referente a la práctica comercial, garantías, servicios de atención al cliente…). Reglamenta también la contratación (tanto en sus modalidades de contrato de venta, como de servicio), regulando la información precontractual, la integración de la oferta, promoción y publicidad en el contrato, así como el derecho de desistimiento. Es muy importante que seamos conscientes de que la publicidad forma parte del contrato y, por tanto, es vinculante para el comercio, no importa qué medio hayamos utilizado: ya sea este tradicional (prensa, folleto…) u online (email, página web…), siempre estamos obligados a cumplir con lo que hayamos dicho en nuestra publicidad, por eso debemos de especificar de la manera más clara posible y sin dejar “lagunas” todas las condiciones de nuestra oferta. (Esto suele ser la famosa “letra pequeña” o “legal” que se incluye en los anuncios y que en el caso de las comunicaciones online puede materializarse con un enlace a una página de “condiciones”). Para las tiendas online es de especial aplicación el Título III del Libro Segundo, que trata específicamente de los contratos celebrados a distancia (correo postal, Internet, teléfono o fax) y que complementa la normativa establecida por la LSSI en aspectos tales como las comunicaciones comerciales a distancia, la información precontractual de los contratos a distancia, los requisitos formales de los contratos a distancia, así como el derecho de desistimiento y garantías que asisten particularmente a los consumidores y usuarios en este tipo de contratación.

Desde un punto de vista práctico… Derecho de Desistimiento y Garantía

La Ley de Defensa de los Consumidores y Usuarios trata dentro de su Libro Segundo, Título III, las normas específicas de la contratación a distancia. Es de especial interés la articulación que hace del derecho de desistimiento y de las garantías y servicio posventa, dado el frecuente uso que se produce de los mismos.
  • El artículo 102 establece un derecho de desistimiento de 14 días naturales, sin que sea necesario indicar el motivo, con la devolución a través del mismo medio de pago usado por el comprador del total de importe satisfecho (costes básicos de envío incluidos). Podremos retener el reembolso hasta haber recibido los bienes o se nos presente una prueba de la devolución de los mismos.
  • El artículo 103 determina los bienes excluidos del derecho de desistimiento, que principalmente son los productos hechos a medida, los servicios consumidos, y el SW y contenido multimedia desprecintado.
  • El artículo 123 establece que el vendedor (por delante del fabricante del producto) responde de las faltas de conformidad que se manifiesten en el mismos por un plazo de dos años desde la entrega. Por otra parte, los defectos que se presenten dentro de los seis meses a contar desde la entrega del producto, sea éste nuevo o de segunda mano, se presupone que existían cuando la cosa se entregó: esto quiere decir que el vendedor responde durante seis meses como mínimo de los defectos que se manifiesten en el producto, incluso si éste es de segunda mano.

Ley General de Publicidad

Regula la actividad publicitaria, siendo de especial interés, ya que afectan a una amplia mayoría de negocios, las normas relativas a la publicidad ilícita. Igualmente, esta Ley establece (en su artículo 22) que las creaciones publicitarias gozan del derecho de propiedad industrial o intelectual: evidentemente no podemos “copiar” un anuncio (o su claim publicitario, imagen, etc) que no sea nuestro, pero es que, además, si no hemos “comprado” la propiedad intelectual de un anuncio que hemos encargado nosotros, no podremos “reutilizar” dicho anuncio para otros fines (una nueva campaña, etc).

Desde un punto de vista práctico… la Publicidad Ilícita

El artículo 3 de la Ley General de Publicidad determina que es publicidad ilícita:
  • Si atenta contra la dignidad de la persona o vulnera valores y derechos reconocidos en la Constitución. En particular, son publicidad ilícita los anuncios que presenten a la mujer de forma vejatoria o discriminatoria, utilizando su cuerpo o partes del mismo como mero objeto desvinculado del producto que se pretende promocionar.
  • Si incita a menores a comprar explotando su inexperiencia o credulidad. Tampoco se podrá, sin motivo justificado, presentar a niños en situaciones peligrosas.
  • La publicidad subliminal.
  • La publicidad engañosa, desleal o agresiva.
Ver texto legal completo de la Ley General de Publicidad 34/1998
Este artículo forma parte de la serie “¡Voy a abrir mi primera tienda! (…online, por supuesto)” compuesta por los capítulos:
  1. La constitución del negocio
  2. Infraestructura tecnológica
  3. Aspectos legales
  4. Consiguiendo visibilidad
  5. Ganarse la confianza