Marco jurídico e implicaciones fiscales del comercio electrónico en España

2 Principios configuradores de la regulación

2.4 Protección de datos de carácter personal

Otro aspecto que puede tener implicaciones en la realización de actividades de comercio electrónico es el referido a los posibles tratamientos de datos personales que se pudieran derivar del desarrollo de este tipo de operaciones.

Actualmente, la norma que regula esta materia en España, como en el resto de la Unión Europea, es el Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), conocido como RGPD.

En el marco del RGPD, que es de aplicación directa desde el 25 de mayo de 2018, se ha promulgado en España la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de derechos digitales (LOPD-gdd), que derogó la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La LOPD-gdd regula algunos aspectos del tratamiento de los datos de carácter personal de las personas físicas dentro de los márgenes de concreción que el RGPD permite en los Estados Miembros de la UE.

EL RGPD se aplica a los datos de carácter personal, entendidos como cualquier información concerniente a personas físicas, identificadas o identificables, no siendo extensiva, por tanto, su regulación a los datos que hagan referencia a personas jurídicas; sin embargo, a diferencia del anterior sistema, sí es de aplicación a los datos de empresarios individuales y de las personas de contacto en personas jurídicas.

La normativa sobre protección de datos de carácter personal gira en torno a los siguientes principios:

Es necesario contar con una base legal, de las incluidas en el artículo 6 del RGPD, para el tratamiento de los datos personales.
El tratamiento de datos especialmente protegidos (aquellos que hagan referencia a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual) se encuentra prohibido, salvo para cuando concurran ciertas circunstancias recogidas en el artículo 9.2 del RGPD.
El interesado debe ser informado acerca de una serie de extremos con relación al tratamiento previsto de sus datos de carácter personal.
Únicamente pueden ser objeto de tratamiento aquellos datos de carácter personal que resulten pertinentes, adecuados y no excesivos con relación a la finalidad que motivó su recogida.
La comunicación de datos de carácter personal a un tercero requiere contar con una base legal suficiente.
Cuando la comunicación de datos personales se dirija a un tercero, que en la Ley recibe la denominación de Encargado de Tratamiento, que preste un servicio que implique el acceso a tales datos, no se requiere el consentimiento del interesado, siendo necesario que la relación se regule en un contrato de prestación de servicios que incluya una serie de menciones establecidas por el artículo 28 del RGPD (contrato de encargo del tratamiento de datos).
Se reconocen a los interesados los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en ellos.
Las sanciones por incumplimiento pueden ir hasta los 20.000.000 € o el 4% de la facturación anual global del grupo del infractor durante el ejercicio financiero anterior.

Otro aspecto destacable es el relativo a las comunicaciones de datos que impliquen un movimiento internacional de los datos de carácter personal, el cual se somete a limitaciones y a la obligación de mantener un nivel de seguridad equivalente al existente dentro de la UE, para lo cual es necesario recurrir a alguno de los medios establecidos en el propio RGPD incluyendo, en algunos casos, la autorización previa del Director de la Agencia Española de Protección de Datos.

En relación con el ámbito sancionador, resulta relevante destacar la facultad del órgano sancionador, en determinados supuestos excepcionales, de no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable de la infracción a fin de que, en el plazo establecido por el órgano sancionador, acredite la adopción de las medidas correctoras que en cada caso resulten pertinentes.

El Reglamento General de Protección de Datos basa su estructura normativa en la “responsabilidad proactiva” o “accountability”, que supone la obligación para el responsable del tratamiento de autoevaluar los tratamientos que realiza y los riesgos implícitos a cada uno de ellos, adoptando las medidas de seguridad más adecuadas en cada caso. Este principio, se encuentra estrechamente relacionado con el concepto de protección de datos desde el diseño y por defecto, o “Privacy by Design and by Default”, que obliga a los responsables del tratamiento a evaluar dichos riesgos de los tratamientos y aplicar las medidas técnicas y organizativas apropiadas, no solo durante el tratamiento, sino también desde el momento del diseño de dicho tratamiento, así como a garantizar que por defecto solo se traten los datos necesarios para los fines específicos del tratamiento.

Cookie	Duración	Descripción
_ga	2 años	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a visitantes únicos.
_gat_gtag_UA_51756832_11	1 minuto	Establecido por Google para distinguir a los usuarios.
_gid	1 día	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente & el estado de CCPA. Funciona solo en coordinación con la cookie principal.
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.