Marco jurídico e implicaciones fiscales del comercio electrónico en España

2 Principios configuradores de la regulación

2.4 Protección de datos de carácter personal

Otro aspecto que puede tener implicaciones en la realización de actividades de comercio electrónico es el referido a los posibles tratamientos de datos personales que se pudieran derivar del desarrollo de este tipo de operaciones.

Actualmente, la norma que regula esta materia en España, como en el resto de la Unión Europea, es el Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), conocido como RGPD.

En el marco del RGPD, que es de aplicación directa desde el 25 de mayo de 2018, se ha promulgado en España la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de derechos digitales (LOPD-gdd), que derogó la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La LOPD-gdd regula algunos aspectos del tratamiento de los datos de carácter personal de las personas físicas dentro de los márgenes de concreción que el RGPD permite en los Estados Miembros de la UE.

EL RGPD se aplica a los datos de carácter personal, entendidos como cualquier información concerniente a personas físicas, identificadas o identificables, no siendo extensiva, por tanto, su regulación a los datos que hagan referencia a personas jurídicas; sin embargo, a diferencia del anterior sistema, sí es de aplicación a los datos de empresarios individuales y de las personas de contacto en personas jurídicas.

La normativa sobre protección de datos de carácter personal gira en torno a los siguientes principios:

Es necesario contar con una base legal para el tratamiento de los datos personales.
El tratamiento de datos especialmente protegidos (aquellos que hagan referencia a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual) se somete a limitaciones o, en algunos casos, prohibiciones.
El interesado debe ser informado acerca de una serie de extremos con relación al tratamiento previsto de sus datos de carácter personal.
Únicamente pueden ser objeto de tratamiento aquellos datos de carácter personal que resulten pertinentes, adecuados y no excesivos con relación a la finalidad que motivó su recogida.
La comunicación de datos de carácter personal a un tercero requiere contar con una base legal suficiente.
Cuando la comunicación de datos personales se dirija a un tercero, que en la Ley recibe la denominación de Encargado de Tratamiento, que preste un servicio que implique el acceso a tales datos, no se requiere el consentimiento del interesado, siendo necesario que la relación se regule en un contrato de prestación de servicios que incluya una serie de menciones establecidas por el RGPD.
Se reconocen a los interesados los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos de carácter personal, así como otros derechos de nuevo cuño tales como el derecho a la portabilidad de los datos o el derecho a la limitación del tratamiento.
Las sanciones por incumplimiento pueden ir hasta los 20.000.000 € o el 4% de la facturación anual global del grupo del infractor durante el ejercicio financiero anterior.

Otro aspecto destacable es el relativo a las comunicaciones de datos que impliquen un movimiento internacional de los datos de carácter personal, el cual se somete a limitaciones y a la obligación de mantener un nivel de seguridad equivalente al existente dentro de la UE, para lo cual es necesario recurrir a alguno de los medios establecidos en el propio RGPD incluyendo, en algunos casos, la autorización previa del Director de la Agencia Española de Protección de Datos.

En relación con el ámbito sancionador, resulta relevante destacar la facultad del órgano sancionador, en determinados supuestos excepcionales, de no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable de la infracción a fin de que, en el plazo establecido por el órgano sancionador, acredite la adopción de las medidas correctoras que en cada caso resulten pertinentes.

El Reglamento General de Protección de Datos basa su estructura normativa en la “responsabilidad proactiva” o accountability, que supone la obligación para el responsable del tratamiento de autoevaluar los tratamientos que realiza y los riesgos implícitos a cada uno de ellos, adoptando las medidas de seguridad más adecuadas en cada caso.

Cookie	Duración	Descripción
_ga	2 años	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a visitantes únicos.
_gat_gtag_UA_51756832_11	1 minuto	Establecido por Google para distinguir a los usuarios.
_gid	1 día	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente & el estado de CCPA. Funciona solo en coordinación con la cookie principal.
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.