UNIDAD

DIDÁCTICA 4
Seguridad en las transacciones
de venta online
 Contenido & Objetivos

Introducción

1. Requerimientos de seguridad en la venta online

2. Protocolos de seguridad existentes y cómo deben

seguirse

3. Cómo garantizar la seguridad en la pasarela de pago

4. Adquirir un certificado de seguridad digital

5. Cumplir con la legislación vigente: protección de

datos

Resumen

Los objetivos de esta unidad son:

1. Aprender los requerimientos de seguridad en la venta
online.
2. Saber cuáles son los protocolos de seguridad existentes y
cómo deben seguirse.
3. Garantizar la seguridad en la pasarela de pago.
4. Adquirir un certificado de seguridad digital.
5. Cumplir con la legislación vigente: protección de datos.

98
 Gestión de los negocios online 2.0

Introducción
Después de lo visto hasta ahora, el paso siguiente es aprender a gestionar la segu-
ridad de las transacciones en la venta online. Es lo que va a tratar de exponer esta
unidad.

1. Requerimientos de seguridad en la venta online

Ahora que hemos construido nuestro flamante nuevo sitio web e invertido horas,
recursos y dinero en ello, ¿qué pasaría si de repente todo desapareciera y perdieras tu
trabajo? ¿Qué consecuencias tendría para tu empresa si tu web infectara los ordena-
dores de tus usuarios?
Hoy en día, hay muchas amenazas que ponen en peligro la integridad y la seguridad
de tu web. Aunque, en muchas ocasiones, la pérdida de datos no es un problema si
tienes una política de copias de seguridad adecuada, sí puede afectar a la disponibili-
dad de tu página, a tu reputación e incluso a tu posicionamiento SEO.
Por esa razón es necesario conocer cuáles son las principales amenazas que nos
acechan en Internet para después ver cómo hacerles frente. Esas principales amena-
zas son:
1. Ransomware: el ransomware es un software malicioso diseñado para impedir
el acceso a tu sitio web hasta que pagues el dinero del “rescate” al atacante. El
73% de las empresas determinan que el ransomware es el peor riesgo de segu-
ridad web relacionado con la infiltración de sistemas.
2. Malware: el malware es un software que pretende dañar o inutilizar sitios web
y sistemas informáticos. En todo el mundo, 30.000 sitios web son pirateados
cada día. Además, el 43% de las violaciones de datos afectan a pequeñas y
medianas empresas. Si tu web se infecta con malware, los visitantes podrían
ver una advertencia que diga: “Este sitio puede dañar su ordenador”, lo que
hará que huyan de tu web, perdiendo dinero y reputación.
3. Ataques DDoS: un ataque de denegación de servicio distribuido (DDoS) se
produce cuando los bots inundan el ancho de banda del servidor de un sitio
web objetivo, lo que puede echar abajo el servidor e impedir que los usuarios
accedan a tu web. En el primer trimestre de 2022, se produjeron más de 90.000
ataques DDoS.
4. Phising: el phishing consiste en enviar correos electrónicos falsos en nombre
de tu empresa en un intento de engañar a la gente para que revele información
personal como números de identificación, contraseñas y números de tarjetas
de crédito.

99
 Administración y Gestión Ediciones Valbuena

5. Borrado de datos accidental: los problemas de seguridad en la web también

pueden provenir de simples errores del usuario. En el peor de los casos, un
simple error puede hacer caer todo el sitio web. A veces, un miembro del equipo
puede borrar accidentalmente un archivo crítico o una entrada de la base de
datos, haciendo que el sitio web falle.

6. Sabotaje de los empleados: los empleados descontentos pueden suponer un

riesgo para la seguridad web. Un trabajador descontento o un ex empleado
puede tumbar tu sitio web y robar datos críticos de la empresa con tan solo un
nombre de usuario y una contraseña obsoletos.

2. Protocolos de seguridad existentes y cómo

deben seguirse
2.1. Líneas de defensa
Veamos de manera resumida cuáles son las formas utilizadas más habituales para
defender el sitio web:

D La primera línea de defensa para un sitio web consiste en limitar el acceso al

sitio por parte de extraños. Algunos de los métodos para lograrlo son:

• Los cortafuegos.

• La cuenta de seguridad del usuario.

• La seguridad proporcionada por software.

• La protección adicional para los datos sensibles.

D La segunda línea de defensa se prepara poniendo en marcha un sistema de

supervisión rutinaria, de modo que se pueda saber lo que está pasando con los
servidores y con el tráfico de Internet. Con el software para el análisis de archi-
vos se puede detectar este tipo de anomalías; esto hace posible detectar los
intentos de violar la seguridad de nuestro sitio y, en algunos casos, rastrearlos
hasta conocer la fuente del ataque.

D La tercera línea de defensa es la codificación. Se trata de un sistema que utiliza

algoritmos de cifrado para crear un mecanismo general para la transmisión de
datos sensibles. Es el pilar sobre el que descansa la seguridad de la mayoría de
sitios web.

100
 Gestión de los negocios online 2.0

2.2. Cortafuegos
La seguridad es otra de las razones para colocar el sitio web dentro de los límites de
un buen y fiable servicio de hosting. Un buen servicio de hospedaje dispone, general-
mente, de los recursos para garantizar una eficaz seguridad del sitio web.

Ya hemos hablado con anterioridad de la utilidad de los cortafuegos a la hora de

impedir la entrada de usuarios no autorizados en zonas predeterminadas de la red,
como la intranet, por ejemplo. Más específicamente, un cortafuegos puede ser utili-
zado en distintos lugares, como por ejemplo:

1. Entre Internet y el servidor web, reduciendo el número de puertos y protoco-

los abiertos al uso de extraños.

2. Entre Internet y la red interna (intranet) de una web, protegiendo los servido-
res y datos de apoyo administrativo.

3. Entre los datos sensibles del sitio web y el resto de servidores, mediante una
configuración que permite el acceso solo desde los servidores de la aplicación
del sitio web. Esta clase de configuración se utiliza para salvaguardar datos
críticos, tales como los números de las tarjetas de crédito.

2.3. Autentificación y autorización

Uno de los tipos más corrientes de ataque es el de los hackers que logran acceder a
un servidor web tras apropiarse de una cuenta de usuario. Limitando el acceso de los
usuarios a exclusivamente los recursos que necesitan, se reduce la cantidad de perjui-
cios que pueden causar los piratas informáticos. ¿Cómo? A través de la autentificación
y la autorización:

D La autentificación verifica que el usuario es realmente la persona que afirma

ser. Este tipo de sistema utiliza contraseñas de entrada, firmas digitales y
contraseñas para cada solicitud de entrada (utilizando contraseñas tempo-
rales).

D La autorización define lo que al usuario se le permite hacer; se utiliza junto

a un servicio de lista de control de acceso o un filtro que limita el acceso a los
recursos del ordenador.

2.4. Contraseña e ID de usuario

La contraseña y el ID de usuario son los medios más corrientes para ofrecer servi-
cios de autentificación. El ID suele ser fácil de adivinar, ya que normalmente se basa en
el propio nombre del usuario: por tanto, debemos de utilizar contraseñas que sean difí-

101
 Administración y Gestión Ediciones Valbuena

ciles de acertar, aunque esto no garantiza una seguridad del 100%, ya que hay herra-
mientas y técnicas disponibles que son capaces de descifrar las contraseñas. Entre las
medidas que podemos tomar para mejorar la seguridad de la contraseña destacamos:

a) No transmitir la contraseña e ID sin tomar precauciones.

b) Elegir una contraseña que sea una combinación de letras mayúsculas, minúscu-
las y números. Generalmente, los distintos sistemas tienen sus propios requisi-
tos para las contraseñas.

c) Emplear técnicas de codificación de las transmisiones y certificados para la

autentificación, tales como Kerberos y SSL (en este último caso para cuentas
de administrador).
d) Nunca conceder más acceso a los recursos que el necesario. Por ejemplo, si
un servidor de aplicación que hace funcionar nuestros catálogos de productos
tiene que leer su información para mostrarla al usuario, necesitará una cuenta
de usuario de base datos de productos; pero esa cuenta no tendrá autorización
para leer otras partes de la base de datos, como por ejemplo aquellas donde
están archivadas las tarjetas de crédito.

2.5. Confidencialidad
Otro aspecto a tener en cuenta es el de la confidencialidad. Esta garantiza que solo
las personas autorizadas podrán ver los datos transmitidos en las redes o guardados
en las bases de datos. La protección de los datos sensibles, como los movimientos de
compra-venta o el número de las tarjetas de crédito, representa un difícil problema
para las empresas web. Garantizar la confidencialidad implica seguir los siguientes
pasos:
1. Determinar el tipo de información que es sensible en nuestro sitio.
2. Hacer que resulte difícil llegar a esos datos y también recuperarlos, mediante el
empleo de algunos o todos de estos métodos:
a) Colocar los datos sensibles en un servidor distinto protegido por un corta-
fuegos.
b) Separar los datos. Dar a las bases de datos sensibles su propio subsistema
de seguridad y su propio proceso de autentificación de usuarios.
c) Limitar el número de cuentas de usuario que pueden leer o escribir en
dichas bases de datos.
d) Codificar los datos y controlar el acceso a la clave de codificación.

102
 Gestión de los negocios online 2.0

2.6. Supervisión y proactividad

Por último, debemos supervisar la utilización de nuestro sitio web y adoptar una
actitud proactiva respecto a los agujeros de seguridad. Lo recomendable es:

D Supervisar para detectar cualquier intrusión. Para ello emplearemos un informe

de cambio de cuenta de usuario o un sistema sofisticado para supervisión de
redes.

D Realizar copias de seguridad de nuestro sitio web de un modo programado y

regular con objeto de poder recuperar los programas y datos dañados, si fuera
necesario.

D Tras un ataque, revisar los llamados archivos de registro de sistema (logs);

pueden explicarnos cómo se produjo el ataque, e incluso pueden ofrecernos
alguna pista sobre la identidad del atacante.

D Encargar a expertos del exterior auditorías de seguridad para comprobar los

posibles agujeros de seguridad que nosotros no hemos logrado detectar

3. Cómo garantizar la seguridad en la pasarela de

pago
Como ves, hay muchas formas en las que una persona malientencionada, o simple-
mente un error, puede poner en peligro tu web o incluso tu negocio, impidiendo el
acceso a tu página, robando información confidencial o exponiendo datos de tus usua-
rios, lo que puede además conllevar multas importantes si no se han tomado previa-
mente las medidas de seguridad necesarias.

Por tanto, si queremos crear un sitio web debemos ser conscientes y reconocer que
estamos creando un dominio que está expuesto a una serie de peligros. Por tanto,
necesitamos asegurarnos de que se han puesto en marcha unos niveles adecuados de
seguridad, entre otros:

D Cortafuegos.

D Supervisión de software para la protección de las páginas web.

D Métodos de codificación para proteger las transacciones con los clientes.

Como mínimo, un entorno seguro de comercio electrónico requiere de:

1. Control de acceso, normalmente administrado por un cortafuegos.

103
 Administración y Gestión Ediciones Valbuena

2. Autenticación, que vincula un determinado mensaje o transacción con la iden-

tidad de una persona.
3. Integridad y privacidad de los datos, que asegura que las comunicaciones y
transacciones se mantienen exactas y confidenciales.
Aunque la seguridad es un tema complejo (no hay más que ver la cantidad de pági-
nas y servicios atacados y “tumbados” por los hackers, desde Facebook hasta webs
gubernamentales), vamos a ver ahora algunos consejos adicionales que te ayudarán a
minimizar los riesgos:
1. Mejora de la formación, las políticas y los procedimientos
Es importante que tu empresa disponga, aunque sean muy básicas, de polí-
ticas de seguridad corporativas y planes de formación en seguridad para sus
empleados.
Las políticas de seguridad incluyen procedimientos en distintos ámbitos rela-
cionados con los correos electrónicos, los sitios web, las bases de datos, los
equipos, las instalaciones y los sistemas que los soportan.
Establecer cada cuánto tiempo los empleados deben cambiar sus passwords,
eliminar accesos a antiguos empleados, políticas de copia de seguridad o cómo
actuar cuando se detecta un fallo de seguridad son ejemplos de puntos a incluir
en estas políticas.
2. Protección de los datos y los sistemas
La mejor manera de prevenir problemas de seguridad de datos es evitar que
los hackers entren en los servidores, bases de datos y carpetas de tu sitio web.
Utiliza una herramienta de software antivirus de confianza para crear una
barrera contra las amenazas. Mantén actualizado tu CMS e incorpora plugins
de seguridad adicional. Incorpora además certificados de seguridad SSL para
encriptar todas las comunicaciones de tu web.
También debes proteger tus infraestructuras incorporando formas de manejar
intrusiones externas inesperadas, como ataques DDoS u otras amenazas a la
seguridad de los sitios web. A menudo, estas medidas estarán incluidas en tu
proveedor de alojamiento web.
3. Copia de seguridad y recuperación de sus datos
Realiza periódicamente copias de seguridad de los datos de tu sitio web en
soportes internos (servidores, discos duros, unidades de cinta) y externos
(copias de seguridad y almacenamiento en la nube).
Una copia de seguridad del sitio web es una foto de todos los componentes impor-
tantes de tu sitio web, como los archivos de contenido, las carpetas de código, las
bases de datos del sitio web, los complementos, los plugins o los temas.

104
 Gestión de los negocios online 2.0

4. Adquirir un certificado de seguridad digital

Uno de los mecanismos fundamentales para garantizar la seguridad de un sitio web
es implementar SSL (Secure Socket Layer) y para ello es imprescindible disponer de un
certificado digital e instalarlo en nuestro sitio web.
En esencia, un certificado digital es un par de claves criptográficas que emplea el
protocolo SSL para garantizar al usuario del sitio:
1. Protección de la información: se garantiza el cifrado en todas las comunica-
ciones con el sitio.
2. Identificación del sitio web: garantiza que el sitio web corresponde con el que
se indica en el propio certificado.
3. Integridad de la información: si se produjera alguna modificación malinten-
cionada o pérdida en la información intercambiada entre cliente y servidor se
podría identificar y así descartarla.
4. No repudio: si una transmisión de datos se considera válida no se puede recha-
zar, ya que el protocolo garantiza que ambos extremos son legítimos.
Cualquier certificado empleado otorgará confidencialidad a la información trans-
mitida y, además, garantizará su integridad. Sin embargo, para asegurar la identifica-
ción, es necesario conseguir el certificado a través de una Autoridad de Certificación
reconocida (AC), que son organismos independentes que emiten certificados digita-
les. Los certificados emitidos por una AC se denominan certificados de confianza.
Existen distintos niveles de confiabilidad en los certificados, dependiendo de las
garantías que ofrezca sobre el mismo la propia AC. Básicamente, cuando conectamos
a un sitio web que implementa SSL el navegador muestra un candado cerrado, y la
URL a la que nos conectamos comienza por [Link] Sin embargo, los navegadores
siguen distinguiendo tipos de certificados con las distintas notificaciones o indicadores
que muestran al usuario durante la navegación en estos sitios.
Existen varios tipos fundamentales de certificados SSL para sitios web:
D Certificados no emitidos por una AC. En estos casos, lo habitual es que el
navegador web informe al usuario con un mensaje del tipo “Esta conexión no
está verificada” o “La conexión no es privada”. Puesto que no se dispone de
un certificado digital emitido por una AC de confianza, cualquiera podría gene-
rar un certificado para nuestro dominio. Estas condiciones facilitarían en gran
medida que se pudiera producir un ataque de phishing (estafa) contra los usua-
rios del sitio.
D Certificados emitidos por una AC. Existen dos niveles de seguridad fundamen-
tales para los certificados, diferenciando si el certificado se emite desde una
jerarquía de certificación que dispone de validación extendida o si no:

105
 Administración y Gestión Ediciones Valbuena

a) En el supuesto que el certificado no disponga de validación extendida, el

usuario no recibirá ninguna alerta de que el certificado no es confiable.
El navegador garantizará que, efectivamente, se ha conectado al domi-
nio adecuado, aunque no podrá asegurar que dicho dominio y certificado
pertenecen a una organización real.
b) El sello de validación extendida se obtiene en base a una certificación
internacional de gestión de certificados y seguridad que se expide, previa
auditoría, a las autoridades de certificación que así lo deseen y cumplan
los requisitos.
D La selección del tipo de certificado dependerá de las necesidades de cada
empresa, así como del tipo de servicio prestado, aunque como mínimo se reco-
mienda emplear un certificado emitido por una Autoridad de Certificación de
confianza.
D La mayoría de los proveedores de hosting te ofrecerán la posibilidad de contra-
tar e instalar un certificado SSL, bien gratuito (Let’s Encrypt) o de pago.

5. Cumplir con la legislación vigente: protección de

datos
5.1. La comunicación comercial
5.1.1. Introducción

Dentro de las actividades propias del comercio online, las empresas deben tratar de
promocionar y posicionar sus productos en el mercado y para ello, a menudo, es nece-
sario realizar comunicaciones con los clientes. Es en este momento cuando hay que
tener en cuenta las leyes que afectan al marketing digital, que tratan de limitar estas
actividades para proteger los derechos de los ciudadanos.
Existen diversas normativas a nivel europeo y español que afectan a las comuni-
caciones comerciales que realizan las empresas. En la actualidad, estas leyes y regla-
mentos se encuentran en continuo desarrollo y evolución, por lo que es necesario estar
atentos a cualquier cambio normativo. En general, es aconsejable contar con los servi-
cios de profesionales de este ámbito para evitar problemas y sanciones, que en algu-
nos casos pueden ser muy importantes.
Las leyes y normativas que actualmente afectan a las comunicaciones comerciales
en España son, principalmente, la Ley de Servicios de la Sociedad de la Información y
el Comercio Electrónico (LSSICE) y la Ley Orgánica de Protección de Datos y Garantía
de Derechos Digitales (LOPD-GDD o simplemente LOPD), adaptada al Reglamento
Europeo de Protección de Datos (RGPD).

106
 Gestión de los negocios online 2.0

5.1.2. Protección de datos

A) Introducción
Con fecha 7 de diciembre de 2018 entró en vigor la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La ley sustituye a la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal y tiene por objeto adaptar el ordenamiento jurídico
español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27
de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre circulación de estos datos, y comple-
tar sus disposiciones. De manera que, de ahora en adelante, el derecho fundamental
de las personas físicas a la protección de datos personales, amparado por el artículo
18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE)
2016/679 y la Ley Orgánica 3/2018.
Se genera un nuevo régimen jurídico en materia de protección de datos, remar-
cando las principales novedades que para los ciudadanos y la administración supone la
Ley Orgánica 3/2018, de 5 de diciembre en sintonía con el Reglamento UE.
Es muy importante recordar que la ley adapta el ordenamiento jurídico español al
reglamento europeo y que la protección de datos se ejercerá con arreglo a lo estable-
cido en el reglamento y la ley.
Asimismo la ley también tiene como objeto garantizar los derechos digitales de la
ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

B) Terminología de protección de datos

Es importante relacionar la terminología de protección de datos:
1. Datos personales
Toda información sobre una persona física identificada o identificable (“el inte-
resado”); se considerará persona física identificable toda persona cuya identi-
dad pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos
de localización, un identificador en línea o uno o varios elementos propios de la
identidad física, fisiológica, genética, psíquica, económica, cultural o social de
dicha persona.
• Datos de carácter personales.
• Datos de carácter públicos y privados.
• Datos sensibles.

107
 Administración y Gestión Ediciones Valbuena

2. Tratamiento
Cualquier operación o conjunto de operaciones realizadas sobre datos persona-
les o conjuntos de datos personales, ya sea por procedimientos automatizados
o no, como la recogida, registro, organización, estructuración, conservación,
adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o
interconexión, limitación, supresión o destrucción.
3. Limitación del tratamiento
El marcado de los datos de carácter personal conservados con el fin de limitar
su tratamiento en el futuro.
4. Elaboración de perfiles
Toda forma de tratamiento automatizado de datos personales consistente en
utilizar datos personales para evaluar determinados aspectos personales de
una persona física, en particular para analizar o predecir aspectos relativos al
rendimiento profesional, situación económica, salud, preferencias persona-
les, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha
persona física.
5. Seudonimización
El tratamiento de datos personales de manera tal que ya no puedan atribuirse a
un interesado sin utilizar información adicional, siempre que dicha información
adicional figure por separado y esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable.
6. Fichero
Todo conjunto estructurado de datos personales, accesibles con arreglo a crite-
rios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica.
7. Responsable del tratamiento o responsable
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo
o junto con otros, determine los fines y medios del tratamiento; si el Derecho de
la Unión o de los Estados miembros determina los fines y medios del tratamiento,
el responsable del tratamiento o los criterios específicos para su nombramiento
podrá establecerlos el Derecho de la Unión o de los Estados miembros.
8. Encargado del tratamiento o encargado
La persona física o jurídica, autoridad pública, servicio u otro organismo que
trate datos personales por cuenta del responsable del tratamiento.

108
 Gestión de los negocios online 2.0

9. Destinatario
La persona física o jurídica, autoridad pública, servicio u otro organismo al que
se comuniquen datos personales, se trate o no de un tercero. No obstante, no
se considerarán destinatarios las autoridades públicas que puedan recibir datos
personales en el marco de una investigación concreta de conformidad con el
Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos
por dichas autoridades públicas será conforme con las normas en materia de
protección de datos aplicables a los fines del tratamiento.
10. Tercero
Persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y
de las personas autorizadas para tratar los datos personales bajo la autoridad
directa del responsable o del encargado.
11. Consentimiento del interesado
Toda manifestación de voluntad libre, específica, informada e inequívoca por la
que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen.
12. Violación de la seguridad de los datos personales
Toda violación de la seguridad que ocasione la destrucción, pérdida o altera-
ción accidental o ilícita de datos personales transmitidos, conservados o trata-
dos de otra forma, o la comunicación o acceso no autorizados a dichos datos.
13. Datos genéticos
Datos personales relativos a las características genéticas heredadas o adqui-
ridas de una persona física que proporcionen una información única sobre la
fisiología o la salud de esa persona, obtenidos en particular del análisis de una
muestra biológica de tal persona.
14. Datos biométricos
Datos personales obtenidos a partir de un tratamiento técnico específico, rela-
tivos a las características físicas, fisiológicas o conductuales de una persona
física que permitan o confirmen la identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos.
15. Datos relativos a la salud
Datos personales relativos a la salud física o mental de una persona física,
incluida la prestación de servicios de atención sanitaria, que revelen informa-
ción sobre su estado de salud.

109
 Administración y Gestión Ediciones Valbuena

16. Establecimiento principal

a) En lo que se refiere a un responsable del tratamiento con establecimientos
en más de un Estado miembro, el lugar de su administración central en
la Unión, salvo que las decisiones sobre los fines y los medios del trata-
miento se tomen en otro establecimiento del responsable en la Unión y
este último establecimiento tenga el poder de hacer aplicar tales decisio-
nes, en cuyo caso el establecimiento que haya adoptado tales decisiones
se considerará establecimiento principal.
b) En lo que se refiere a un encargado del tratamiento con establecimien-
tos en más de un Estado miembro, el lugar de su administración central
en la Unión o, si careciera de esta, el establecimiento del encargado en
la Unión en el que se realicen las principales actividades de tratamiento
en el contexto de las actividades de un establecimiento del encargado en
la medida en que el encargado esté sujeto a obligaciones específicas con
arreglo al reglamento de protección de datos.
17. Representante
Persona física o jurídica establecida en la Unión que, habiendo sido designada
por escrito por el responsable o el encargado del tratamiento, represente al
responsable o al encargado en lo que respecta a sus respectivas obligaciones
en virtud del reglamento.
18. Empresa
Persona física o jurídica dedicada a una actividad económica, independiente-
mente de su forma jurídica, incluidas las sociedades o asociaciones que desem-
peñen regularmente una actividad económica.
19. Grupo empresarial
Grupo constituido por una empresa que ejerce el control y sus empresas
controladas.
20. Normas corporativas vinculantes
Las políticas de protección de datos personales asumidas por un responsable o
encargado del tratamiento establecido en el territorio de un Estado miembro para
transferencias o un conjunto de transferencias de datos personales a un respon-
sable o encargado en uno o más países terceros, dentro de un grupo empresarial
o una unión de empresas dedicadas a una actividad económica conjunta.
21. Autoridad de control
La autoridad pública independiente establecida por un Estado miembro con
arreglo a lo dispuesto en el reglamento.

110
 Gestión de los negocios online 2.0

22. Autoridad de control interesada

La autoridad de control a la que afecta el tratamiento de datos personales

debido a que:

a) El responsable o el encargado del tratamiento está establecido en el terri-

torio del Estado miembro de esa autoridad de control.

b) Los interesados que residen en el Estado miembro de esa autoridad de

control se ven sustancialmente afectados o es probable que se vean
sustancialmente afectados por el tratamiento.

c) Se ha presentado una reclamación ante esa autoridad de control.

23. Tratamiento transfronterizo

a) El tratamiento de datos personales realizado en el contexto de las activi-

dades de establecimientos en más de un Estado miembro de un respon-
sable o un encargado del tratamiento en la Unión, si el responsable o el
encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las activi-

dades de un único establecimiento de un responsable o un encargado del
tratamiento en la Unión, pero que afecta sustancialmente o es probable
que afecte sustancialmente a interesados en más de un Estado miembro.

24. Objeción pertinente y motivada

La objeción a una propuesta de decisión sobre la existencia o no de infracción

del reglamento, o sobre la conformidad con el reglamento de acciones previs-
tas en relación con el responsable o el encargado del tratamiento, que demues-
tre claramente la importancia de los riesgos que entraña el proyecto de deci-
sión para los derechos y libertades fundamentales de los interesados y, en su
caso, para la libre circulación de datos personales dentro de la Unión.

25. Servicio de la sociedad de la información

Todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la

Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1).

26. Organización internacional

Una organización internacional y sus entes subordinados de Derecho interna-

cional público o cualquier otro organismo creado mediante un acuerdo entre
dos o más países o en virtud de tal acuerdo.

111
 Administración y Gestión Ediciones Valbuena

C) Aspectos generales de la Ley Orgánica

Una vez revisada la terminología de protección de datos según el Reglamento (UE)
2016/679, retomemos las principales características de la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Tal como hemos reflejado en la introducción, la Ley tiene por objeto adaptar el
ordenamiento jurídico español al Reglamento (UE) 2016/679 de manera que, de ahora
en adelante, el derecho fundamental de las personas físicas a la protección de datos
personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a
lo establecido en el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018.
Puesto que la LOPD tiene por objeto proteger la intimidad de las personas físicas,
las personas jurídicas, no pueden beneficiarse de esta protección.
La Ley Orgánica 3/2018, de 5 de diciembre, tiene por objeto:
a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del
Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protec-
ción de las personas físicas en lo que respecta al tratamiento de sus datos
personales y a la libre circulación de estos datos, y completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos perso-
nales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo
a lo establecido en el Reglamento (UE) 2016/679 y en esta Ley Orgánica.
b) Garantizar los derechos digitales de la ciudadanía conforme al mandato esta-
blecido en el artículo 18.4 de la Constitución.
Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de LOPD se aplica a cual-
quier tratamiento total o parcialmente automatizado de datos personales, así como
al tratamiento no automatizado de datos personales contenidos o destinados a ser
incluidos en un fichero.
Esta Ley Orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del RGPD por su artículo
2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo estable-
cido en el artículo 3.
c) A los tratamientos sometidos a la normativa sobre protección de materias
clasificadas.
Los tratamientos a los que no sea directamente aplicable el Reglamento (UE)
2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del
Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación especí-

112
 Gestión de los negocios online 2.0

fica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la

presente Ley Orgánica. Se encuentran en esta situación, entre otros, los tratamien-
tos realizados al amparo de la legislación orgánica del régimen electoral general, los
tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos
derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.

El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos
judiciales de los procesos de los que sean competentes, así como el realizado dentro
de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE)
2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley Orgá-
nica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.

El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Minis-

terio Fiscal de los procesos de los que sea competente, así como el realizado con esos
fines dentro de la gestión de la Oficina Fiscal, se regirán por lo dispuesto en el Regla-
mento (UE) 2016/679 y la presente Ley Orgánica, sin perjuicio de las disposiciones de
la Ley 50/1981, de 30 de diciembre, reguladora del Estatuto Orgánico del Ministerio
Fiscal, la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y de las normas procesa-
les que le sean aplicables.

Para estar al día y conocer más en detalle todo lo relacionado

con la protección de datos, te aconsejamos consultar la web de la
Agencia Española de Protección de Datos [Link]

D) Novedades que afectan a los ciudadanos

Destaquemos algunas de las novedades que introduce la Ley Orgánica 3/2018:

D Los ciudadanos tienen derecho a conocer la relación de las actividades de trata-

miento de datos personales que realizan las organizaciones públicas con las
que se relacionan.

D Los ciudadanos tienen derecho a ser informados del tratamiento de sus datos
personales y de las vías para ejercer sus derechos de acceso, rectificación,
supresión, derecho a la limitación del tratamiento, así como a la portabilidad
y oposición.

D Los órganos y organismos del Sector Público podrán verificar, sin necesidad
de solicitar consentimiento del interesado, la exactitud de los datos personales
manifestados por los ciudadanos y que obren en poder del Sector Público.

D Los órganos y organismos del Sector Público pueden comunicar los datos
personales de los ciudadanos a sujetos de derecho privado que lo soliciten:

113
 Administración y Gestión Ediciones Valbuena

• Cuando cuenten con el consentimiento de los ciudadanos.

• O bien, cuando aprecien que concurre en el sujeto privado solicitante
un interés legítimo que prevalezca sobre los derechos e intereses de los
ciudadanos concernidos.
D Tanto el Reglamento General de Protección de Datos como la nueva Ley
Orgánica eliminan la necesidad de recabar el consentimiento del ciudadano,
ni siquiera tácito, al establecer como base jurídica legitimadora principal del
tratamiento de datos personales por órganos y organismos del Sector Público
el cumplimiento de una misión en interés público o, particularmente, en el ejer-
cicio de poderes públicos.
D La nueva Ley impide el uso conjunto de apellidos, nombre y número completo
del documento de identificación oficial de los ciudadanos en aquellos actos
administrativos que vayan a ser objeto de publicación o notificación por medio
de anuncios.
D El Reglamento General de Protección de Datos y la Ley Orgánica recogen varias
bases jurídicas legitimadoras del tratamiento de datos personales por parte de
las organizaciones privadas.
Relación contractual previa que contemple el tratamiento, consentimiento
del ciudadano o interés legítimo que prevalezca sobre los derechos de las
personas, entre otras. Por tanto, en la actualidad, no resulta necesario que el
particular consienta el tratamiento de sus datos personales si existe otra base
jurídica que legitime el tratamiento. En los casos en los que el consentimiento
del ciudadano sea preciso por no existir otra base legitimadora, la Ley esta-
blece que debe ser una manifestación de voluntad libre, específica, informada e
inequívoca por la que una persona acepta el tratamiento de sus datos persona-
les, ya sea mediante una declaración o una clara acción afirmativa. Se excluye
el consentimiento tácito o por omisión.
D Las personas vinculadas a un fallecido por razones familiares, o de hecho, o sus
herederos pueden solicitar el acceso, la rectificación o supresión de los datos
personales de la persona fallecida, salvo que esta lo hubiese prohibido expresa-
mente en vida o así lo establezca una ley.
D Los ciudadanos podrán ser incluidos en los sistemas de información de solven-
cia crediticia cuando mantengan una deuda de más de 50 euros con algún pres-
tador de servicios (la ley anterior no establecía ninguna cuantía mínima).
D Los ciudadanos pueden registrarse en los sistemas de exclusión publicitaria (las
conocidas como Listas Robinson) para evitar la publicidad no deseada a través
de los canales postal, telefónico o electrónico. Los ciudadanos registrados en
las Listas Robinson solo recibirán publicidad de las empresas que hayan auto-
rizado.

114
 Gestión de los negocios online 2.0

E) Novedades que afectan a las Administraciones

Los órganos y organismos del Sector Público quedan obligados a publicar en su
página web el inventario de las actividades de tratamiento de datos personales que
realizan, identificando quién trata los datos, con qué finalidad y qué base jurídica legi-
tima ese tratamiento.
Los órganos y organismos del Sector Público quedan obligados a incluir en su página
web información clara y precisa destinada a los administrados sobre el ejercicio de los
derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento,
así como a la portabilidad y oposición.
Los órganos y organismos del Sector Público pueden verificar, sin necesidad de soli-
citar consentimiento del interesado, la exactitud de los datos personales manifestados
por los ciudadanos que obren en poder de los órganos y organismos del Sector Público.
Tal como hemos comentado antes tanto el Reglamento General de Protección de
Datos como la nueva Ley Orgánica eliminan la necesidad de recabar el consentimiento
del ciudadano, ni siquiera tácito, al establecer como base jurídica legitimadora princi-
pal del tratamiento de datos personales por órganos y organismos del Sector Público
el cumplimiento de una misión en interés público o, en particularmente, el ejercicio de
poderes públicos.
También, tal como hemos comentado antes, la nueva Ley impide el uso conjunto
de apellidos, nombre y número completo del documento de identificación oficial de
las personas en aquellos actos administrativos que vayan a ser objeto de publicación o
notificación por medio de anuncios.
Los órganos y organismos del Sector Público pueden comunicar los datos persona-
les de los ciudadanos a sujetos de derecho privado que lo soliciten:
• Cuando cuenten con el consentimiento de los ciudadanos.
• O bien, cuando aprecien que concurre en el sujeto privado solicitante un inte-
rés legítimo que prevalezca sobre los derechos e intereses de los ciudadanos
concernidos.
Los órganos y organismos del Sector Público tienen obligación de designar un Dele-
gado de Protección de Datos. El Delegado de Protección de Datos no tiene responsa-
bilidad a título personal, por este mero hecho, por las posibles infracciones en materia
de protección de datos cometidas por su organización.
El Delegado de Protección de Datos del órgano u organismo del Sector Público
debe recibir las reclamaciones que les dirijan los administrados, cuando opten por esta
vía antes de plantear una reclamación ante la AEPD, y comunicará la decisión adop-
tada al administrado en el plazo máximo de dos meses.

115
 Administración y Gestión Ediciones Valbuena

Las infracciones cometidas por los órganos y organismos del Sector Público serán
sancionadas con un apercibimiento con medidas correctoras y no tendrán sanción
económica.
La Ley Orgánica garantiza el derecho a la intimidad de los empleados públicos en el
lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de soni-
dos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización.
La nueva Ley Orgánica flexibiliza el tratamiento de datos para la investigación en
salud:
• Amplía las finalidades para las que se puede otorgar el consentimiento al trata-
miento.
• Recoge la posibilidad de reutilizar la información sobre la que ya se haya pres-
tado consentimiento con anterioridad.
• Recoge el uso de datos pseudonimizados como una opción para facilitar la
investigación sanitaria incluyendo garantías para evitar la reidentificación de
los afectados.
• Regula las garantías de este tratamiento, incluyendo la intervención de los
Comités de Ética de la Investigación o, en su defecto, del Delegado de Protec-
ción de Datos o de un experto en protección de datos personales.

5.2. La contratación en Internet

La contratación electrónica se puede definir como un acuerdo de

voluntades en el que las partes se comprometen a realizar una obli-
gación consistente en dar, hacer o no hacer alguna cosa.

En Internet, las declaraciones de voluntad de los sujetos se manifiestan a través de

medios electrónicos, surgiendo problemas derivados de que el acuerdo de voluntades
no pueda efectuarse de forma directa.

La aceptación de la oferta a través de medios electrónicos debe entenderse como

una contratación entre ausentes. El consentimiento se expresa mediante un clic del
ratón del ordenador. Ello obliga a tener en cuenta los aspectos jurídicos de la transac-
ción, tanto en la fase de preparación de la oferta, como en la de aceptación.

El contenido del contrato por vía electrónica, la adecuación de sus cláusulas a las
especiales características de la contratación electrónica y la forma en la que se efectúa
la transacción han de ir dirigidas a demostrar que el usuario ha prestado su consenti-
miento a las condiciones de la oferta.

116
 Gestión de los negocios online 2.0

La actividad comercial en Internet puede tomar una doble forma:

D Comercio electrónico directo. Cuando el total de la transacción se completa

sobre la red, incluyendo el suministro en línea de los bienes o servicios intan-
gibles.

D Comercio electrónico indirecto. Cuando una parte de la transacción, normal-

mente la entrega física de la mercancía se realiza fuera de la red.

Los problemas que surgen en relación con el comercio electrónico son de diversa
naturaleza:

D Validez legal de las transacciones y contratos sin el soporte papel.

D Necesidad de acuerdos internacionales que armonicen las legislaciones sobre

comercio.

D Control de las transacciones internacionales.

D Protección de los consumidores en cuanto a la publicidad engañosa y no

deseada.

D Fraude, contenidos ilegales y uso abusivo de datos personales.

A estos problemas se une la dificultad para comparar ofertas y evaluar la fiabilidad

del vendedor y del comprador en una relación electrónica, los temas relacionados con
la seguridad de las transacciones y medios de pago electrónicos, la falta de estándares
consolidados y la proliferación de aplicaciones y protocolos de comercio electrónico
incompatibles, la congestión de Internet y la falta de accesos.

Los elementos esenciales para garantizar la contratación electrónica son:

D Confidencialidad.

D Integridad respecto al mensaje redactado por el emisor, de forma que no pueda

ser variado su contenido por un tercero.

D Autenticidad al no ser una contratación presencial, se debe garantizar que

quien dice ser el emisor lo es en realidad y en la fecha que se indica en el docu-
mento.

Establecer normas que garanticen la seguridad jurídica en este campo supone un

reto para las instituciones competentes.

En el ámbito europeo, existen tres comunicaciones que deben ser el punto de

partida legal del Estado español por ser miembro de la Unión Europea:

117
 Administración y Gestión Ediciones Valbuena

Directiva Europea de Comercio Electrónico.

D Comercio Electrónico y fiscalidad indirecta.

D Gestión de nombres y direcciones de Internet.

Se han publicado también las siguientes propuestas de directivas:

• Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se

establece un marco común para la firma electrónica.

• Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a deter-

minados aspectos jurídicos del comercio electrónico en el mercado interior.

• Propuestas de Directivas del Parlamento Europeo y del Consejo relativas a la

supervisión y seguimiento de las actividades de las instituciones emisoras de
dinero electrónico.

Existen otras normas comunitarias de distinta índole directamente relacionadas

con el comercio electrónico, entre las que cabe destacar aquellas relacionadas con: la
fiscalidad indirecta, la globalización y la sociedad de la información, el proceso de datos
personales y la protección de la privacidad en telecomunicaciones, el plan de acción para
promover el uso seguro de Internet y las transacciones por medio de pago electrónico.

Hay que poner de manifiesto que, en algunos países de la Unión Europea, como
Italia y Alemania, existe legislación específica sobre la firma electrónica.

En España, contamos con el Real Decreto Ley 14/1999 de 17 de septiembre, sobre

firma electrónica, así como con la Ley 3/2014, de 27 de marzo.

5.3. El comercio electrónico seguro

5.3.1. Seguridad en las compras

Vamos a ver en este apartado las obligaciones legales a cumplir para los comercios
electrónicos para disminuir los riesgos derivados de incumplimientos legales, según la
normativa europea.

Estos pueden considerarse los bloques fundamentales de obligaciones a cumplir

por los comercios electrónicos, siendo imprescindible para su correcta implantación
práctica que los comerciantes procedan a un análisis previo de toda la estructura de
su negocio, normativas específicas de aplicación en función de la actividad, produc-
tos y servicios ofrecidos, procedimientos establecidos, flujos de datos, de forma que
en cada fase se adopten las medidas legales establecidas. De este modo, el comer-
ciante conseguirá una disminución de los riesgos derivados de incumplimientos lega-

118
 Gestión de los negocios online 2.0

les (infracciones y sanciones económicas, daños de reputación, etc.) y ofrecerá a sus

consumidores y usuarios unas garantías y seguridad que sin duda supondrán un valor
añadido a su negocio.

Tener una tienda online es una gran responsabilidad por el tratamiento de este tipo
de datos de carácter personal. Muchas personas tienen miedo a confiar estos datos,
por lo que es fundamental generar una confianza en el cliente que permita obtener
ventas. Para dar imagen de confianza, la página debe contar con el Certificado de
Seguridad SSL.

A) ¿Qué es el Certificado de Seguridad SSL?

El Certificado SSL (Secure Socket Layer o capa de conexión segura) es un protocolo
de seguridad estándar global que permite la transferencia de datos cifrados entre un
navegador y un servidor web. Proporciona autenticación y privacidad a los datos que
circulan entre su tu sitio web y el navegador del dispositivo que utiliza el usuario para
acceder, de manera que aplica un protocolo de seguridad que permite la encriptación
de datos privados haciendo la experiencia de compra más segura para el usuario.
Este protocolo de seguridad disminuye el riesgo de robo y manipulación de infor-
mación confidencial, por parte de hackers y ladrones de identidad digital.
Para establecer esta conexión segura que garantiza el certificado SSL se instala en
un servidor web un certificado SSL, también llamado “certificado digital” que cumple
dos funciones:
1. Autenticar la identidad del sitio web, garantizando a los usuarios que no están
en un sitio web falso.
2. Cifrar la información compartida.
En resumen, el certificado SSL garantiza que las dos partes tengan una conversa-
ción privada.

119
 Administración y Gestión Ediciones Valbuena

Fíjate en las diferencias entre http y https en la siguiente imagen:

EJ

Fuente: [Link]

La mayoría de las pasarelas de pago cuentan con su propio Certificado SSL y

aunque este es bastante seguro, no está de más contar con un servicio de seguridad
añadido.
Es muy fácil distinguir las páginas web que cuentan con Certificado de Seguridad
SSL. Solo hay que fijarse en el candado verde que aparece en la barra de dirección web
y en la terminación del https.

Fíjate en cómo saber si la página que estás consultando tiene

certificado:
EJ

Fuente: [Link]

B) SSL para cumplir con el RGPD

En el apartado 6 de la Guía del Reglamento General de Protección de Datos
([Link]

120
 Gestión de los negocios online 2.0

[Link]) se aborda el tema de la seguridad de los datos para el responsable de

tratamiento. Por lo que, en función del nivel de riesgo que pueda entrañar el trata-
miento de los datos, para los derechos y libertades de los usuarios, tendrás la respon-
sabilidad activa de aplicar un determinado nivel de seguridad.
Como se indica en el RGPD, además de adoptar las medidas técnicas y organiza-
tivas adecuadas para garantizar el nivel de seguridad tendrás que tener diseñado un
protocolo de actuación y notificación, según marca la normativa, como medida de
contingencia en el caso de que la seguridad de los datos se viera comprometida.

C) ¿Qué tipos de certificados SSL existen y cuáles son sus usos?

Podemos resumir los más utilizados en tres:
D Let´s Encrypt SSL (para los dominios).
D Let´s Encrypt Wildcard SSL (un solo certificado para un dominio único y todos
los subdominios derivados del principal).
D EV SSL Extended Validation (webs que manejan datos sensibles y requieren el
máximo nivel de seguridad con una validación avanzada, como por ejemplo,
servicios de salud y jurídicos).
D El Let´s Encrypt SSL y el Let´s Encrypt Wildcard SSL son gratuitos y, cada tres
meses, se renuevan de manera automática. Este servicio puedes encontrarlo
en CMS como WordPress, sin necesidad de que tengas que instalarlos.
Hoy en día, la mayoría de proveedores de registro de dominio ofrecen el certificado
SSL de manera gratuita, por lo que si vas a crear una tienda online, asegúrate de que
tu proveedor te ofrece este servicio.

D) SSL para el posicionamiento SEO

Desde principios de 2017, Google penaliza a las web que no ofrecen las garantías de
seguridad que aporta un certificado SSL en los resultados de las búsquedas en el SERP
de Google. Por lo que si tienes una web con HTTP posiblemente Google no la esté
mostrando en los resultados de búsqueda.
En el caso de que tu web no disponga de certificado SSL, esto será lo que vean en
su navegador, los usuarios que intenten acceder a ella. Esto supone una mala imagen
para tu web y, como consecuencia, podrás encontrar un descenso en el número de visi-
tas, ya que el usuario percibe que el sitio no es seguro o que puede estar abandonado.

121
 Administración y Gestión Ediciones Valbuena

Fuente: [Link]

5.3.2. Medios de pago digitales

La Directiva Europea 2015/2366 de servicios de pago (conocida como PSD2) es una

normativa que refuerza la seguridad de los pagos electrónicos en la UE, incluidos los
pagos online y los pagos móviles, y regula el acceso a nuestros datos bancarios por
parte de terceros.
La PSD2 armoniza el mercado europeo de los pagos electrónicos, refuerza los dere-
chos de los consumidores y les permite dar permiso a otras empresas para que acce-
dan a sus datos bancarios. Además, introduce nuevas medidas para fortalecer la segu-
ridad de los pagos online, como la autenticación en dos pasos.

Esto permite que el cliente cuente con dos vías diferentes que, combinadas, hacen
de la compra un proceso más seguro. Se trata de que el cliente tenga que hacer una
validación adicional fuera de la página de cobro (como la recepción de un SMS o una
acción sobre la app del banco en su teléfono móvil) para autorizar por ambas vías la
compra. Así, se dificulta el fraude por un uso indebido de tarjeta dando la posibilidad
de paralizar un gasto no autorizado.

Por último, y a pesar de ser una mera formalidad, también puede ser muy benefi-
cioso publicar las políticas de privacidad del ecommerce para generar mayor confianza.

Hoy en día, la mayoría de proveedores de plataformas ecommerce ofrecen una

serie de plantillas prediseñadas sobre las páginas legales de tu tienda online, donde
podrás configurar las políticas de privacidad de manera sencilla. En el caso de que tu
tienda online se dedique a la venta de productos, deberás tener en especial considera-
ción los siguientes apartados dentro de las páginas legales de tu tienda online:

D Política de reembolso.

D Política de privacidad.

D Términos de servicio.

D Política de envíos.

D Aviso legal.

122
 Gestión de los negocios online 2.0

Las reglas del juego han cambiado con la llegada de las nuevas tecnologías. Todas ellas
ejercen una gran influencia en nuestra vida cambiando sus hábitos y costumbres diarias.
La adquisición de bienes y servicios no iba a ser menos y los medios de pago han
tenido que evolucionar rápidamente para dar soporte a las necesidades de los consu-
midores.
El teléfono móvil está reemplazando a una gran cantidad de objetos como el repro-
ductor de música, el despertador o el periódico.
Esto también ha dado lugar a una serie de necesidades que se han materializado en
nuevas formas de pago adaptadas a las exigencias de los consumidores. En la actuali-
dad, hay una evolución hacia la transformación digital de los medios de pago.
En 2021, aproximadamente el 55% de los consumidores españoles afirmó haber
usado PayPal en sus compras en Internet, lo que supuso un incremento considerable
con respecto al año anterior. La tarjeta de débito se situó en primera posición con alre-
dedor del 60% de uso.
El método de pago es una de las cuestiones que conlleva una mayor reflexión para
un comercio online. Seleccionar el medio de pago adecuado para el producto o servicio
ofrecido puede resultar determinante para la conversión final por distintos motivos:
1. Elegir el método de pago más sencillo reducirá la pérdida de compradores
durante el proceso de compra.
2. Elegir el método de pago más seguro aumentará la confianza de los consumi-
dores.
3. Elegir el método de pago más común posibilitará la compra a muchos más
clientes.
Para responder a las expectativas de los consumidores y hacer que el túnel de
conversión se estreche lo menos posible en el proceso de compra, es aconsejable que
el medio de pago escogido cuente, al menos, con las siguientes ventajas:
D Rapidez.
D Seguridad.
D Versatilidad.
D Globalidad.

5.3.3. Situación actual

A pesar de contar con una gran mayoría de los clientes, los bancos han dejado de
monopolizar el sector financiero gracias al nuevo sistema digital que facilita la entrada

123
 Administración y Gestión Ediciones Valbuena

de nuevos competidores y, en definitiva, disminuye la desigualdad de oportunidades

entre las empresas.
Esto obliga a las entidades financieras tradicionales a repensar sus modelos de
negocio y a poner al cliente en el centro de su actividad para obtener su beneplácito
frente a la fuerte competencia.
A continuación, haremos un repaso de los principales agentes:
1. Bancos: son el agente que transmite una mayor confianza a los consumidores
siendo la opción preferida de más de un 80%. Eso es lógico, ya que son los que
cuentan con mayor experiencia del sector y esto es un punto que juega a su
favor para conquistar la confianza del cliente. Se trata de un agente que admi-
nistra el dinero de las personas, pero también el de las empresas.
2. Contactless: una innovación en formato físico que permite una mayor comodi-
dad en el pago al no necesitar PIN para operaciones de bajo importe.
3. Mobile Wallet: se gestionan mediante aplicaciones móviles que permiten
alojar tarjetas virtuales y operar con ellas desde el dispositivo móvil.
4. Banca móvil: desde las que gestionar movimientos y consultar los estados de
cuenta.
5. Apps de pago P2P: facilitan el pago entre particulares facilitando la transferen-
cia de pequeñas cantidades entre amigos.
6. Emisoras de tarjetas de crédito: estas tarjetas pueden ser de débito, crédito
o monedero. Tienen la función de realizar pagos que se cargan a una cuenta
asociada de una forma segura.
En estos momentos, hay otro tipo de opciones que suplen esta necesidad por
los que quizás son el agente que más riesgo corre de desaparecer a corto plazo.
Es por ello que se ha realizado un esfuerzo por incluir facilidades de pago en la
mayoría de ecommerce y se están reforzando las medidas de seguridad para
hacer de esta opción la más fiable para realizar compras online.
7. Operadores móviles: el teléfono móvil es indispensable en el día a día de una
gran cantidad de personas y las operadoras han sabido ver una oportunidad de
negocio en la necesidad de todas ellas de llevarlo siempre consigo. Este es el
motivo por el que las operadoras móviles se han convertido en agentes de los
pagos digitales a través de una evolución progresiva.
8. Los pagos móviles: el entorno de los pagos móviles sigue en constante creci-
miento desde el año 2008 y no deja de sorprendernos con innovaciones que
agilizan y facilitan el medio de pago a sus clientes.

124
 Gestión de los negocios online 2.0

Un entorno tan cambiante exige estar al día de las novedades y tendencias

para anticipar estrategias y ganar ventaja competitiva con respecto al resto de
empresas del sector.

5.4. La responsabilidad
5.4.1. ¿Qué leyes afectan al ecommerce en España?

Como hemos visto anteriormente, son varias las leyes y reglamentos que afectan a
cualquier ecommerce que opere en el territorio español. Algunas de ellas son propias
de nuestro ordenamiento jurídico, y otras derivan de leyes y directivas europeas.

Actualmente, hay varias iniciativas legislativas en tramitación, especialmente a

nivel europeo, pero las principales leyes que afectan hoy en día a cualquier negocio
online son:

a) Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico

(LSSICE)

Esta ley es la más importante para un ecommerce ya que su finalidad es la de

proteger los derechos de los consumidores y usuarios de productos y servicios
a través de Internet. Además, también regula aspectos de la comunicación a
través de campañas de email o la recogida y almacenamiento de cookies. Su
incumplimiento puede acarrear multa de hasta 600.000 €.

b) Ley Orgánica de Protección de Datos (LOPD)

Como ya hemos visto, la LOPD es una norma jurídica española cuyo objetivo es
garantizar y proteger, en lo que concierne al tratamiento de los datos persona-
les, las libertades públicas y los derechos fundamentales de las personas físicas,
y especialmente de su honor e intimidad personal y familiar.

Contrariamente a lo que suele creerse, no es una ley que afecte únicamente al

entorno online, sino que afecta a cualquier registro de datos personales de la
empresa, en cualquier soporte, incluido el papel (nóminas, tarjetas personales,
CVs, etc.). Por esta razón, es importante contar con el apoyo de asesores espe-
cializados para cumplir con la normativa y evitar sanciones.

c) Reglamento General de Protección de Datos de la Unión Europea (RGPD)

Actúa en el mismo ámbito de la LOPD, pero en este caso a nivel europeo. La

entrada en vigor de la RGPD obligó a actualizar la LOPD en España para adap-
tarnos a la normativa europea.

125
 Administración y Gestión Ediciones Valbuena

Entraremos más adelante a detallar las responsabilidades derivadas del cumpli-

miento de esta norma.

d) Ley de Ordenación del Comercio Minorista

Si la empresa contempla la venta online a través de su estrategia de marketing

digital, debe adecuarse a lo expuesto en esta ley. La norma indica las condi-
ciones para iniciar este tipo de venta, que es similar a la de las tiendas físicas.
La ley que rige la Ordenación del Comercio Minorista solo exime a este nuevo
formato de comercio de solicitar un permiso de apertura.

e) Ley General de Defensa de los Consumidores y Usuarios (LGDCU)

El 13 de junio de 2014 entró en vigor La nueva “Ley General para la Defensa de

Consumidores y Usuarios” que afecta al ecommerce en todos los países miem-
bros de la Unión Europea. Esta normativa se hizo para fomentar la transparen-
cia de comunicación en las tiendas online.

Las principales modificaciones que se introdujeron fueron referentes a la obli-

gación de informar sobre determinados aspectos al realizar una compra, las
condiciones de envío y prestación del servicio, cambios del derecho de desisti-
miento en las devoluciones, en las condiciones de las llamadas comerciales y en
la forma en la que se debe prestar el servicio de atención al cliente.
f) Ley General de Publicidad (LGP)
Afecta a todas las comunicaciones realizadas en el ejercicio de una actividad
comercial, industrial, artesanal o profesional con el fin de conseguir la contrata-
ción de bienes muebles o inmuebles, servicios, derechos y obligaciones. Por lo
tanto, entra de lleno en todo lo que tiene que ver con la actividad del marketing
digital.

5.4.2. Responsabilidades derivadas del RGPD

¿Quieres conocer cuáles son las principales novedades introducidas por el RGPD?
1. Delegado de Protección de Datos (DPO).
2. Derechos de los interesados sobre sus datos personales.
3. Notificación de violación de seguridad.
4. Registro de actividades de tratamiento.
5. Protección de datos desde el diseño y por defecto.
6. Transferencias de datos.

126
 Gestión de los negocios online 2.0

7. Legitimidad del tratamiento.

8. Evaluación del impacto sobre la protección de datos (PIA).
9. Gestión de terceros.

A) Medidas que el encargado y el responsable del tratamiento debe

aplicar
1. Llevar a cabo el principio de seudonominación y cifrado de datos personales.
2. Garantizar la confidencialidad e integridad de los servicios de tratamiento.
3. Restaurar el acceso a los datos de forma rápida en caso de incidente.
4. Valorar y evaluar la eficacia de estas medidas.

B) Delegado de Protección de Datos (DPO)

D Informar y asesorar el cumplimiento del RGPD.
D Supervisar el cumplimiento del RGPD.
D Asesorar y monitorizar los PIA.
D Servir de punto de contacto y cooperar con la autoridad de supervisión.
Las empresas o grupos empresariales de más de 250 empleados están obligados
a designar la figura del DPO. Podrá formar parte de la plantilla del responsable o del
encargado del tratamiento o ser un externo.
No es obligatorio tener un único DPO. Su puede disgregarse en torno a diferentes
delegados.
Los interesados podrán ponerse en contacto con el DPO en relación al tratamiento
de sus datos.

C) El responsable y el encargado del tratamiento

1. Garantizarán que el DPO participe en todas las cuestiones relativas a la protec-
ción de datos personales.
2. Respaldarán en sus funciones al DPO, que debe disponer de apoyo y recursos
suficientes.
3. Publicarán los datos de contacto del DPO y los comunicarán a la autoridad de
control.

127
 Administración y Gestión Ediciones Valbuena

D) Notificación de una violación de seguridad

Cualquier irregularidad que pudiera afectar a la seguridad de los datos personales se
considera una violación de la seguridad. Cuando la violación de la seguridad constituya
un riesgo para los derechos de los interesados, el encargado debe informar al respon-
sable del tratamiento que, a su vez, notificará a la autoridad de control competente en
el plazo máximo de 72 horas.
La notificación debe incluir la siguiente información mínima sobre el incidente:
D La naturaleza de la violación, categorías de datos e interesados afectados.
D Nombre y datos del DPO u otra persona de contacto.
D Posibles consecuencias del alcance de la violación.
D Medidas adoptadas por el responsable para remediar la violación.
En caso de que la violación de seguridad suponga un alto riesgo para los interesa-
dos, se les debe comunicar el incidente con la principal motivación de mitigar el riesgo,
incluyendo como mínimo la información y las medidas que se han adoptado en un
lenguaje claro y sencillo.
Por ejemplo, si se vulnera la seguridad de una base de datos de contraseñas, los
interesados podrán modificar estos datos pudiendo mitigar los riesgos.
La comunicación al interesado no será necesaria siempre y cuando el responsable:
• Haya adoptado medidas de protección que hagan inteligibles los datos.
• Haya tomado medidas que impidan que se materialice el alto riesgo.
• Haya hecho un esfuerzo desproporcionado.
Cuando captamos datos a través de una página web, se debe tener en cuenta la
normativa en los siguientes casos:

 Si se solicita la dirección de correo electrónico de los usuarios para posteriores

envíos.

 Si los usuarios deben facilitar sus datos personales a la hora de comprar un

producto o servicio.

 Si los usuarios necesitan rellenar un formulario con sus datos para realizar una
consulta.

128
 Gestión de los negocios online 2.0

5.4.3. Cumplir correctamente con el deber de información y

consentimiento

Con el nuevo RGPD el responsable del tratamiento pasa de una posición pasiva a
una proactiva, que le motiva a demostrar que cumple con los requisitos exigidos en la
normativa.

Obligaciones del responsable del tratamiento:

D Registro de actividades de tratamiento.

D Evaluación de impacto.

D Incrementar la transparencia.

D Principios de privacidad desde el diseño y por defecto.

D Delegado de Protección de Datos.

Si llevas a cabo alguno de los puntos anteriores en tu página web, por tanto, estás
obteniendo datos personales y se debe insertar un aviso legal, dando cumplimiento al
deber de información y consentimiento.

Una solución sencilla para que los usuarios acepten expresamente el aviso es incluir
una casilla dentro del formulario en la que aparezca que aceptan la política de privaci-
dad y se le redirija a la información del nuevo reglamento.

Para evitar que los envíos publicitarios de una marca pueden ser calificados como
spam:

• Los destinatarios deben haber mostrado su consentimiento previo.

• No será necesario disponer de esa autorización previa si el destinatario ya es

cliente y se le envían productos similares a los que ya adquirió.

129
 Administración y Gestión Ediciones Valbuena

Validación de correo al darse de alta:

EJ
Ejemplo de avisos de cookies. Las cookies, esos pequeños
ficheros que almacenan información del usuario para después
enviarle publicidad personalizada, también se ven afectadas
por la ley. Se debe informar a los usuarios y obtener su consen-
timiento para utilizarlas e instalarlas. Sin embargo, esta obli-
gación desaparece si estas solo sirven para que la web cargue
adecuadamente las denominadas cookies técnicas. Por ello, es
necesario comprobar con un experto informático qué tipo de
cookies se utilizan en la web.

5.4.4. Gestión legal en página web o tienda online

Si tienes una página web o una tienda online debes incluir en ella los textos exigidos
por las diferentes leyes y reglamentos de aplicación. Estos requisitos pueden cambiar
si hay cambios normativos, y además deben ser adaptados en función del tipo de
empresa y la actividad que desarrolla, por lo que siempre te aconsejamos que consul-
tes con un profesional que te asesore para tu caso particular.

A) Aviso legal
Es el apartado o documento donde se identifica la propiedad de la página web o
tienda online. Principalmente, cumple con los deberes derivados del cumplimiento de
la LSSICE y debe incluir, entre otros, los siguientes elementos:

130
 Gestión de los negocios online 2.0

D Nombre del propietario (sea persona física o jurídica).

D CIF/NIF.
D Dirección fiscal.
D Email de contacto.
D Nº de inscripción en el Registro mercantil (en el caso de persona jurídica).
En caso de que nuestra web incluya una tienda online o permita hacer transaccio-
nes comerciales, aquí también podremos incluir los términos de uso, condiciones de
compra, pagos, envíos, devoluciones, etc. No obstante, a menudo esta información se
incluye en una página aparte dedicada a las condiciones de venta y uso de la tienda.

B) Política de privacidad
Da cumplimiento a los requerimientos derivados de la RGPD. Debe incluir informa-
ción detallada sobre el procesamiento de los datos que se recopilen a través de la web
y sus elementos:
• ¿Dónde se utilizan esos datos?
• ¿Se está haciendo con el consentimiento de los usuarios?
• ¿Tienen fines comerciales?
• ¿Se realizan cesiones o venta de datos a terceos o transferencias internacionales?
Al solicitar los datos personales dentro de un formulario, deberás informar expresa-
mente de los siguientes puntos:
• Existencia de un tratamiento de los datos que estás solicitando.
• La finalidad para la que recopilas y almacenas dichos datos.
• La identidad y dirección del responsable del tratamiento de datos.
• La posibilidad de que el usuario ejerza sus derechos de acceso, rectificación,
cancelación y oposición, además de proporcionar una vía para que lo pueda
hacer efectivo.

C) Política de cookies
La ley de cookies en España viene determinada por lo dispuesto en el RGPD, la
LOPD y la LSSICE (Ley de Servicios de la Sociedad de la Información y el Comercio
Electrónico).
Sin embargo, bien es cierto que ninguna de estas normativas hace casi ninguna refe-
rencia específica sobre el uso de cookies. Por ello, la Agencia Española de Protección

131
 Administración y Gestión Ediciones Valbuena

de Datos (AEPD) ha creado una Guía para cumplir con la ley de cookies en el país. El
objetivo de esta guía, a su vez, es adaptar la normativa española a las directrices sobre
el uso de cookies establecidas en mayo de 2020 por el Comité Europeo de Protección
de Datos (CEPD).

Ejemplo de páginas legales en comercio online:

EJ

5.4.5. La privacidad en las comunicaciones electrónicas

¿Sabías que existe un reglamento relativo a la privacidad en las comunicaciones

electrónicas? Se llama e-privacy y surge de la necesidad de ampliar el concepto de
datos personales sobre las comunicaciones electrónicas.
Con el e-privacy pasan a considerarse datos de carácter personal una serie de datos
que en la actual normativa RGPD no se incluyen como datos personales. Se refieren a
la información de navegación de los usuarios:
D Direcciones MAC.
D Número de dispositivo o IMEI.

132
 Gestión de los negocios online 2.0

D Direcciones IP.
D Web bugs.
D Píxels.
D Otras herramientas de rastreo.
Esto entraña efectos sobre la publicidad online, que es la principal fuente de finan-
ciación de los medios online. Todos los negocios online dependen de la publicidad digi-
tal y, con esta normativa, la publicidad solo podrá realizarse con el consentimiento
previo y expreso de los usuarios.

A) ¿A qué tipos de empresas afecta el Reglamento e-privacy?

• Ventas a distancia: son aquellas que suceden sin la presencia simultánea en el
mismo lugar del vendedor y del comprador. La oferta de venta y la aceptación
se realizan a través de un medio de comunicación a distancia, puede ser de
naturaleza síncrona o asíncrona.
• Webs con el uso de cookies o tecnología de recopilación de datos similar.
• Telecomunicaciones: todas las entidades que prestan servicios de conexión a
Internet, televisión de pago o contratación de líneas de teléfono.
• Publicidad basada en datos: todas las empresas que se dedican a ofrecer a los
usuarios publicidad basada en sus preferencias y hábitos de vida. Ofreciendo
anuncios en Internet que han sido creados a través de una segmentación espe-
cífica partiendo de una información segmentada para hacer que cada consumi-
dor vea anuncios acorde a sus intereses.
• Proveedores de software: empresas que comercializan o distribuyen progra-
mas informáticos, servicios de software en la nube o similares.

B) Diferencia entre el Reglamento e-privacy y el RGPD

El reglamento e-privacy se aplica a todos los datos de las comunicaciones electró-
nicas, considerando como datos personales a los datos o metadatos derivados de este
tipo de comunicaciones y establece el requisito de un consentimiento explícito para
ello de parte del consumidor sobre la aceptación para la publicidad digital. La principal
diferencia es que el reglamento de e-privacy regula todas la comunicaciones electró-
nicas, incluso si no tienen implicaciones en materia de datos personales, pero que sí
sirven para identificar los hábitos de navegación de una persona.
En el caso de que tengas una tienda online, o vayas a crear una, seguramente esta
dispondrá de un formulario de contacto básico, otro para formalizar la compra y otro
para realizar email marketing. Cada uno de los formularos habilitados para recopilar

133
 Administración y Gestión Ediciones Valbuena

datos personales deberán contar con los elementos legales para cumplir con el RGPD
y con el reglamento e-privacy además de servir para mantener informados a tus usua-
rios.
 Informar de nuestra política de privacidad el responsable de los datos, con qué
finalidad los vamos a usar, la legitimidad y destinatarios.
 Insertar una casilla de verificación o checkbox para cada finalidad o uso.
 Incluir un enlace a la página de nuestra web donde se recoja de manera porme-
norizada nuestra política de privacidad.

Ejemplo de formulario:

EJ

Fuente: [Link]

C) Política de cookies
Entonces, ¿cómo hacer para cumplir el RGPD en política de cookies de tu web? Para
ayudarte a comprender los requisitos y acciones que debes implementar para cumplir
con la política de cookies del RGPD y del reglamento e-privacy, aquí tienes un listado
de aspectos a tener en cuenta:
• Informar al usuario.
• Responsabilidad por el uso de cookies en la web.
• Consentimiento previo del usuario.

134
 Gestión de los negocios online 2.0

• Consentimiento a través de una acción afirmativa.

• Posibilidad de retirar autorización del usuario.
• Renovación del consentimiento.
• Información en lenguaje sencillo.
• Registro de consentimientos otorgados.

5.4.6. Otros aspectos a tener en cuenta

Si se compra una base de datos con correos electrónicos, se deben verificar dos puntos:
1. Los destinatarios deben haber autorizado el envío de comunicaciones comercia-
les de terceros (exceptuando si ya es cliente de la empresa que envía los emails).
2. En el envío debe incluirse una opción electrónica para que el destinatario pueda
oponerse a recibir más comunicaciones.
Además de esto:
D Certificaciones
• Serán voluntarias y estarán disponibles dentro de un proceso transparente.
• No limitarán la responsabilidad del responsable.
• Será expedida por los organismos de certificación o por la autoridad de
control competente, por un periodo máximo de 3 años.
D Códigos de conducta
• El tratamiento leal y transparente: intereses legítimos, recogida de datos,
seudonimización, seguridad, información proporcionada y derechos de
los interesados.
• La notificación de violación de la seguridad.
• La transferencia de datos personales a terceros países.
• Procedimientos de resolución de conflictos.
El organismo que supervise el cumplimiento del Código de conducta debe
haber sido acreditado por la autoridad de control competente.
En caso de infracción del Código por un responsable o encargado del trata-
miento, el organismo deberá tomar medidas oportunas e informará de las
mismas a la autoridad de control, que podrá revocar esta acreditación si las
condiciones no se cumplen o han dejado de cumplirse por parte del organismo.

135
 Administración y Gestión Ediciones Valbuena

D Sanciones
Las sanciones se clasifican en dos categorías y, en ambos casos, se aplicará
la más alta de las dos. El régimen sancionador se aplica a los responsables y
encargados del tratamiento, pero no se aplica al DPO:
• Las menos graves: 10.000 2% del volumen de facturación anual.
• Las más graves 20.000 4% del volumen de facturación anual.

En resumen, los objetivos del RPGD son:

1. Fortalecer los derechos: en materia de protección de datos
de las personas físicas, al estandarizar las distintas legis-
laciones nacionales de los Estados miembros, para obte-
ner una regulación homogénea que supere las diferencias
normativas que existían hasta el momento.
2. Aumentar las oportunidades: de las empresas en el mercado
único digital al permitir el libre flujo de datos personales de
manera regulada.

5.5. Los usos en Internet

Internet no solo es una herramienta comercial, sino que también se utiliza en todos
los ámbitos de la empresa, lo que requiere que las organizaciones establezcan unas
políticas de uso de Internet adecuadas tanto interna como externamente.
El propósito de una política de uso de Internet es definir lo que está permitido o no
a la hora de utilizar Internet y los recursos online de la empresa, con el fin de que los
trabajadores de la empresa y los colaboradores puedan realizar sus actividades en un
entorno seguro y de calidad.
A continuación, se enumeran algunas pautas para la elaboración de una política de
uso de Internet:
1. Las políticas deben ser conocidas y fácilmente accesibles por todos los intere-
sados (empleados, colaboradores o usuarios).
2. Es importante establecer mecanismos que permitan implantar técnicamente
los requisitos establecidos en la política.
3. La empresa debe nombrar un responsable de la política de uso, encargado de
velar por su cumplimiento y de resolver cualquier cuestión o duda relacionada
con la misma.

136
 Gestión de los negocios online 2.0

4. La política debe tener en cuenta las necesidades de los distintos departamen-

tos y usuarios, para no entorpecer la buena marcha de la compañía.

5. Debe incluir recomendaciones para el uso correcto de cualquier herramienta o

elemento con conexión a Internet, como el correo electrónico, la navegación
web, la intranet, la página web corporativa, etc.

6. Se deben incluir las medidas a adoptar en caso de incumplimiento, y en su caso,

las posibles sanciones.

7. Hay que considerar la necesidad de formar a todos o a parte de los usuarios

para que puedan cumplir adecuadamente con la política.

8. Es importante que la Dirección de la empresa se involucre y conozca la política

de uso de Internet.

5.6. Propiedad intelectual

5.6.1. Introducción

La propiedad intelectual es una expresión jurídica que engloba

la propiedad industrial y el derecho de autor y de los derechos
conexos. La propiedad intelectual consiste en ideas, expresiones
originales, nombres distintivos y el aspecto de los productos, que
les confiere su carácter único, su valor y valor diferencial.

En el comercio electrónico, la propiedad intelectual es importante más que en cual-

quier otro sistema comercial. Supone la comercialización de productos y servicios
basados en propiedad intelectual y en la concesión de las licencias correspondientes.
Algunos ejemplos son:

D Música.

D Imágenes.

D Software.

D Diseños.

D Módulos de capacitación.

D Sistemas, etc.

137
 Administración y Gestión Ediciones Valbuena

El principal componente de valor, en todos, es la propiedad intelectual, ya que

los elementos valiosos que se comercializan a través de Internet deben protegerse
de manera adecuada, utilizando sistemas tecnológicos de seguridad y aplicando las
normas de propiedad intelectual.

La propiedad intelectual es lo que hace que el comercio electrónico exista y al

mismo tiempo hace posible su funcionamiento. Los sistemas y las herramientas que lo
hacen realidad son los softwares, las redes de datos, los circuitos integrados, la inter-
faz de usuario, etc. Todos ellos son elementos con propiedad intelectual y se protegen
con los derechos de la misma.

5.6.2. Proteger la propiedad intelectual de tu comercio online

¿Sabes cómo proteger la propiedad intelectual de tu comercio online?

Los sitios web y los comercios electrónicos corren el riesgo de que otros copien su
apariencia, elementos gráficos y el funcionamiento del sitio en general. Asimismo,
también corremos el riesgo de incurrir en el uso no autorizado de activos de propie-
dad intelectual de terceros. Por ello, debemos tener en cuenta las cuestiones básicas
antes de crear un sitio web para proteger nuestra propiedad intelectual y, al mismo
tiempo, estar seguros de que no incurrimos en la violación de la propiedad intelectual
de terceros.

A) Elementos del sitio web que pueden protegerse

• Los motores de búsqueda internos y los sistemas de comercio electrónico
pueden protegerse patentando el modelo de utilidad.
• Los programas informáticos o software, incluido el código HTML o el lenguaje
de programación que se utiliza para construir los sitios web, pueden protegerse
por derecho de autor y por patente.
• El diseño del sitio web se presta a la protección por derechos de autor, evitando
así que el aspecto estético de una web sea plagiado.
• El contenido creativo del sitio web, textos, imágenes, música, vídeos, también
están protegidos por los derechos de autor.
• Las bases de datos, a través de los derechos de autor y mediante la legislación
vigente sobre el RGPD.
• Los nombres comerciales, logotipos, nombres de productos, el dominio y otros
signos publicados en el sitio web, se protegen como marcas.
• Los símbolos gráficos, diseños, las interfaces gráficas de usuario pueden prote-
gerse mediante le legislación sobre diseños industriales.

138
 Gestión de los negocios online 2.0

• Los aspectos confidenciales del sitio web, el código fuente, objeto, algoritmos,
gráficos de datos, lógicos, estructura de datos y contenido de bases de datos,
se protegen mediante legislación sobre secretos comerciales.

B) Cómo proteger el sitio web y sus elementos

Tomando medidas preventivas que nos ayuden a proteger el sitio web de usos
abusivos, por ejemplo:
D Proteger los derechos de propiedad intelectual:
• Registrar marcas.
• Registrar el nombre de dominio.
• Registrar la web y los elementos susceptibles de ser protegidos por dere-
chos de autor, en el caso de que nosotros seamos los creadores originales.
• Poseer un plan de actuación para que todas las personas relacionadas
directamente con el manejo interno de la web cumplan con el principio de
confidencialidad.
D Hacer saber a los usuarios y al público qué contenido está protegido: muchas
personas piensan que los contenidos que existen en Internet son de libre uso y
que los contenidos de las web pueden utilizarse libremente, por lo que conviene
anunciar esto sobre cada elemento susceptible.
• Marcas y elementos registrados ™SM️C©
• Metadatos incrustados en los elementos, que demuestren el estado en el
que se hallaba el contenido en un momento determinado.
D Hacer saber a los usuarios y al público qué uso puede hacer del contenido:
incluir un texto informativo de advertencia en la cabecera o en el pie de página
web explicando la postura de la empresa respecto al uso del sito. De este modo,
los usuarios estarán informados sobre qué usos están permitidos (dirigir enla-
ces hacia el sitio, crear enlaces con el sito, descargar e imprimir material del
sitio y las condiciones) además también se recomienda aportar un contacto
sobre el departamento o persona responsable que corresponda para obtener
autorización de uso.

139
 Administración y Gestión Ediciones Valbuena

Aquí tienes un ejemplo sobre el aviso legal de la web de www.

EJ [Link]

C) ¿Puedo utilizar material ajeno en mi web o comercio online?

Sí, pero sin incurrir en la violación de la propiedad intelectual ni derechos de autor.
En el escenario actual es muy sencillo nutrir nuestro sitio web con material o conte-
nido creado por terceros, imágenes, gráficos, vídeos, audios, textos, etc. No obstante,
el hecho de que estén disponibles en Internet y la tecnología permita copiarlos de

140
 Gestión de los negocios online 2.0

manera sencilla, no significa que tengamos derecho a utilizarlos. Utilizar alguno de

estos elementos sin que hayamos obtenido autorización para ello, a través de una
cesión o licencia, tendrá consecuencias jurídicas para la persona o empresa que haya
realizado un uso indebido sin la autorización debida.
Pero no solo podemos incurrir en faltas o delitos con la utilización de material sin
autorización, también podemos hacerlo a través del mal uso o modificación del mismo:
• Utilización de herramientas técnicas de terceros: si vas a utilizar un sistema
de comercio electrónico, por ejemplo: Shopify, Palbin o Prestashop, un motor
de búsqueda interno o cualquier otra herramienta técnica en o para tu sitio web,
no podrás realizar un uso de la misma, sin antes haber aceptado un acuerdo de
licencia.
• Utilización de software de terceros: la utilización de programas informáticos
que se venden a través de un soporte físico instalable están sujetos a licencia.
Hoy en día, muchos software en la nube también requieren de una licencia para
poder ser utilizados o acceder a su versión premium o completa.
• Utilización de obras de terceros protegidas: al igual que en los anteriores
casos, el hecho de poder conseguir un material a través de Internet, no nos
legitima para darle uso. Si deseamos publicar textos, gráficos, imágenes,
elementos multimedia, etc. Necesitaremos una autorización previa para su
uso y además su utilización estará sujeta a los términos de usos concretos para
cada caso.
• Utilización de marcas de terceros: en ningún caso será posible usar las marcas
de terceros para inducir de manera intencionada o no a la confusión de los
usuarios que visiten nuestra web o comercio online.
• Utilización de la imagen de terceros: el nombre identificativo, rostro, imagen
pública proyectada o voz de las personas están protegidos por derechos de
privacidad y publicidad.

5.6.3. Tipos de licencias

¿Conoces la organización Creative Commons? Es una organización sin ánimo de

lucro que nace de la necesidad de proporcionar obras originales para que puedan ser
utilizadas de manera legal. Cada autor tiene la potestad de poder decidir sobre los
límites de uso y o explotación de sus creaciones a través de Internet.
Estos derechos y licencias de autor permiten a los creadores comunicar los dere-
chos que se reservan sobre su obra y a cuáles renuncian en beneficio de su uso y o
distribución por parte de los destinatarios.
Las licencias Creative Commons no reemplazan en ningún caso a los derechos de
autor ni a la propiedad intelectual, sino que están basadas en ellos. La ventaja de las

141
 Administración y Gestión Ediciones Valbuena

licencias Creative Commons es que sustituyen las negociaciones individuales por los
derechos específicos de utilización y distribución de cada obra. Esto se realiza a través
de una serie de símbolos visuales asociados, que explican los detalles específicos de
cada una de las licencias Creative Commons asociada a cada obra.
Se establece una base de seis licencias Creative Commons asociadas a cuatro condi-
ciones estándar:
D Reconocimiento o atribución: en cualquier tipo de explotación de la obra será
necesario reconocer la autoría del creador.
D No comercial: no se puede realizar un uso comercial de la obra.
D Sin obras derivadas: no se puede transformar ni modificar la obra original para
crear una obra derivada de ella.
D Compartir igual: se pueden generar obras derivadas de la original pero mante-
niendo la misma licencia al divulgarlas.
Los seis tipos de licencias Creative Commons son:
1. Reconocimiento (by): cualquier explotación de la obra, incluyendo obras deri-
vadas y explotación comercial y la distribución sin restricción, solo hay que
reconocer al autor original.
2. Reconocimiento–No Comercial (by-nc): se pueden generar obras derivadas
pero no se permite el uso comercial de las mismas. Se prohíbe el uso de la obra
original con fines comerciales.
3. Reconocimiento–No Comercial–Compartir igual (by-nc-sa): se prohíbe el uso
comercial de la obra original y de las derivadas, la distribución de las derivadas
se realiza con la misma licencia que la obra original.
4. Reconocimiento–No Comercial–Sin Obra Derivada (by-nc-nd): se prohíbe el
uso comercial de la obra comercial y la generación de obras derivadas.
5. Reconocimiento–Compartir Igual (by-sa): se permite el uso comercial de la
obra original y de las derivadas, así como la distribución de las mismas siempre
debe ser con la licencia de la original.
6. Reconocimiento–Sin Obra Derivada (by-nd): está permitido el uso comercial
de la obra, pero se prohíbe la generación de obras derivadas de la misma.

142
 Gestión de los negocios online 2.0

Se permite la reproducción total o parcial,

la distribución, la comunicación pública de
la obra y la creación de obras derivadas,
incluso con fines comerciales, siempre y
cuando se reconozca la autoría de la obra
original.
Se permite la reproducción total o parcial,
la distribución, la comunicación pública de
la obra y la creación de obras derivadas,
siempre que no sea con fines comerciales
y que se reconozca la autoría de la obra
original.
Se permite la reproducción total o parcial,
la distribución, la comunicación pública de
la obra y la creación de obras derivadas,
siempre que no sea con fines comerciales
y que se distribuyan bajo la misma licencia
que regula la obra original. Es necesario
que se reconozca la autoría de la obra
original.
Se permite a otros descargar las obras y
compartirlas con otros siempre y cuando
se dé crédito al autor, pero no permiten
cambiarlas de forma alguna, ni usarlas
comercialmente. Es la mas restrictiva.
Se permite la reproducción total o parcial,
la distribución, la comunicación pública de
la obra y la creación de obras derivadas,
incluso con fines comerciales, siempre y
cuando estas se distribuyan bajo la misma
licencia que regula la obra original y se
reconozca la autoría de la obra original.
Se permite la redistribución comercial o
no comercial, siempre y cuando la obra
circule íntegramente y sin cambios,
dándote crédito.

Fuente [Link]

Si te has fijado, todas las licencias requieren la condición de reconocimiento del

autor por lo que, al usar las obras o materiales tendrás que atribuirlas siempre al crea-
dor original.

143
 Administración y Gestión Ediciones Valbuena

La presente unidad ha explicado:

 Los protocolos de seguridad y cómo seguirlos especifi-
cando, sobre todo, cómo defender correctamente un sitio
web.
 Garantizar la seguridad en las pasarelas de pago: si se
toman las debidas precauciones, la compra online no
implica más riesgos que la compra con tarjeta de crédito
realizada en el mundo físico. Los sistemas de comercio
electrónico acuden a la codificación para mantener a salvo
los datos de las tarjetas.
 Los pasos a seguir para conseguir un certificado digital.
 Y ha terminado detallando la legislación vigente relativa a
la protección de datos.

144