Logo

El portal de Derecho Español más completo y útil para jurístas, empresas y particulares

Usuario me pide datos de tienda virtual

21 Comentarios
Viendo 1 - 20 de 21 comentarios
Usuario me pide datos de tienda virtual
04/05/2019 10:29
Hola buenas.

Tengo una tienda virtual para dar salida en Internet a los productos de mi tienda física (hogar y decoración). Se registran muchos y algunos compran. La tienda es nueva. He adecuado el tema de protección de datos con ayuda de un amigo pero hasta cierto punto... Ahora me viene una persona y me escribe diciendo que es usuario y que se le ha olvidado la clave de acceso. Le digo que meta el email y recupere la información que quiera (usuario o clave) y me dice que también le caducó el email, que solo lo usaba para hacer temas por internet, que no era el suyo habitual vaya, y que ahora no puede acceder.

El caso es que dice que quiere acceder a su perfil y que le dé los datos o le diga cómo entrar, y el tema es que los perfiles contienen toda la información de contacto, dirección e incluso DNI y otras muchas cosas de las personas, incluso preferencias sobre productos etc. etc. y tengo miedo de que sea algún espabilado queriendo colarse para algo sucio. Pero también puede ser el verdadero usuario, y no quiero dar un mal servicio de asistencia porque luego te ponen verde en los foros o en las valoraciones de Google Maps.

¿Debo darle el acceso? ¿Qué hago?
04/05/2019 21:51
Bego_pez
Los usuarios propietarios de los datos personales registrados en tu página tienen derecho de acceso a los mismos, como primero de una serie de ellos. Pero tú también tienes derecho y obligación a comprobar y estar segura de que cada uno es quien dice ser a fin de evitar lo que sería un grave incumplimiento en la custodia de esos datos, si tus suposiciones resultaran ciertas y estuviésemos ante un falso usuario con intenciones fraudulentas o delictivas.

Incumplimiento y responsabilidad por los datos que pudiera causar a terceros - en este caso, al verdadero usuario de ese perfil en tu sitio web - mediante la utilización de los datos que también indicas.

Por ello, el RGPD prevé medidas preventivas en favor del responsable del tratamiento, claramente descritas en el considerando 64, que transcribo:

"El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes."

Desarrollado en el apartado sexto del artículo 12 del mismo Reglamento:

"6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado."

Con todo, te indico que lo mejor es que le pidas una copia del DNI o pasaporte por ambas caras a fin de cerciorarte de efectivamente es el responsable de los datos registrados.
05/05/2019 00:41
JoséManuelRosón
Claro, lógico. Lo que no me parecía es que le tenga que dar los datos al primero que aparezca diciendo que es tal perfil.

Lo que no sé es cómo puede averiguar el nombre de un usuario, porque mi web no es un foro ni un sitio de citas. Los nombres de usuario no están a la vista más que para los usuarios como en todas las tiendas virtuales, creo.

Le voy a pedir escaneo de DNI y ya te contaré lo que resultó.

Un saludo y gracias por tu respuesta.
05/05/2019 11:21
Bego_pez
Hola.

Me he conectado para ver la respuesta de esa persona y me encuentro con esta respuesta, por cierto en tono rudo:

Yo no tengo que darle

Yo no tengo que darle a usted mi dni para nada, ni tampoco ningún otro documento privado. Necesito los datos para acceder a mi cuenta en su página y en otro caso pondré una denuncia a la agencia española de protección de datos. Usted tiene obligación de darme esos datos porque tengo derecho de acceso a mis datos. Se lo aseguro, pondré una denuncia.

Me ha revuelto la mañana...
05/05/2019 12:01
Bego_pez
Si tienes la ficha del usuario-cliente, es tan fácil como enviar un mail para verificar su identidad, o mejor una llamada telefónica.

Y no te preocupes por la posible denuncia; sin verificación de identidad no tienes por qué enviar nada. Está cubierto por la motivación que te indiqué ayer.
05/05/2019 14:29
JoséManuelRosón
Te cuento. No se me había ocurrido y he hecho lo que me has dicho. Llamé al móvil en el registro, que tiene campo para fijo y móvil. Me responde una persona y me dice que ni tiene ningún problema con la web y ha pedido ninguna recuperación de datos. Que no es él. No puede haber problema con error o coincidencia con otro nombre de usuario porque es un nombre muy peculiar y el único del registro.

Osea que el que me ha estado contactando no es quien dice ser. Me tiembla todo.....

¿Para qué quiere meterse en el sitio? ¿Qué puedo hacer al respecto?

Muchas gracias por tu rapidez en atender. Sobre todo es el tema de que te atienda alguien.
05/05/2019 20:18
Bego_pez
Seguramente llevas muy poco tiempo gestionando tu tienda virtual porque en otro caso no te arrugaría tanto el tema. Si tienes tienda virtual o cualquier cosa que mueva dinero en Internet, debes prepararte para este tipo de situaciones.

En cuanto al tipo en cuestión, querer, puede haber querido muchas cosas. Desde hacerse con los datos del usuario para usurpar su identidad y cometer alguna clase de estafa en Internet; hasta acceder a tu sitio web como usuario, comprar algo - o fingir que lo compra - y luego estafarte a ti. Entre otras múltiples posibilidades.

Ignorarlo, revisar que todo funcione correctamente, asegurar siempre una copia de seguridad y, en este caso, denunciar el caso a la unidad de delitos informáticos de la CNP o la Guardia Civil:

https://www.policia.es/denunweb/denuncias.html

http://www.guardiacivil.es/es/servicios/denuncias/denuncia_electronica/index.html
06/05/2019 00:56
JoséManuelRosón
Sí es verdad que llevo poco tiempo gestionando la tienda. La tienda física tiene 10 años y me convencieron para que abriera una página web y una tienda virtual para apoyar la venta en Internet y sacar un porcente más de ventas.

Seguiré tus buenos consejos.

Una pregunta más. ¿Hasta que punto tengo que dar servicio postventa o asistencia en este tipo de situaciones? Es decir ¿tengo que responder sin más a la gente? Lo digo porque aunque este sea un caso extraño, mucha gente me pregunta y pide temas sobre sus perfiles y es un trabajo al cabo de la semana. Si me estoy explicando bien.
06/05/2019 10:23
Bego_pez
Tu pregunta tiene una vertiente comercial y otra legal.

La comercial te obliga efectivamente a responder y atender cordialmente a todos los usuarios y clientes, o potenciales en un caso y otro, para asegurar o mantener una imagen de comercio serio y responsable.

Una página web con tienda virtual no es un arte de pesca armado a la espera de capturas. Te puedo asegurar que un porcentaje real de clientes se basan en la confianza que genera la atención y el trato personalizado, sobre todo en el caso de posibles clientes indecisos. Y también puedo confirmarte que la falta de respuesta, la tardía o carente de respeto o atención supone un desgaste en términos de mala reputación online, que debe sumarse a la pérdida de ese porcentaje de indecisos que finalmente se deciden a no comprar debido al silencio o respuesta inadecuada.

------------------------

Por otro lado, la vertiente legal también te obliga a responder a los usuarios que hayan adquirido productos para dar respuesta a las exigencias de la legislación mercantil y de protección de derechos de consumidores y usuarios; además de las obligaciones derivadas de la normativa de protección de datos de carácter personal.

En el caso que nos ocupa, debes responder y hacer efectivo el derecho de acceso, rectificación, supresión y portabilidad de los datos, en caso de ser reclamada en tal sentido, llevando a cabo los procedimientos que se hagan necesarios para su correcta tramitación, como en el supuesto de verificación que hemos tratado en este hilo.

Para terminar, creo entender que haces alusión a horas de trabajo "al cabo de la semana" como base a una posible compensación económica por la asistencia prestada. Si te refieres a ello, te informo de que la actual normativa impone la gratuidad para tales gestiones, salvo excepciones muy bien perfiladas.

Con ello, si lo que estás preguntando es si puedes cobrar, por ejemplo, por la asistencia al usuario que reclama acceso a sus datos personales en tu base de datos, la respuesta es no salvo excepciones.
06/05/2019 19:33
JoséManuelRosón
Supongo que se trata de que no se puede hacer negocio con los datos, pero yo no pienso en hacer negocio, sino que de unos cuantos a la semana son muchos al mes y es tiempo que hay que trabajar.

¿Se puede cobrar entonces en algunos casos? ¿O negarse a dar datos o facilitar nada en otros?
07/05/2019 00:10
Bego_pez
Sí, efectivamente, no se puede hacer negocio con los datos personales porque la libertad de servicios y prestaciones profesionales debe tener como límite - entre otros - el ejercicio de los derechos y libertades de personas y entidades (en este caso solo de personas), que quedaría gravemente en compromiso, cuando no totalmente imposibilitado, si se permitiese la aplicación de una tasa o recompensa económica al mismo.

Mucho más en el momento presente, con tanto espabilado y listo al servicio de su propio bolsillo e interés pasajero. Arreglados íbamos a andar si se permitiese, por ejemplo, una tarifita para recuperar datos, acceder al propio perfil o modificarlo, borrarlo, etc.

Tendríamos sitios web ofreciendo cualquier cosa - o ninguna - no más que para hacer acopio y colección de unos cuantos cientos de miles de perfiles para todos los gustos. Que ya habría tiempo después de sacar un buen sueldo pidiendo aunque solo fuese un euro a los despistados.

No vamos a comentar la legislación anterior, que ya lo preveía, dejándote la indicación del artículo 12-5 del actual RGPD, que impone gratuidad y posibles excepciones:

"5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.

Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud."

Obligaciones y excepciones que se aplican igualmente al quehacer de las autoridades de control (la AEPD, por ejemplo) en el artículo 57-4 del mismo reglamento:

"4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control."

Por su lado, la LOPD también impone la misma obligación y gratuidad en el artículo 12-7:

"Artículo 12. Disposiciones generales sobre ejercicio de los derechos."

(...)

7. Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica."

En cuanto a lo que debe ser entendido como solicitudes excesivas o infundadas, te puedo citar el artículo 13-3 de la misma LOPD:

"3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello."

Para terminar, la calificación de infracción y posible sanción se establece en el artículo 74 b), como tu misma puedes ver:

"Artículo 74. Infracciones consideradas leves.

(...)

b) La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada."
07/05/2019 10:25
JoséManuelRosón
Bien, entonces se trata de cuando te lo piden más de una vez en seis meses. Tampoco lo veo claro si lo que se pide es algo más que el acceso, si te vienen con una tonelada de preguntas o exigencias sobre esto y aquello. El problema es que entre atender la tienda, proveedores, ordenar, tema contable, tema de facturas, etc. etc. etc. te vuelves loca como para encima atender una tienda virtual con gente preguntando cosas sobre esto y aquello. Sí hay que atender claro para lo que has comentado pero no es tan automático y fácil como te lo venden los comerciales de agencias de páginas web. Te vas a sacar un sueldo o un medio sueldo atendiendo un poco por la mañana y otro poco por la tarde y luego es mentira. Venga problemas y requisitos legales para lo que es en mi caso un 15 por ciento de lo que vendo en la tienda física. Que me viene de perlas eso sí, pero poca cosa para tanto quebradero de cabeza....
07/05/2019 15:48
Bego_pez
Si te sale rentable o no, debes valorarlo tú. Lo demás es obligación legal tal y como te lo he indicado a lo largo de este hilo.

Si te piden más que el acceso y el usuario tiene muchos datos en tu base, tienes la posibilidad de exigir una especificación al solicitante, reconocida por el artículo 13-1 de la LOPD:
"Artículo 13. Derecho de acceso.

1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679. Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud."

Por cierto, no sé qué sistema de tienda virtual manejas, pero el párrafo segundo de este artículo 13 establece un derecho de acceso otorgado de forma permanente para el caso de sistemas con acceso a datos aportados en el registro mediante URL y contraseñas. Con lo cual no tienes más que indicar a tus usuarios que pueden acceder a sus datos a través de esa sección de gestión de perfil, cuenta o como se denomine en el caso de tu sistema, evitando sucesivas solicitudes o contactos para asistencia. Basta con informar a los usuarios de la existencia de tal sección o categoría y de la forma de acceder al mismo en el mensaje de registro.

Léelo tu misma:

"2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho. No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto."
08/05/2019 01:31
JoséManuelRosón
Magnífica respuesta. Gracias.

Solo una cosa final. No entiendo esto último del final que pones en tu respuesta. Lo que dice la ley, quiero decir:

No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.
08/05/2019 12:11
Bego_pez
Hola Begoña.

Ese último párrafo se refiere a información considerada como datos personales y que por la mecánica o configuración del sistema no es accesible desde la prestación de muestreo de datos de usuario.

No sé qué sistema manejas, pero seguramente será una tienda de serie montada en un CMS como WordPress, Joomla! o cualquiera otro, u Oscommerce, Prestashop, etc. En cualquier caso, suelen tener una parte en la administración que muestra, por ejemplo, las IPs desde las que se conectó el usuario, que son datos de carácter personal y cuyo registro no suele mostrarse.

Te podría exigir que le entregues un listado de las mismas o que las eliminases porque están sujetas a la misma situación que todos los demás datos personales en tu base.
08/05/2019 16:44
Bego_pez
Gracias otra vez!

Tengo instalado Prestashop, pero estoy muy pez con ello. Lo intento llevar a cabo con ayudas que me dan en foros, pero la tienda la he puesto yo y cobro sólo por PayPal, transferencia y contrarreembolso. Todo gratis hasta ahora. No sé si se podrá lo del enlace al acceso que dices. Lo voy a mirar.

Si no se puede, ¿hay alguna forma de entregar los datos? Quiero decir, ¿hay que darlos de una manera concreta o vale un pdf o Excel con un listado con títulos sin más?

Muchas gracias José Manuel. No sabes lo bien que lo haces.
09/05/2019 01:19
Bego_pez
Si manejas una tienda de Prestashop, tienes un módulo gratuito para su instalación que te permitirá ofrecer una función de recuperación de datos para los usuarios que lo deseen.

Si sólo quiere ejercer el derecho de acceso, puedes proporcionarle los datos que tengas en tu base en cualquier formato. Basta un pdf o MS Excel, como dices. En este caso, si quiere en un formato especial que te cueste un trabajo o gasto desproporcionado con respecto a lo que significa el usuario en tu base, podrías pedirle una compensación económica.

Puedes leerlo en el artículo 13-4 de la LOPD:

"4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas."

Si quisiera ejercer su derecho de portabilidad, tendrías que utilizar un lenguaje estructurado que le permita su aplicación en otro entorno por el responsable o encargado del tratamiento de los datos que lo vaya a recibir. Esto es otro tema y ya lo tienes resuelto con el módulo de Prestashop.

Por cierto, volviendo al tema de las IPs de los usuarios, si quisieras acceder a ellas, las tienes en la columna "Últimas Conexiones" en el módulo de clientes.
09/05/2019 18:17
JoséManuelRosón
Me acabo de dar de alta porque he leído este tema. Me pidieron los datos por un tema legal para un juicio que no vamos a explicar aquí. El tema es que me piden la integridad de todo lo que hay en la tienda y en el foro de forma completa y en "formato estructurado haciendo uso de mi derecho a la portabilidad de los datos". Parece ser que es para un perito y un abogado para un juicio. Si hace falta ya iré a un despacho a preguntar, pero me gustaría una primera vista del asunto de forma personal por aquí mismo.

Muchas gracias a todos.
11/05/2019 12:13
Juanjoriq
Hola Juan.

Formato estructurado es aquel que incorpora campos delimitados y determinados procesables por una aplicación informática, generalmente basados en tecnología SGML/XML, como son docbook, linuxdoc-sgml y html, entre otros.

Formato no estructurado es el que no presenta tales características por lo cual, aunque puede ser leído por humanos, no es adecuado o representa un grave inconveniente de cara a una interpretación mecánica, como son los formatos MS Word, PDF, txt, etc.
11/05/2019 12:18
Juanjoriq
En cuanto al tema de si tiene derecho o no a exigirte la entrega de los datos presentes en tu base en la forma indicada, depende de diversas cuestiones y debe moderarse positiva y negativamente según la nueva normativa presente en el RGPD y la LOPD 3/2018.

El derecho de portabilidad es perfilado en detalle en el considerando 68 del RGPD, que podemos desglosar en varios aspectos, y desarrollado en su artículo 20 y los artículos 17 y 95 de la LOPD.


RECONOCIMIENTO GENERAL

"Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento."

1. Establece un marco de aplicación dependiente de un tratamiento automatizado de los datos. Desarrollado en el artículo 20 b) (...el tratamiento se efectúe por medios automatizados."

2. Exige que sea el interesado el que haya facilitado dichos datos.

3. Reconoce el derecho del interesado a recibirlos en el formato estructurado.

4. Reconoce igualmente su derecho a transmitirlo a otro responsable.


PROMOCIÓN DE SISTEMAS INTEROPERABLES

Inmediatamente insta a las autoridades a alentar "a los responsables a crear formatos interoperables que permitan la portabilidad de datos".


DELIMITACIÓN POSITIVA

A continuación reitera la necesidad de una acción de entrega de datos por parte del interesado o fundamento en ejecución de contrato:

"Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato."

1. Consentimiento.

2. Contrato.

Desarrollado en el artículo 20 a):

"el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), (...)."

Concretamente:

Artículo 6, 1 "a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;"

Artículo 6, 1 "b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;"

Artículo 9, 2 "a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;"


DELIMITACIÓN NEGATIVA

Establece unos criterios negativos excluyentes en cuanto a la aplicación del derecho de portabilidad y por tanto su exigencia:

"No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato. Por su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que traten datos personales en el ejercicio de sus funciones públicas. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable."

1. Cumplimiento de obligación legal por parte del responsable.

2. Ejercicio de funciones de interés público por el responsable.

3. Ejercicio de poderes públicos por el responsable.

Desarrollado en el artículo 20 - 3:

"3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. "


DELIMITACIÓN TÉCNICA

"El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles."

Es decir, no es obligatorio proporcionar los datos en un sistema adaptado precisamente a plataformas o sistemas concretos, sino un lenguaje estructurado generalmente válido.

(continúa)
Usuario me pide datos de tienda virtual | PorticoLegal
Logo

El portal de Derecho Español más completo y útil para jurístas, empresas y particulares

Usuario me pide datos de tienda virtual

21 Comentarios
Viendo 1 - 20 de 21 comentarios
Usuario me pide datos de tienda virtual
04/05/2019 10:29
Hola buenas.

Tengo una tienda virtual para dar salida en Internet a los productos de mi tienda física (hogar y decoración). Se registran muchos y algunos compran. La tienda es nueva. He adecuado el tema de protección de datos con ayuda de un amigo pero hasta cierto punto... Ahora me viene una persona y me escribe diciendo que es usuario y que se le ha olvidado la clave de acceso. Le digo que meta el email y recupere la información que quiera (usuario o clave) y me dice que también le caducó el email, que solo lo usaba para hacer temas por internet, que no era el suyo habitual vaya, y que ahora no puede acceder.

El caso es que dice que quiere acceder a su perfil y que le dé los datos o le diga cómo entrar, y el tema es que los perfiles contienen toda la información de contacto, dirección e incluso DNI y otras muchas cosas de las personas, incluso preferencias sobre productos etc. etc. y tengo miedo de que sea algún espabilado queriendo colarse para algo sucio. Pero también puede ser el verdadero usuario, y no quiero dar un mal servicio de asistencia porque luego te ponen verde en los foros o en las valoraciones de Google Maps.

¿Debo darle el acceso? ¿Qué hago?
04/05/2019 21:51
Bego_pez
Los usuarios propietarios de los datos personales registrados en tu página tienen derecho de acceso a los mismos, como primero de una serie de ellos. Pero tú también tienes derecho y obligación a comprobar y estar segura de que cada uno es quien dice ser a fin de evitar lo que sería un grave incumplimiento en la custodia de esos datos, si tus suposiciones resultaran ciertas y estuviésemos ante un falso usuario con intenciones fraudulentas o delictivas.

Incumplimiento y responsabilidad por los datos que pudiera causar a terceros - en este caso, al verdadero usuario de ese perfil en tu sitio web - mediante la utilización de los datos que también indicas.

Por ello, el RGPD prevé medidas preventivas en favor del responsable del tratamiento, claramente descritas en el considerando 64, que transcribo:

"El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes."

Desarrollado en el apartado sexto del artículo 12 del mismo Reglamento:

"6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado."

Con todo, te indico que lo mejor es que le pidas una copia del DNI o pasaporte por ambas caras a fin de cerciorarte de efectivamente es el responsable de los datos registrados.
05/05/2019 00:41
JoséManuelRosón
Claro, lógico. Lo que no me parecía es que le tenga que dar los datos al primero que aparezca diciendo que es tal perfil.

Lo que no sé es cómo puede averiguar el nombre de un usuario, porque mi web no es un foro ni un sitio de citas. Los nombres de usuario no están a la vista más que para los usuarios como en todas las tiendas virtuales, creo.

Le voy a pedir escaneo de DNI y ya te contaré lo que resultó.

Un saludo y gracias por tu respuesta.
05/05/2019 11:21
Bego_pez
Hola.

Me he conectado para ver la respuesta de esa persona y me encuentro con esta respuesta, por cierto en tono rudo:

Yo no tengo que darle

Yo no tengo que darle a usted mi dni para nada, ni tampoco ningún otro documento privado. Necesito los datos para acceder a mi cuenta en su página y en otro caso pondré una denuncia a la agencia española de protección de datos. Usted tiene obligación de darme esos datos porque tengo derecho de acceso a mis datos. Se lo aseguro, pondré una denuncia.

Me ha revuelto la mañana...
05/05/2019 12:01
Bego_pez
Si tienes la ficha del usuario-cliente, es tan fácil como enviar un mail para verificar su identidad, o mejor una llamada telefónica.

Y no te preocupes por la posible denuncia; sin verificación de identidad no tienes por qué enviar nada. Está cubierto por la motivación que te indiqué ayer.
05/05/2019 14:29
JoséManuelRosón
Te cuento. No se me había ocurrido y he hecho lo que me has dicho. Llamé al móvil en el registro, que tiene campo para fijo y móvil. Me responde una persona y me dice que ni tiene ningún problema con la web y ha pedido ninguna recuperación de datos. Que no es él. No puede haber problema con error o coincidencia con otro nombre de usuario porque es un nombre muy peculiar y el único del registro.

Osea que el que me ha estado contactando no es quien dice ser. Me tiembla todo.....

¿Para qué quiere meterse en el sitio? ¿Qué puedo hacer al respecto?

Muchas gracias por tu rapidez en atender. Sobre todo es el tema de que te atienda alguien.
05/05/2019 20:18
Bego_pez
Seguramente llevas muy poco tiempo gestionando tu tienda virtual porque en otro caso no te arrugaría tanto el tema. Si tienes tienda virtual o cualquier cosa que mueva dinero en Internet, debes prepararte para este tipo de situaciones.

En cuanto al tipo en cuestión, querer, puede haber querido muchas cosas. Desde hacerse con los datos del usuario para usurpar su identidad y cometer alguna clase de estafa en Internet; hasta acceder a tu sitio web como usuario, comprar algo - o fingir que lo compra - y luego estafarte a ti. Entre otras múltiples posibilidades.

Ignorarlo, revisar que todo funcione correctamente, asegurar siempre una copia de seguridad y, en este caso, denunciar el caso a la unidad de delitos informáticos de la CNP o la Guardia Civil:

https://www.policia.es/denunweb/denuncias.html

http://www.guardiacivil.es/es/servicios/denuncias/denuncia_electronica/index.html
06/05/2019 00:56
JoséManuelRosón
Sí es verdad que llevo poco tiempo gestionando la tienda. La tienda física tiene 10 años y me convencieron para que abriera una página web y una tienda virtual para apoyar la venta en Internet y sacar un porcente más de ventas.

Seguiré tus buenos consejos.

Una pregunta más. ¿Hasta que punto tengo que dar servicio postventa o asistencia en este tipo de situaciones? Es decir ¿tengo que responder sin más a la gente? Lo digo porque aunque este sea un caso extraño, mucha gente me pregunta y pide temas sobre sus perfiles y es un trabajo al cabo de la semana. Si me estoy explicando bien.
06/05/2019 10:23
Bego_pez
Tu pregunta tiene una vertiente comercial y otra legal.

La comercial te obliga efectivamente a responder y atender cordialmente a todos los usuarios y clientes, o potenciales en un caso y otro, para asegurar o mantener una imagen de comercio serio y responsable.

Una página web con tienda virtual no es un arte de pesca armado a la espera de capturas. Te puedo asegurar que un porcentaje real de clientes se basan en la confianza que genera la atención y el trato personalizado, sobre todo en el caso de posibles clientes indecisos. Y también puedo confirmarte que la falta de respuesta, la tardía o carente de respeto o atención supone un desgaste en términos de mala reputación online, que debe sumarse a la pérdida de ese porcentaje de indecisos que finalmente se deciden a no comprar debido al silencio o respuesta inadecuada.

------------------------

Por otro lado, la vertiente legal también te obliga a responder a los usuarios que hayan adquirido productos para dar respuesta a las exigencias de la legislación mercantil y de protección de derechos de consumidores y usuarios; además de las obligaciones derivadas de la normativa de protección de datos de carácter personal.

En el caso que nos ocupa, debes responder y hacer efectivo el derecho de acceso, rectificación, supresión y portabilidad de los datos, en caso de ser reclamada en tal sentido, llevando a cabo los procedimientos que se hagan necesarios para su correcta tramitación, como en el supuesto de verificación que hemos tratado en este hilo.

Para terminar, creo entender que haces alusión a horas de trabajo "al cabo de la semana" como base a una posible compensación económica por la asistencia prestada. Si te refieres a ello, te informo de que la actual normativa impone la gratuidad para tales gestiones, salvo excepciones muy bien perfiladas.

Con ello, si lo que estás preguntando es si puedes cobrar, por ejemplo, por la asistencia al usuario que reclama acceso a sus datos personales en tu base de datos, la respuesta es no salvo excepciones.
06/05/2019 19:33
JoséManuelRosón
Supongo que se trata de que no se puede hacer negocio con los datos, pero yo no pienso en hacer negocio, sino que de unos cuantos a la semana son muchos al mes y es tiempo que hay que trabajar.

¿Se puede cobrar entonces en algunos casos? ¿O negarse a dar datos o facilitar nada en otros?
07/05/2019 00:10
Bego_pez
Sí, efectivamente, no se puede hacer negocio con los datos personales porque la libertad de servicios y prestaciones profesionales debe tener como límite - entre otros - el ejercicio de los derechos y libertades de personas y entidades (en este caso solo de personas), que quedaría gravemente en compromiso, cuando no totalmente imposibilitado, si se permitiese la aplicación de una tasa o recompensa económica al mismo.

Mucho más en el momento presente, con tanto espabilado y listo al servicio de su propio bolsillo e interés pasajero. Arreglados íbamos a andar si se permitiese, por ejemplo, una tarifita para recuperar datos, acceder al propio perfil o modificarlo, borrarlo, etc.

Tendríamos sitios web ofreciendo cualquier cosa - o ninguna - no más que para hacer acopio y colección de unos cuantos cientos de miles de perfiles para todos los gustos. Que ya habría tiempo después de sacar un buen sueldo pidiendo aunque solo fuese un euro a los despistados.

No vamos a comentar la legislación anterior, que ya lo preveía, dejándote la indicación del artículo 12-5 del actual RGPD, que impone gratuidad y posibles excepciones:

"5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.

Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud."

Obligaciones y excepciones que se aplican igualmente al quehacer de las autoridades de control (la AEPD, por ejemplo) en el artículo 57-4 del mismo reglamento:

"4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control."

Por su lado, la LOPD también impone la misma obligación y gratuidad en el artículo 12-7:

"Artículo 12. Disposiciones generales sobre ejercicio de los derechos."

(...)

7. Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica."

En cuanto a lo que debe ser entendido como solicitudes excesivas o infundadas, te puedo citar el artículo 13-3 de la misma LOPD:

"3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello."

Para terminar, la calificación de infracción y posible sanción se establece en el artículo 74 b), como tu misma puedes ver:

"Artículo 74. Infracciones consideradas leves.

(...)

b) La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada."
07/05/2019 10:25
JoséManuelRosón
Bien, entonces se trata de cuando te lo piden más de una vez en seis meses. Tampoco lo veo claro si lo que se pide es algo más que el acceso, si te vienen con una tonelada de preguntas o exigencias sobre esto y aquello. El problema es que entre atender la tienda, proveedores, ordenar, tema contable, tema de facturas, etc. etc. etc. te vuelves loca como para encima atender una tienda virtual con gente preguntando cosas sobre esto y aquello. Sí hay que atender claro para lo que has comentado pero no es tan automático y fácil como te lo venden los comerciales de agencias de páginas web. Te vas a sacar un sueldo o un medio sueldo atendiendo un poco por la mañana y otro poco por la tarde y luego es mentira. Venga problemas y requisitos legales para lo que es en mi caso un 15 por ciento de lo que vendo en la tienda física. Que me viene de perlas eso sí, pero poca cosa para tanto quebradero de cabeza....
07/05/2019 15:48
Bego_pez
Si te sale rentable o no, debes valorarlo tú. Lo demás es obligación legal tal y como te lo he indicado a lo largo de este hilo.

Si te piden más que el acceso y el usuario tiene muchos datos en tu base, tienes la posibilidad de exigir una especificación al solicitante, reconocida por el artículo 13-1 de la LOPD:
"Artículo 13. Derecho de acceso.

1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679. Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud."

Por cierto, no sé qué sistema de tienda virtual manejas, pero el párrafo segundo de este artículo 13 establece un derecho de acceso otorgado de forma permanente para el caso de sistemas con acceso a datos aportados en el registro mediante URL y contraseñas. Con lo cual no tienes más que indicar a tus usuarios que pueden acceder a sus datos a través de esa sección de gestión de perfil, cuenta o como se denomine en el caso de tu sistema, evitando sucesivas solicitudes o contactos para asistencia. Basta con informar a los usuarios de la existencia de tal sección o categoría y de la forma de acceder al mismo en el mensaje de registro.

Léelo tu misma:

"2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho. No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto."
08/05/2019 01:31
JoséManuelRosón
Magnífica respuesta. Gracias.

Solo una cosa final. No entiendo esto último del final que pones en tu respuesta. Lo que dice la ley, quiero decir:

No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.
08/05/2019 12:11
Bego_pez
Hola Begoña.

Ese último párrafo se refiere a información considerada como datos personales y que por la mecánica o configuración del sistema no es accesible desde la prestación de muestreo de datos de usuario.

No sé qué sistema manejas, pero seguramente será una tienda de serie montada en un CMS como WordPress, Joomla! o cualquiera otro, u Oscommerce, Prestashop, etc. En cualquier caso, suelen tener una parte en la administración que muestra, por ejemplo, las IPs desde las que se conectó el usuario, que son datos de carácter personal y cuyo registro no suele mostrarse.

Te podría exigir que le entregues un listado de las mismas o que las eliminases porque están sujetas a la misma situación que todos los demás datos personales en tu base.
08/05/2019 16:44
Bego_pez
Gracias otra vez!

Tengo instalado Prestashop, pero estoy muy pez con ello. Lo intento llevar a cabo con ayudas que me dan en foros, pero la tienda la he puesto yo y cobro sólo por PayPal, transferencia y contrarreembolso. Todo gratis hasta ahora. No sé si se podrá lo del enlace al acceso que dices. Lo voy a mirar.

Si no se puede, ¿hay alguna forma de entregar los datos? Quiero decir, ¿hay que darlos de una manera concreta o vale un pdf o Excel con un listado con títulos sin más?

Muchas gracias José Manuel. No sabes lo bien que lo haces.
09/05/2019 01:19
Bego_pez
Si manejas una tienda de Prestashop, tienes un módulo gratuito para su instalación que te permitirá ofrecer una función de recuperación de datos para los usuarios que lo deseen.

Si sólo quiere ejercer el derecho de acceso, puedes proporcionarle los datos que tengas en tu base en cualquier formato. Basta un pdf o MS Excel, como dices. En este caso, si quiere en un formato especial que te cueste un trabajo o gasto desproporcionado con respecto a lo que significa el usuario en tu base, podrías pedirle una compensación económica.

Puedes leerlo en el artículo 13-4 de la LOPD:

"4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas."

Si quisiera ejercer su derecho de portabilidad, tendrías que utilizar un lenguaje estructurado que le permita su aplicación en otro entorno por el responsable o encargado del tratamiento de los datos que lo vaya a recibir. Esto es otro tema y ya lo tienes resuelto con el módulo de Prestashop.

Por cierto, volviendo al tema de las IPs de los usuarios, si quisieras acceder a ellas, las tienes en la columna "Últimas Conexiones" en el módulo de clientes.
09/05/2019 18:17
JoséManuelRosón
Me acabo de dar de alta porque he leído este tema. Me pidieron los datos por un tema legal para un juicio que no vamos a explicar aquí. El tema es que me piden la integridad de todo lo que hay en la tienda y en el foro de forma completa y en "formato estructurado haciendo uso de mi derecho a la portabilidad de los datos". Parece ser que es para un perito y un abogado para un juicio. Si hace falta ya iré a un despacho a preguntar, pero me gustaría una primera vista del asunto de forma personal por aquí mismo.

Muchas gracias a todos.
11/05/2019 12:13
Juanjoriq
Hola Juan.

Formato estructurado es aquel que incorpora campos delimitados y determinados procesables por una aplicación informática, generalmente basados en tecnología SGML/XML, como son docbook, linuxdoc-sgml y html, entre otros.

Formato no estructurado es el que no presenta tales características por lo cual, aunque puede ser leído por humanos, no es adecuado o representa un grave inconveniente de cara a una interpretación mecánica, como son los formatos MS Word, PDF, txt, etc.
11/05/2019 12:18
Juanjoriq
En cuanto al tema de si tiene derecho o no a exigirte la entrega de los datos presentes en tu base en la forma indicada, depende de diversas cuestiones y debe moderarse positiva y negativamente según la nueva normativa presente en el RGPD y la LOPD 3/2018.

El derecho de portabilidad es perfilado en detalle en el considerando 68 del RGPD, que podemos desglosar en varios aspectos, y desarrollado en su artículo 20 y los artículos 17 y 95 de la LOPD.


RECONOCIMIENTO GENERAL

"Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento."

1. Establece un marco de aplicación dependiente de un tratamiento automatizado de los datos. Desarrollado en el artículo 20 b) (...el tratamiento se efectúe por medios automatizados."

2. Exige que sea el interesado el que haya facilitado dichos datos.

3. Reconoce el derecho del interesado a recibirlos en el formato estructurado.

4. Reconoce igualmente su derecho a transmitirlo a otro responsable.


PROMOCIÓN DE SISTEMAS INTEROPERABLES

Inmediatamente insta a las autoridades a alentar "a los responsables a crear formatos interoperables que permitan la portabilidad de datos".


DELIMITACIÓN POSITIVA

A continuación reitera la necesidad de una acción de entrega de datos por parte del interesado o fundamento en ejecución de contrato:

"Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato."

1. Consentimiento.

2. Contrato.

Desarrollado en el artículo 20 a):

"el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), (...)."

Concretamente:

Artículo 6, 1 "a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;"

Artículo 6, 1 "b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;"

Artículo 9, 2 "a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;"


DELIMITACIÓN NEGATIVA

Establece unos criterios negativos excluyentes en cuanto a la aplicación del derecho de portabilidad y por tanto su exigencia:

"No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato. Por su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que traten datos personales en el ejercicio de sus funciones públicas. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable."

1. Cumplimiento de obligación legal por parte del responsable.

2. Ejercicio de funciones de interés público por el responsable.

3. Ejercicio de poderes públicos por el responsable.

Desarrollado en el artículo 20 - 3:

"3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. "


DELIMITACIÓN TÉCNICA

"El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles."

Es decir, no es obligatorio proporcionar los datos en un sistema adaptado precisamente a plataformas o sistemas concretos, sino un lenguaje estructurado generalmente válido.

(continúa)