RGPD y pagos en línea

Marzo 24, 2022

Introducción

Las empresas procesan mucha información sobre clientes, proveedores, empleados y otras personas mientras realizan actividades comerciales regulares.

Los datos personales ayudan a las empresas a comprender las necesidades de sus clientes, asignar recursos de manera más eficiente y descubrir nuevas vías de crecimiento. Sin embargo, permitir que las organizaciones recopilen información de los clientes sin las restricciones reglamentarias adecuadas puede dar lugar a un mal uso de los datos.

El RGPD brinda a los ciudadanos de la UE más control sobre su información y establece reglas para las empresas que procesan datos personales.

Aprenda más sobre GDPR y cómo sus requisitos afectan los pagos en línea.

Clientes que dan su consentimiento para el tratamiento de sus datos.

Cláusula de exención de responsabilidades: Este artículo proporciona una visión general del Reglamento General de Protección de Datos. No debe considerarse una guía oficial para cumplir con los requisitos del RGPD.

RGPD y pagos en línea

El Reglamento General de Protección de Datos (GDPR) es una ley de privacidad y seguridad de datos que estandariza las prácticas legales con respecto a la protección de datos en los estados miembros de la UE.

GDPR trata el derecho de una persona a decidir si y cómo se utilizarán sus datos como una libertad fundamental.

Las empresas deben obtener el consentimiento explícito de las personas antes de procesar sus datos. El individuo debe ser informado del alcance y propósito del procesamiento de datos y tener la opción de revocar el consentimiento.

Comerciantes que cumplen con los requisitos del RGPD.

La adquisición de información de identificación personal es un requisito previo para aceptar pagos en línea y ejecución del contrato. Los comerciantes deben procesar datos de pago confidenciales antes de cobrar a un cliente y recopilar suficiente información personal para entregar los bienes y servicios solicitados.

Aunque GDPR es una ley de la UE, también se aplica a empresas fuera de la UE. Todos los comerciantes que venden productos y servicios a personas en la UE o procesan datos pertenecientes a ciudadanos de la UE deben cumplir con los requisitos de GDPR.

¿Qué se consideran datos personales según el RGPD?

Bajo RGPD, datos personales se refiere a la información que identifica directa o indirectamente a un individuo. Esto incluye, pero no se limita a, del cliente:

  • Nombre y apellido
  • número de identificación
  • Manejadores de redes sociales
  • Estado financiero, físico o mental
  • Número de teléfono o correo electrónico
  • Datos de la tarjeta de crédito
  • información de cuenta bancaria
  • Imágenes que muestran la apariencia del cliente.
  • Datos de salud o biométricos
  • Identidad cultural, política, racial o social
  • Información de dirección o ubicación
  • Dirección IP

Los identificadores en línea, como las direcciones IP, se consideran información personal si se pueden usar para establecer la identidad de alguien. GDPR también considera como datos personales otra información general si se puede utilizar para deducir la identidad de una persona.

GDPR no se aplica a la información anónima o seudonimizada que no se puede rastrear hasta el propietario de los datos.

Principios de cumplimiento del RGPD

El RGPD describe siete principios básicos que los comerciantes y otros procesadores de datos deben incorporar en sus actividades comerciales diarias.

Tratamiento de datos lícito y transparente

GDPR requiere que las empresas informen de manera clara y precisa a los clientes qué datos planean recopilar y cómo se utilizarán.

El procesamiento de datos debe ser lícito, justo y transparente.

Un comerciante debe obtener el consentimiento inequívoco de un cliente o visitante del sitio web antes de procesar sus datos. El cliente debe tomar una decisión informada y dar su permiso voluntariamente. Para ello, los comerciantes deben asegurarse de que el formulario de consentimiento:

  • Es informativo y se expresa en términos simples.
  • Especifica el propósito del procesamiento de datos y reitera que los datos no pueden ser utilizados para otros fines.
  • Contiene información sobre la elaboración automática de perfiles de clientes y sus consecuencias.
  • Requiere que los niños menores de 13 años obtengan el consentimiento de los padres antes de que sus datos puedan ser procesados.
  • Está completamente documentado y comprobable.

Por lo general, los sitios web requieren que los visitantes lean, estén de acuerdo y acepten las reglas de procesamiento de datos descritas marcando una casilla o haciendo clic en un botón.

Las casillas marcadas previamente o la inactividad no representan el consentimiento bajo GDPR.

Limitación de propósito

En el momento de la recopilación de datos, los clientes deben comprender por qué y cómo se procesará su información.

Los datos personales solo se pueden utilizar para los fines para los que el cliente ha dado su consentimiento. Cuando el tratamiento tenga múltiples finalidades, deberá autorizarse para todas ellas.

Los comerciantes que planeen utilizar los datos de los clientes para facilitar otras actividades comerciales deben informar al cliente y obtener el consentimiento antes de que se produzca un procesamiento de datos adicional.

Por ejemplo, si un cliente compra una suscripción, los comerciantes pueden continuar procesando datos durante la duración del servicio. Sin embargo, deben obtener el permiso del cliente si planean procesar datos por motivos distintos al servicio de suscripción.

Los clientes pueden denegar o retirar el consentimiento sin condiciones previas ni preguntas.

Respeto a los derechos del cliente

Los comerciantes deben implementar mecanismos fáciles de usar que permitan a los clientes acceder a datos personales y solicitar actualizaciones o borrados de datos. Estos servicios deben ser accesibles, gratuitos y los clientes no deben ser penalizados por realizar tales solicitudes.

Una lista de los derechos del cliente bajo GDPR.

Por lo general, las organizaciones brindan detalles de contacto, como una dirección de correo electrónico, donde los clientes pueden enviar sus solicitudes y preguntas.

Según el RGPD, los clientes tienen derecho a:

  1. Saber cómo se utilizaron los datos y a quién se divulgaron.
  2. Accede a su información sin restricciones.
  3. Pida a los comerciantes que rectifiquen la información inexacta.
  4. Solicitar que se eliminen sus datos.
  5. Exigir que sus datos dejen de ser tratados.
  6. Solicite que los datos se transfieran a un comerciante diferente.
  7. Presentar una reclamación y rechazar determinadas prácticas de tratamiento de datos.
  8. Negarse a ser objeto de decisiones automatizadas y elaboración de perfiles.

Si los datos personales se divulgan a un tercero, el cliente debe ser informado sobre la divulgación de datos.

Seguridad de Datos

Los comerciantes deben implementar medidas y políticas de seguridad de datos adecuadas para proteger la información confidencial contra Ataques ciberneticos, acceso no autorizado o daños accidentales. El RGPD insta a las organizaciones a:

  • Proteja los datos del cliente introduciendo soluciones técnicas avanzadas como cortafuegos, antivirus, herramientas de autenticaciony protocolos de cifrado de datos.
  • Desarrolle procedimientos de protección de datos que incluyan planes de respuesta, programas de capacitación para empleados, restricciones de acceso a datos y otras políticas de InfoSec. Los procedimientos deben estar bien documentados y ser accesibles para el personal mientras realiza tareas relacionadas con el trabajo.
  • Integre las consideraciones de seguridad de datos en el desarrollo y diseño de nuevos servicios de forma predeterminada. Es necesario incluir salvaguardas de seguridad de datos en cada paso del proceso de desarrollo y en el producto final.
La protección de datos personales es un elemento esencial del RGPD.

Desde el principio, los comerciantes deben determinar qué información procesar y cómo recopilar esos datos.

Reducir la cantidad de información personal que debe protegerse es una excelente manera de disminuir los costos operativos asociados con la seguridad de los datos.

Limitación de almacenamiento

Las organizaciones pueden almacenar información confidencial de los clientes solo mientras sirva a sus objetivos comerciales. Los comerciantes no deben almacenar datos personales si:

  • El propósito para el que se recopiló ya no es relevante.
  • La persona ha retirado su consentimiento.
  • El cliente solicita que se detenga el procesamiento de datos o que se eliminen los datos.
  • La organización ya no cumple con los requisitos del RGPD.

Los datos personales no pueden conservarse indefinidamente. Si un niño ha dado su consentimiento para el procesamiento de datos, tiene derecho a solicitar que los datos se borren incluso después de convertirse en adulto.

Exactitud

Todos los datos personales que procesa el comerciante deben ser precisos y estar actualizados. Los clientes pueden solicitar que se modifiquen los datos si notan que son incorrectos o si se ha producido un cambio mientras tanto.

Los comerciantes deben ser proactivos y tomar todas las medidas razonables para garantizar que la información sea siempre correcta. El comerciante también debe rectificar o borrar de inmediato los datos que se determinen incorrectos o incompletos.

Responsabilidad

Los comerciantes deben demostrar que se aplican las medidas de protección de datos adecuadas y que el procesamiento de datos se realiza de acuerdo con los requisitos de GDPR.

Responsabilidad de protección de datos GDPR.

Para demostrar que cumple, una organización debe:

  • Mantener documentación detallada que describa los procesos de recopilación de datos, políticas de uso, almacenamiento de datos políticas, medidas de seguridad de datos, responsabilidades del personal, etc.
  • Cree roles y responsabilidades de protección de datos específicos y asigne personal dedicado.
  • Tener acuerdos de tratamiento de datos formales y firmados con terceros que traten datos personales.
  • Designe a un empleado encargado de evaluar el cumplimiento del RGPD y resolver las quejas de los clientes.
  • Mostrar la identidad y datos de contacto del empleado (empleados) responsable del cumplimiento de las políticas de protección de datos.

El empleo de un oficial de protección de datos oficial generalmente solo es necesario para el procesamiento de datos a gran escala que requiere un monitoreo constante y sistemático, las autoridades públicas y los organismos gubernamentales.

CCBill y RGPD

CCBill es un establecido proveedor de servicios de pago con un impecable historial de seguridad de datos.

Los visitantes del sitio web de CCBill son no sometidos a elaboración de perfiles, y sus datos son no vendido a terceros. La información se utiliza exclusivamente para los fines para los que el visitante da su consentimiento.

La política de protección de datos de CCBill garantiza que la información personal se procese de manera legal, justa y transparente. Los derechos de los visitantes del sitio web, clientes, socios y empleados están garantizados y cumplen con los estándares de la empresa y los requisitos legales.

Los datos se almacenan de forma segura y se borran una vez que ya no son necesarios. Los datos pueden transferirse fuera de la UE solo si la persona da su consentimiento explícito o si es necesario para la ejecución del contrato. Otras razones incluyen el interés público, reclamos legales o la protección de los intereses vitales de una persona cuando no puede dar su consentimiento.

Todas las solicitudes, preguntas o quejas sobre el procesamiento de datos personales pueden enviarse por correo electrónico a dpo@ccbill.com.

Conclusión

Toda persona tiene derecho a decidir qué sucede con sus datos y cómo se utilizan.

Al cumplir con los requisitos de GDPR, los comerciantes demuestran que respetan los derechos de los clientes, son transparentes en sus tratos comerciales y priorizan la protección de los datos de los clientes sobre las ganancias rápidas.

Los comerciantes que deseen aceptar pagos con tarjeta en línea también deben cumplir con PCI DSS.

Compartir en Etiqueta LinkedIn
Procesamiento de tarjetas de débito: ¿Cómo funciona?
Vladímir Kaplarevic
25 de mayo de 2023
Declive suave versus Declive fuerte: ¿Cuál es la diferencia?
Anastazija Spasojevic
25 de mayo de 2023
PCI DSS 4.0: cambios y cómo cumplir
Anastazija Spasojevic
25 de mayo de 2023
Acerca del autor.
Vladímir Kaplarevic
Vladimir es un redactor técnico residente en CCBill. Tiene más de 8 años de experiencia en la implementación de comercio electrónico y soluciones de pago en línea con varios proveedores de servicios de TI globales. Su atractivo estilo de escritura proporciona consejos prácticos y tiene como objetivo despertar la curiosidad por las tecnologías innovadoras.
Hable con un especialista en asistencia comercial