Preguntas frecuentes sobre el GDPR

Leer más sobre las preguntas frecuentes relacionadas con GDPR. Estas explicaciones son solo informativas y no constituyen asesoría legal profesional. Consulta asesores legales independientes para obtener información específica sobre tu país y tu caso específico.

¿Por qué Shopify no incluye una casilla de "Aceptar términos y condiciones y Política de privacidad" en la pantalla de pagos?

Shopify ha analizado el GDPR en detalle y hemos diseñado nuestra plataforma para ofrecer a nuestros comerciantes una experiencia de comercio de primera clase que cumpla con las leyes de privacidad y protección de datos como el GDPR.

Obtener el consentimiento explícito y afirmativo de los clientes para procesar sus datos, cuando se usa correctamente, puede ser una forma útil de brindar transparencia y ganarse la confianza de los clientes. Pero cuando no se usan correctamente, las casillas de verificación pueden ser confusas para el cliente, pueden crear expectativas falsas e incluso pueden crear problemas legales para los comerciantes según el GDPR. Por ello, hemos decidido no modificar nuestro flujo de trabajo de pago para incluir una casilla "Aceptar Términos y Condiciones y Política de Privacidad" en la pantalla de pagos debido a estas inquietudes.

El GDPR explica específicamente que los comerciantes pueden recopilar y procesar los datos personales de los clientes por muchas razones, por ej. si el cliente ha otorgado su consentimiento informado. Pero el GDPR reconoce que puede haber muchas circunstancias en las que los datos personales deben procesarse sin consentimiento del cliente, como por ejemplo:

Es probable que los comerciantes usen estos motivos legales con respecto a las diferentes maneras en que podrían procesar los datos de sus clientes. Por ejemplo, un comerciante podría necesitar usar la dirección de envío de un cliente para preparar y enviar un pedido y cumplir con el contrato del comerciante con el cliente. Del mismo modo, un comerciante puede estar obligado legalmente a procesar datos personales para responder a una citación judicial o en el contexto de una auditoría fiscal. Además, un comerciante puede procesar datos personales por muchas otras razones legítimas.

Al mismo tiempo, los reguladores europeos han dejado en claro que el consentimiento es la más importante de estas razones. Específicamente, los reguladores han indicado que, una vez que un comerciante solicita consentimiento para procesar datos para un fin específico, es posible que ya no pueda usar los fundamentos legales mencionados anteriormente (como contratos o intereses legítimos). Además, los reguladores han advertido que el consentimiento no puede convertirse en una condición para recibir bienes o servicios.

¿Por qué todo esto es importante? Imaginemos qué pasaría si un comerciante añadiera una casilla de "Aceptar Términos y Condiciones y Política de Privacidad" en la pantalla de pagos. Si el cliente decide no dar su consentimiento (o si el cliente da su consentimiento y luego lo retira -lo que es un derecho según el GDPR-), entonces el comerciante ya no podrá usar las otras justificaciones mencionadas anteriormente. Por lo tanto, es posible que el comerciante esté en una posición en la que, según el GDPR, no pueda procesar legalmente los datos personales del cliente para procesar o enviar un pedido. Al mismo tiempo, si el comerciante modifica la pantalla de pagos para que marcar esta casilla sea obligatorio para completar la transacción, el consentimiento sería una condición previa para poder recibir los bienes o servicios y, por lo tanto, puede que no sea válida según el GDPR.

Esta complejidad ha hecho que varios reguladores recomienden no pedir o usar el consentimiento en casos donde no sea apropiado. Por ejemplo, la Oficina del Comisionado de Información del Reino Unido ha aconsejado:

"El consentimiento es apropiado si puedes ofrecer a las personas opciones y control reales sobre cómo usas sus datos, y deseas ganarte su confianza y lealtad. Pero si no puedes ofrecer opciones reales, no es apropiado solicitar el consentimiento. Si igual procesas datos personales sin consentimiento, solicitarlo sería engañoso e intrínsecamente injusto.

Si haces que el consentimiento sea un requisito previo para brindar un servicio, seguramente no será la base legal más apropiada.

Las autoridades públicas, las empresas y otras organizaciones que tienen poder sobre las personas deben evitar el uso del consentimiento a menos que estén seguros de que pueden demostrar que se otorga libremente."

Queremos hacer nuestro mejor esfuerzo para apoyar a nuestros comerciantes y ayudarlos a evitar consecuencias legales problemáticas. Pero al mismo tiempo, entendemos que los comerciantes deben sentirse cómodos por tener la confianza de sus clientes. En consecuencia, nos hemos asegurado de que los comerciantes puedan agregar una casilla de "Aceptar términos y condiciones" en la página del carrito (no en la pantalla de pagos). Para más información sobre cómo hacer esto, consulta nuestros documentos de ayuda.

¿Por qué no puedo firmar un Acuerdo de procesamiento de datos (DPA) con Shopify?

El GDPR exige que los procesadores de datos firmen un contrato por escrito (que incluye contratos en formatos electrónicos) con cada controlador de datos con el fin de procesar datos personales. Estos contratos deben especificar qué datos personales se procesan y las obligaciones y derechos del procesador y el controlador. Estos contratos normalmente se denominan Acuerdos de Procesamiento de Datos (DPA). Básicamente, un DPA es un acuerdo de que Shopify solo procesará datos personales que se le proporcionen de la manera que especifique el comerciante, porque el comerciante es el controlador de los datos.

Para cumplir con esta exigencia, Shopify ha agregado un Anexo de procesamiento de datos a nuestros Términos de servicio. (Se denomina 'Anexo' y no 'Acuerdo' porque se agrega a los Términos del servicio y no es un acuerdo en sí).

Como comerciante, aceptas los Términos del servicio y, por extensión, el Anexo de procesamiento de datos, cuando te registras en los servicios de Shopify, y aceptas cualquier actualización de los Términos del servicio (por ejemplo, nuestra actualización donde se agregó el Anexo de procesamiento de Datos) al decidir seguir usando los servicios.

Es importante tener en cuenta que los Términos de servicio se rigen por la ley de Ontario y no por la ley de la jurisdicción en la que resides. Entonces, mientras otras leyes regionales, como el GDPR, ciertamente pueden aplicarse a tu negocio y la forma en que procesas datos, y pueden exigir que firmes un contrato vinculante con tus proveedores de servicios (como Shopify), esas otras leyes regionales no necesariamente determinan si un contrato es vinculante o no. En el caso de tu contrato con nosotros, las leyes de Ontario son las que determinan si el DPA es un contrato vinculante.

En consecuencia, incluso si tu jurisdicción exige que se firme un contrato (como el DPA), quizá no tenga relevancia con respecto a tu DPA. Según la legislación de Ontario, consideramos que al seguir utilizando nuestro servicio cuando se actualizan nuestros términos, tanto Shopify como tú están sujetos a los Términos del servicio según hayan sido modificados. Cuando decides seguir utilizando Shopify, consideramos que has celebrado un contrato vinculante con nosotros que incluye nuestro Anexo de procesamiento de datos, tal como lo exige el GDPR.

¿Qué hago si tengo más preguntas sobre el GDPR o las leyes de privacidad mi localidad?

Ponte en contacto con un abogado local especializado en leyes de privacidad o de protección de datos.

¿A quién puedo contactar para más información sobre las prácticas de Shopify?

Escribe a privacy@shopify.com para más información sobre las prácticas de Shopify.

Si uso Shopify para alojar mi tienda, ¿mi negocio cumple con el GDPR?

No automáticamente. Si bien las operaciones de Shopify cumplirán con el GDPR, y Shopify proporcionará herramientas para que sus comerciantes también cumplan con él, es responsabilidad de cada comerciante asegurarse de que su negocio cumpla con las leyes de la jurisdicción en la que opera.

El solo uso de la plataforma de Shopify no garantiza que un negocio cumpla con el GDPR.

¿Shopify firmará cláusulas contractuales estándar?

No. Como se describe en la sección Transferencias de datos de nuestro documento técnico (en inglés), Shopify ha estructurado sus flujos de datos para que los comerciantes transfieran datos a la filial irlandesa de Shopify en Europa. Por esa razón, las cláusulas contractuales estándar no son apropiadas, ya que están aprobadas para transferencias entre una parte europea y una parte no europea.

Además, con respecto a las transferencias directas a Shopify Inc., Shopify se basará en la decisión de adecuación de la Comisión Europea con respecto a la ley de privacidad de Canadá, que abarca a Shopify Inc. como empresa canadiense.

¿Estas listo(a) para comenzar a vender con Shopify?

Pruébala gratis