| |
|
|
Recomanacions de la AGPD al Sector del Comerç Electrònic per a l'Adequació a la LOPD, Espanya. |
|
Durant els mesos de setembre, octubre i novembre de 2000, l'Agència de Protecció de Dades va portar a terme una inspecció sectorial l'objectiu de la qual era determinar si les entitats que actualment desenvolupen la seva activitat comercial a través d'Internet compleixen amb els principis de la legislació vigent en matèria de protecció de dades, així com coadjuvar al compliment de la mateixa, a l'efecte de la qual el Pla d'Inspecció culmina amb les pertinents Recomanacions, en les quals es recullen els criteris que han de seguir les entitats inspeccionades per al millor compliment de la Llei Orgànica 15/1999, de 13 de Desembre, de Protecció de Dades de Caràcter Personal (LOPD).
En el transcurs d'aquesta inspecció es van analitzar dues de les modalitats de comerç electrònic en les quals el ciutadà té una clara participació: la qual s'establix entre empresa i consumidor (B2C) i la venda directa entre consumidors (C2C). Per altra banda, l'anàlisi es va circumscriure a les entitats que comercian a través de la Xarxa, deixant de moment a un costat a aquelles altres que tan sols disposen de portals generalistas entre els serveis dels quals no s'oferix l'adquisició on-line de productes o serveis, a pesar que també aquestes companyies recapten gran quantitat de dades sobre els usuaris que decideixen registrar-se. En aquest sentit, només es van incloure en la nostra anàlisi alguns portals que sí realitzaven activitats de comerç electrònic. Les conclusions abocades aquí, per tant, s'han obtingut com resultat de les actuacions d'inspecció practicades en les denominades botigues virtuals, entenent com a tals les webs que permeten a l'usuari la compra, directa o indirectament, d'un producte o servei, de forma tal que la transacció comercial (llevat de el lliurament del bé adquirit) quedi tancada on-line.
- Grans centres comercials: versió electrònica d'alguns grans centres comercials (híper, súper).
- Botigues especialitzades en la venda de determinats productes i serveis: llibres, música, cinema, begudes alcohòliques, viatges, oci, cosmètica, informàtica o telecomunicacions.
- Intermediaris comercials: webs que no són botigues pròpiament aquestes però des de les quals l'usuari pot seleccionar la botiga virtual que més s'adequa a les seves necessitats (cercadors de botigues) i també aquelles altres webs des de les quals els usuaris compren i venen els seus propis productes seguint la modalitat de subasta.
En la totalitat de les webs analitzades es va poder determinar el nom de la companyia que havia registrat el domini corresponent en Internet, verificant-se per contra que no sempre s'informava des de la pròpia web del nom del responsable del fitxer en el qual s'incorporen les dades personals recaptats. En aquest sentit, es va comprovar també que en 12 de les 44 webs analitzades (27%) no es feia cap referència a la informació que establix l'apartat 1 de l'article 5 de la LOPD , mentre que en la resta sí s'incloïa un text amb el qual es pretén cobrir en millor o pitjor amidada aquest requisit legal.
També es va verificar que, a la data de la inspecció, els responsables de 16 de les 44 webs analitzades (36%) no figuraven encara inscrits en el Registre General de Protecció de Dades, quan en la pràctica totalitat dels casos resultava evident que recaptaven dades personals des de les citades webs Es va comprovar que, en la major part dels casos, els usuaris han de registrar-se amb caràcter previ a la realització de l'oportuna comanda, facilitant per a això les seves dades identificatives (nom complet, adreça postal, adreça electrònica, nombre de telèfon) i, en ocasions, edat o data de naixença, nombre de D.N.I. Una vegada registrat, l'usuari disposa d'un codi que li permetrà identificar-se (generalment coincident amb la seva adreça electrònica) i una contrasenya per a autenticar la seva identitat. D'aquesta forma, al realitzar cada comanda només haurà d'identificar-se, sense necessitat de facilitar en cada ocasió les seves dades personals. Generalment, totes les compres realitzades a través de la web quedaran associades a l'identificador d'usuari seleccionat. Per altra banda, si l'usuari decideix realitzar el pagament mitjançant la seva targeta de crèdit/dèbit, cada vegada que realitza una compra ha de també facilitar el codi identificatiu de la mateixa (16 dígits) i la seva data de caducitat.
En matèria de seguretat, de les 44 webs analitzades només 24 (54%) utilitzaven el protocol HTTPS (SSL) per a establir un canal segur de comunicació entre el servidor i l'usuari per a l'enviament de les seves dades personals. Així, les dades s'envien xifrats al servidor, de tal forma que, àdhuc en el cas que la línia fos escoltada per tercers no autoritzats, aquests no podrien accedir a les dades de forma intel·ligible. En general, el canal segur només s'establix per a la recollida de les dades associades a la comanda realitzada, entre els quals pot figurar, com ja s'ha comentat, el codi identificatiu de la targeta de pagament. No obstant això, algunes webs també estableixen un canal segur per a la recollida de les dades facilitades per l'usuari en el moment de registrar-se.
Llegir article complet |
|
