Adapte su tienda online paso a paso a la RGPD
En muchos de los casos la nueva normativa del Reglamento General de Protección de Datos (RGPD) suele ser poco clara en cuanto a los cambios que debemos realizar en nuestra tienda online. Por esta razón, el equipo de Sered ha querido realizar una guía con todas las adaptaciones tecnológicas que son necesarias hacer paso a paso para la nueva RGPD. En el siguiente artículo le estaremos explicando cómo deberá llevar a cabo este proceso y así adaptarse antes del 25 de mayo del presente año.
Lista con las adaptaciones tecnológicas necesarias a la RGPD para tiendas online
Eliminar cuenta de usuario
En nuestra tienda online debemos colocar la funcionalidad de que todo usuario pueda borrar su cuenta. Para esto, en la función “Mi cuenta” tendremos la facilidad de ofrecer una opción para que nuestros clientes puedan borrar su usuario de forma fácil. Utilizando esta opción, nuestros clientes podrán borrar todos sus datos desde pedidos, comentarios e información personal.
Pero debemos hacer énfasis en ciertos puntos. Hay ciertos datos que debemos mantener debido a temas de carácter fiscal. La eliminación de ellos podría perjudicar a nuestra empresa.
- Eliminar datos personales de nuestros clientes.
- Eliminar las direcciones de nuestros clientes.
- Anonimizar los comentarios de nuestros clientes como de productos y opiniones en general.
- Anonimizar todos aquellos pedidos y facturas que tengan más de cuatro años.
- Mantener aquellos pedidos y facturas que tengan menos de cuatro años.
- Eliminar o anonimizar el sistema de soporte.
- Eliminar el sistema de e-mail marketing.
Cuando nos referimos a anonimizar, queremos decir que todos los datos de nuestro usuarios pasen a ser de tipo anónimo. Teniéndolos de esta forma no perderemos su información o estadísticas que en el futuro podrá necesitar.
Se especificará la información legal y una opción para eliminar los datos de la cuenta. Por temas de seguridad se pedirá que confirme su contraseña, evitando así que personas indeseadas eliminen su cuenta. Si no quiere perder a sus clientes habituales les recomendamos utilizar algún tipo de cupón de descuento para que sus usuarios no eliminen su cuenta.
¿Qué debemos hacer con las copias de seguridad?
Lo ideal siempre será mantener nuestra base de datos separada de los IDs de usuarios que han decidido cerrar sus cuentas, con el fin de que si se lleva a cabo una restauración de esta base, no se vuelva a activar sus datos.
Si trabaja con terceros no debe olvidarse de notificarles que eliminará sus datos
Si elimina elementos de su tienda online es una cosa. No debe olvidar que también se encuentra en la obligación de informar a todos los terceros a los cuales en algún momento le ha enviado información almacenada en su sistema. Por esta razón, si en algún momento ha enviado sus datos personales a sus proveedores, deberá eliminarlos también. Tenemos como ejemplo:
- E-mail marketing: Mailrelay, Mailchimp, Activecampaing, entre otras.
- Chat de soporte como: Livezilla, Zoopim y otros.
- CRM/ERP.
- Soporte/sistema de tickets.
- Otro tipo de servicio que funciona en la Nube.
Si los proveedores ofrecen una API de integración, le recomendamos que lo automatice para que no se le pasen por alto.
¿Qué hay de los resultados de búsqueda en Google?
Echándole un vistazo a la ley, hemos podido observar que también debemos asegurarnos de que los datos no aparezcan en los resultados de búsqueda de Google. Este motor de búsqueda no tiene una API para ello, solamente se puede llevar a cabo un proceso manual de eliminación.
Por fortuna, nuestra tienda online nunca va a almacenar diferentes páginas de perfil que contengan datos personales. Éstas no son para nada rastreables en los eCommerce por Google al no ser de carácter público y necesitar algún tipo de identificación.
De igual forma, lo más sensato es hacer que la página que contenga datos de usuario devuelva un código de estado HTTP 404. De esta forma Google a desindexará esto de sus resultados en poco tiempo.
Edición de los datos de la cuenta de usuario
Siempre se debe ofrecer a sus clientes la opción de poder rectificar sus datos. Los usuarios deben tener la opción y la capacidad de poder corregir todos sus datos en caso de que quieran, inclusive si se trata de otras fuentes como el “Inicio de Sesión con Facebook”.
Nuestra recomendación es facilitar al usuario que tenga acceso a todos los campos necesarios y así puedan editarlos por medio de la interfaz de usuario.
En el caso de terceras empresas
Además del Derecho a Olvido, también es muy importante tomar en cuenta aquellos datos que han sido traspasados a terceras empresas. Esto se debe hacer mediante consentimiento del usuario. El titular o usuario de la cuenta debe tener acceso a la página donde pueda identificarse y así obtener acceso a todos sus datos para editarlos si así lo desea.
Exportar datos de usuario
También debe ofrecer la posibilidad desde la cuenta usuario, una opción para que sus clientes puedan exportar sus datos. Con ello estaremos cumpliendo con el Derecho a la Portabilidad. Al hacer clic en esta opción, el usuario tendrá acceso a una página donde podrá descargar absolutamente todos los datos que tenga almacenados.
¿Qué datos deben ser exportables para el cliente?
Le recomendamos facilitarle al usuario la exportación de los datos que les expondremos a continuación:
- Es obligatorio dejar que su usuario exporte datos personales.
- También es de carácter obligatorio exportar datos de facturas y direcciones de envío.
- Es recomendable exportar todo lo concerniente a pedidos realizados.
- También es recomendado exportar datos RMA.
- Por último, es de carácter opcional exportar datos como comentarios y opiniones.
¿En qué tipo de formato se debe permitir exportar los datos?
No tenemos un formato definido como tal, pero nuestra recomendación es llevar a cabo la exportación por medio de CSV/XLS de forma automática.
En ocasiones, llevar a cabo la exportación puede tomar mucho tiempo si tenemos una base de datos extensa. Para solucionar esto, puede colocar un botón que desencadene un proceso en segundo plano. Al finalizar la exportación se le estaría notificando por medio de correo electrónico que ya puede descargarse todos sus datos. Algunas compañías importantes como Facebook y Twitter ya están implementando esto.
Según lo que hemos interpretado de la ley, no va a ser necesario llevar a cabo la exportación automática, pero es lo mejor para evitar cualquier tipo de problemas. De igual forma, es bastante bueno contar con herramientas que le permitan a sus clientes pedir sus datos y que un administrador pueda ofrecerle estos en un plazo determinado.
¿Además de descargarlos hay que hacer algo más?
Según la interpretación que le hemos dado a la ley, es necesario que los usuarios por medio de la opción “Mi cuenta”, puedan observar todos sus datos personales. Esto es muy similar a la opción de “Exportar datos”. La gran diferencia es que sólo observarán sus datos en forma de resumen.
¿Qué datos de usuario está utilizando la tienda online?
El derecho al acceso ha sido bastante amplio y claro, pero puntualizando, debemos permitirle a nuestros clientes que puedan tener conocimiento de cuáles de sus datos han sido utilizados por la tienda online. También es necesario que conozcan con qué finalidad y que tipo de tratamiento se les está dando.
¿Qué datos deben ser consultados por el usuario?
Datos personales: Sería necesario un campo donde puedan editar sus datos, de esta forma podrían ser consultados.
Dirección de envío y facturación: La mayoría de los CMS ofrecen la función de observarlos y poder editarlos.
Opiniones de productos: Esta debe ser implementada para aquellos usuarios que hayan realizado opiniones acerca de productos.
Comentarios de clientes: Si tiene una tienda en donde se realizan comentarios generales, también podemos incorporarlo.
Lista de pedidos: Crear una lista de pedidos de nuestros clientes con sus respectivos detalles y facturas.
RMA: Si administra los RMA de manera automática donde guarda los datos de su cliente, también debe mostrárselo.
Para la consulta de estos datos, podemos hacer una diferenciación de dos cosas:
El cliente se encuentra registrado y posee acceso a su cuenta
Si el cliente ya se encuentra registrado en nuestra tienda online, podrá dirigirse a la opción “Mi cuenta”. Para solucionar esto, le proponemos:
Desde la opción de “Mi cuenta”, se debe mostrar absolutamente todos los datos que se almacenan del usuario en nuestra base de datos. Como mencionamos en los párrafos anteriores, si el usuario tiene acceso a editar estos datos, también tiene la opción de consultarlos.
También se debe hacer público en esta parte la política y términos que aceptó el cliente. Se debe colocar también fecha y hora de cuando fueron aceptadas.
Se debe especificar si aceptó el envío de boletines, si recuperó carritos olvidados, entre otras funciones. También se le debe ofrecer la posibilidad de eliminar estas opciones. No olvide colocar el día, fecha y hora de cuando aceptó toda esta información.
En el caso de terceros: ¿Qué datos debemos comunicar y a quién?
En el caso de que el usuario no esté registrado o no tiene acceso a su cuenta de usuario
Debemos facilitarle al usuario que pueda consultar todos sus datos ofrecidos así no se encuentre registrado en nuestra tienda virtual.
Dos soluciones viables:
Forma rápida: podemos colocar a disposición de nuestros usuarios un contacto para que se comunique con el responsable y este le pueda ofrecer más información.
Forma automática: se puede realizar esto a través de un sistema de acceso mediante e-mail. En el caso que dispongan de sus datos, se les enviará una dirección de enlace para que el usuario pueda acceder durante una cantidad de horas determinadas al sistema y pueda observar que datos tiene nuestra tienda virtual de forma segura.
Lo más recomendable siempre será automatizar todos los procesos. Esto le ayudará a ahorrar tiempo, dinero y evitará menos errores humanos. Todo queda en sus manos para elegir la solución que mejor se adapte a sus necesidades.
Restringir Datos
Según la ley, nuestros clientes o usuarios deben tener la posibilidad de restringir el procesamiento de todo tipo de datos para que éstos no sean visibles y tampoco se encuentren en uso. Esto es un poco similar a eliminar cuenta. Pero existe una diferencia ya que no se está eliminando su cuenta de usuario sino que se inhabilita de forma temporal. Cuando el usuario quiera volver a activarla, tendrá la posibilidad de hacerlo.
¿Cómo implementar la restricción de los datos?
La solución es la siguiente:
Desde la opción “Mi cuenta”, nuestros usuarios tendrán una opción al lado de la función “Eliminar cuenta” para poder “Desactivar” su cuenta de forma temporal. Esta función será muy similar a “Eliminar cuenta”, a través de una confirmación de contraseña e información mediante texto donde se le informará al usuario que será inhabilitada y restringida su información.
Es importante hacer énfasis detallado del nombre de usuario, colocando el día, mes, año y hora en la que se ha pedido que se inhabilite su cuenta.
En cuanto a su panel de administración, al momento de que el usuario lo active, será restringido el acceso a todos sus datos y colocados de forma anónima.
Lo único que no debe ser ocultado del usuario son todos sus pedidos y facturas que sean inferiores a cuatro años. Esto se hace para evitar problemas fiscales.
También, debemos aprovechar para implementar esta función en el panel de administración en nuestro listado de clientes. De esta forma si algún usuario hace el pedido por teléfono o e-mail, un administrador de nuestra tienda online podrá activarlo.
¿Cómo reactivar la cuenta?
Se le debe enviar un correo electrónico al usuario en donde se le indica qué día fue restringida su cuenta y que debe hacer para activarla. Tiene dos opciones:
Ingresando a su cuenta: podemos activar la cuenta de nuestro cliente enviándole un correo electrónico donde se le notifique que para volver a utilizarla tendrá que pulsar el botón que se le presenta a continuación. Debemos guardar la fecha y hora en la que ha sido activada su cuenta de nuevo.
Haciendo una solicitud por teléfono o e-mail: mediante esta opción un administrador de nuestra tienda virtual podrá activar la cuenta de nuestro cliente. Luego le tendrá que enviar un e-mail donde se le notifica que su cuenta volvió a ser activada.
¿En el caso de que haya olvidado su contraseña?
En todo caso podrá recuperar su contraseña mediante la opción ¿ha olvidado su contraseña?
Se debe tomar en cuenta que aunque los datos no son visibles en el panel de administrador, al realizar la consulta para iniciar una nueva contraseña esta función debe estar disponible para el usuario.
Aceptación de las diferentes Términos y Política de Privacidad
La casilla de verificación siempre debe ser colocada en todos los formularios de nuestra tienda online. En ellos podemos recabar la información del cliente.
En la actualidad ya no basta con sólo tener esta casilla, también se debe aplicar ciertas funciones que explicaremos a continuación:
Funciones que debemos incorporar
En primer lugar, debemos mostrar la información básica de todos los términos que el cliente debe aceptar sin tener que leerse el documento en su totalidad. En este formulario debemos colocar información como la siguiente:
Responsable: nombre de la persona
Finalidad: todo lo concerniente a la gestión del envío de información, moderación de comentarios y gestión de suscripciones.
Legitimación: consentimiento por parte del interesado.
Destinatarios: se debe comunicar los datos a la plataforma de e-mail marketing que utiliza para gestionar todas sus suscripciones de envío de boletines.
Derechos: Se debe colocar los derechos a acceder, suprimir y rectificar todos aquellos datos. También otros derechos que se colocan en información adicional.
Información de carácter adicional: también puede colocar un enlace que redirija al usuario a conocer más información adicional acerca de la Política de Privacidad y Protección.
Por medio de esto el usuario podrá observar de forma rápida y sin tener que leer todas las condiciones y términos que están aceptando al momento de rellenar el formulario. Esto se puede aplicar mediante un icono de ayuda. Al colocar el cursor encima del icono inmediatamente se abrirá una ventana emergente donde se colocará toda la información sin romper con la organización del formulario.
Si deseamos ampliar la información podemos colocar info. De esta forma el cliente podrá dirigirse a la página completa donde se observan todos los términos y condiciones de uso.
¿Qué más debemos hacer en la parte de aceptación de los términos?
No debemos dejar de lado también una parte que es muy importante. Debemos almacenar en nuestro registro un log que contenga los datos de nuestro cliente de fecha, los diferentes términos aceptados y la ip.
Lo más recomendable es guardar todo tipo de información que haya aceptado el usuario. Siempre se debe guardar los términos exactos a los cuales ha accedido. Lo mejor será crear una base de datos donde se guarde todo este tipo de contenido en forma de registro.
Tome en consideración lo siguiente:
Cuando utilizamos casillas de verificación, nunca debe estar preseleccionada por defecto. Jamás se debe emplear la previa autorización implícita.
No le dé vueltas a las frases como por ejemplo: “Deseo NO recibir boletines”.
¿Qué sucede con los que ya están registrados?
Imagínese que su base de datos se encuentra en pleno caos y que nada de lo que hemos explicado está aplicado. Por esta razón, puede que no tenga el consentimiento de ninguno de sus usuarios. Ahora le vamos a explicar lo siguiente.
En cuanto a las páginas para términos de uso y políticas de privacidad, debemos establecer diferentes versiones que a la vez se vayan sumando a medida que se van modificando.
Asignemos a los clientes aquella versión que aceptaron en el nuevo formulario de registro.
En la función de “Mi cuenta”, si el cliente no ha procedido a aceptar los términos de política de privacidad o a los que accedió son inferiores, debemos mostrarle un mensaje indicando que se ha actualizado nuestros términos. Para poder continuar tendrá que aceptarlos.
Debemos preparar un sistema que nos facilite enviar un correo electrónico a nuestros clientes que no han aceptado los términos y condiciones. Se debe diferenciar claramente los clientes que están registrados y aquellos que han sido suscritos a los boletines.
Mediante este nuevo correo electrónico tendremos que solicitar y almacenar el consentimiento por medio del envío a todos nuestros usuarios que están suscritos a los boletines. De esta forma podrán aceptar los términos. Algo parecido hace Google.
Los usuarios que no den su consentimiento y los que no tengamos con exactitud su fecha, hora e ip, deberán ser inmediatamente dados de baja de los boletines y todo tipo de comunicación comercial. De esta forma estaremos evitando problemas.
Lo más recomendable es preparar nuestro panel de control con esta opción, de esta forma será mucho más dinámica con el pasar de los años.
Verificación de edad
Por medio de la nueva normativa se indica que debemos solicitar en el formulario de ingreso la edad y fecha de nacimiento del cliente. Si éste es menor de 16 años, no podrá tener acceso a una cuenta de usuario sin la autorización de sus padres.
En la actualidad, el porcentaje que compra en tiendas online con menos de 16 años es bajo. Es por ello que si no queremos tener un problema al respecto, le ofrecemos las recomendaciones siguientes:
Lightbox al momento de registrarse
Esto es lo más básico, podemos mostrar una ventana flotante que diga ¿Eres mayor de 16 años? Si coloca la opción “Sí” dejamos que pueda registrarse sin problemas. En caso de que seleccione la opción “No” le enviaremos una página donde se le explican las razones legales.
Solicitud de fecha de nacimiento al momento de registrarse
Al momento de que nuestros clientes se registren podemos pedir que coloquen su fecha de nacimiento y por medio de allí comprobar si son menores de 16 años. De no cumplir con la edad necesaria, se le mostrará un error con la normativa de la RGPD.
Al tener la información del usuario con respecto su fecha de nacimiento, también podrá utilizarla para enviarle cupones de descuento y otras cosas.
¿Qué sucede si la edad es falsa?
Evidentemente siempre hay personas que falsean su edad. De igual forma estaremos cubiertos al momento de colocar todo como lo contempla el debido proceso. En este caso no somos los que han introducido los datos sino el usuario.
Mantener información mayor tiempo de lo que necesitamos
Por lo general, siempre recopilamos una gran cantidad de información de nuestros usuarios, ya sea para enviarles un pedido, entre otras cosas. Luego de un tiempo, suele suceder que algunos datos que han sido almacenados ya no sean necesarios.
En muchas tiendas online se ofrece la opción de comprar sin registrarse, en este momento el consentimiento ya va dirigido al momento en el que el particular hace el pedido. De esta forma la tarea es mucho más sencilla y sólo debemos controlar los diferentes pedidos en el período fiscal.
De igual forma, la mayoría de las páginas siempre permiten el registro.
¿Qué debo hacer para no mantener la información del usuario?
Se puede realizar un sistema configurable por nuestros usuarios. En el panel de administrador, nuestros clientes podrán manejar el tiempo por el que quieren que se guarden los datos en nuestra tienda online. Todo esto es completamente configurable por él.
También se debe crear una tarea predefinida en el servidor, de esta forma nuestra tienda revisará todos los datos en las madrugadas. Este es el mejor momento y el más indicado para procesar diferentes registros de datos. Por medio de ello, se procederá a la eliminación automática de aquellas cuentas que se encuentran inactivas por un largo periodo de tiempo. Las cuentas podrán ser eliminadas según el tiempo establecido que usted desee implementar.
En otros casos, se le puede notificar al usuario con una antelación de 7 a 15 días indicándole que su cuenta será eliminada por inactividad. Estos datos se perderían siendo irrecuperables. Si el cliente desea cancelar el proceso, se le coloca un enlace en donde se puede identificar y mantener su historial. Así evitaremos eliminar algunos usuarios que se encuentran inactivos y también hasta rescatarlos.
¿Cuánto tiempo se puede mantener los datos de un cliente inactivo?
La ley no establece un plazo definido, sólo atiende a que los datos deberán ser eliminados si ya ha concluido la finalidad con la que estos fueron adquiridos. Siempre se debe tomar en cuenta que el tiempo vendrá a ser condicionado dependiendo del tipo de datos que tengamos del usuario y dependiendo también del tipo de servicio que estamos prestando.
Este punto es un poco más complicado de explicar debido a que son servicios digitales. En el caso de ser compras en tiendas online, se establecerá un plazo de un año. Esto puede ser fácilmente configurable por el administrador de la tienda.
No olvide que deben quedar exentos todos aquellos datos fiscales y facturas menores a cuatro años.
En cuanto a las Cookies
En cuanto a las cookies, no cambia nada. El único punto a considerar es que deben ser aceptadas.
¿Qué tipos de recomendaciones técnicas opcionales debo tomar en cuenta de cara a la RGPD?
Las medidas de las que estaremos hablando a continuación no son obligatorias. Éstas deben ser consideradas al momento de adaptar una política que proteja los datos personales de nuestros usuarios y que nos ayude a evitar grandes problemas.
Estas medidas que ofrecemos a continuación son necesarias y deben ser adoptadas por toda aquella empresa que ofrezca servicios digitales. Con ellos nos referimos a la figura del DPO. (Esta es una figura que interviene en diferentes procesos legales garantizando el debido cumplimiento de la normativa en cualquier tipo de proceso tecnológico o empresarial). Esta se encuentra destinada para aquellas grandes empresas que se dedican a procesos de big data a multinivel y que puedan llegar a instancias comprometedoras al no haber hecho un análisis correcto de riesgo.
Esto es mayormente conocido en la actualidad como planes de contingencia. Son buenos hábitos y protocolos que han sido destinados a prevenir conflictos que coloque en riesgo el cumplimiento de la RGPD e incluso a nuestro propio negocio. Nosotros hacemos esta recomendación de forma obligatoria para que evite problemas a futuro.
Integrar SSL
Hasta el día de hoy seguimos implementando tiendas y webs que no tienen certificado SSL. Sólo deberá integrarlo y tenerlo de por vida. Puede adquirir alguno pago o gratuito como Lets Encrypt.
- Integrar la SSL nos encripta la navegación de los datos.
- Cifra los diferentes datos enviados.
- Google muestra si la página es segura o no.
- Chrome visualizará en la barra de estado si es seguro o no el sitio.
- Google Adwords no deja realizar campañas de Google Shopping sin SSL.
- PayPal y Redsys le darán problemas si no tiene SSL integrado.
- Actúa de mejora para nuestro posicionamiento SEO.
Cifrar aquellos datos que están en reposo
Cuando hablamos de datos en reposo, nos referimos a aquellos datos personales de usuarios que se encuentran en nuestra base de datos. Si éstos no se están utilizando lo mejor es encriptarlos. Lo mejor es llevar a cabo un proceso de encriptado por medio de algún tipo de cifrado y descifrarlos cuando los requiera el programa.
Esto es un proceso completamente reversible, o sino no tendría alguna lógica.
¿Cómo se puede llevar a cabo un cifrado de los datos de nuestros usuarios?
Lo mejor forma de llevar a cabo este proceso es mediante canales no autorizados. Así estaremos evitando la explotación de datos. Sólo deberá encriptar irreversiblemente los datos de sus clientes de forma directa en su base de datos.
Lo más recomendable es colocar claves privadas y públicas específicas. Para realizar esto, deberá obtener un cifrado que posea una clave compartida para su solución. En el caso de PHP es opnssl.
Debemos generar una variable $key y otra $password. Estas se almacenarán en un archivo completamente protegido y al que sólo se tendrá acceso por medio de la solución de comercio electrónico, encriptando“aes-256-cbc”.
Ahora les mostraremos un claro ejemplo de cómo encriptar y desencriptar en PHP con openssl:
Para ello, deberemos de generar una variable $key y un $password que almacenaremos en un archivo protegido al que solo se pueda acceder desde la solución de comercio electrónico, encriptándo en un método “aes-256-cbc”.
A continuación ejemplo básico para encriptar y desencriptar con openssl en PHP:
¿Qué ocurre con las copias de seguridad de nuestra base de datos de la tienda online?
Estos datos se encuentran en reposo y las copias de seguridad deberán ser cifradas también. En el caso de que lleguen a saquearnos, con tal de que nuestra tienda tenga un backup tendremos toda nuestra información a salvo. Sólo debe descargarla y restaurarla por medio de una base de datos MySQL.
Por este tipo de cosas recomendamos cifrar nuestras copias de seguridad. Si tiene una herramienta que se encuentre preparada para encriptarlas y desencriptarlas será el complemento perfecto. Es importante que nunca pierda sus claves de encriptación.
Servidor de desarrollo dedicado para tiendas virtuales y datos de clientes
Esto suele ser una práctica habitual, siempre trabajar en un entorno de desarrollo. Pero siempre nos hemos preguntado ¿qué sucede con los datos de nuestros clientes?. La respuesta es que montamos una copia de seguridad tal cual. Éstos son datos que se pueden considerar como en reposo. También, imagine que por error envía un correo electrónico desde el servidor de desarrollo a los diferentes clientes.
Para evitar que esto ocurra, puede volver anónimo todos los datos. Lo mejor sería realizar un script que eliminará cualquier tipo de información relevante de los clientes. También puede que los cambie por algunos array que tengamos a disposición con nombres, e-mails y direcciones domiciliarias.
Así también, podemos evitar almacenar ciertos datos reales en un entorno dedicado al desarrollo.
Registro de datos personales
Según la nueva normativa, debemos llevar un registro de cada operación de datos personales que se lleva a cabo. Esto es con la finalidad de saber quién accedió a ellos y con qué fin. Lo mejor para ello es crear un LOG donde se registre toda esta información que tienen en sus manos los administradores de la tienda online desde un panel de control.
Por lo mínimo se debe controlar los siguientes espacios:
- Lista de clientes.
- Búsquedas realizadas en la lista de clientes.
- Ficha de los diferentes clientes.
- Lista con pedidos.
- Detalles de los diferentes pedidos.
- Edición de los pedidos.
- Lista de facturas.
Entre otras cosas.
Mediante esta acción estaremos teniendo un control de todo lo que se está realizando. Inclusive podemos saber fechas y horas concretas.
Verifique su tienda online y las diferentes opciones que le puede ofrecer a sus administradores para poder crear un log de registro completo. Esto suele ser de gran utilidad al momento que procuremos llevar a cabo una inspección.
Utilización de API
Si está utilizando alguna API en su tienda online o utiliza alguna de un tercero, nunca deberá permitir que los anónimos tengan acceso a consultas de diferentes datos personales. Lo más recomendable es mantenerla siempre segura por medio de un token para cada uno de los usuarios.
Además, siempre será necesario llevar un registro del procesamiento de datos que realizan los diferentes usuarios.
Malos hábitos que realizan algunas tiendas online y que no debe realizar
Hoy en día es muy normal conseguir diferentes tiendas online que realizan malos hábitos. Además, muchas personas creen que esto es lo correcto. A continuación iremos nombrando algunos de los peores errores que encontraremos hoy en día en cualquiera de estas páginas.
No utilizar información para fines a los que el usuario no haya accedido: en el caso de que desee manejar los datos para algún tipo de aprendizaje de forma automática. Si decide insertar anuncios en algún sitio según el tipo de comportamiento de sus clientes, o por otra parte, vender la base de datos a un tercero.
Acceder a ciertas cosas en términos implícitos o suscripciones a diferentes boletines: como mencionamos anteriormente, no debe darle vueltas a las frases. Debemos hacer las cosas de la mejor manera posible para que el usuario esté claro de las condiciones a las cuales están accediendo.
Suscripción por defecto a varios clientes: Esto suele ser muy molesto. Muchas páginas hacen que el usuario se suscriba a boletines por defecto.
No se debe colocar campos en el formulario de registro que no son necesarios: Algunas páginas implementan el método de colocar una gran cantidad de campos. Por ello no debe olvidar que sólo es preciso pedir la información que de verdad requiere su página.
No dé por hecho una compatibilidad con terceros: solo usted como administrador de su tienda online es responsable de cualquier tipo de violación. Es por ello que si va a enviar datos por medio de una API a otro servicio, siempre debe asegurarse de obtener la protección de datos. Aunque sea en un nivel básico.
Es esperamos haber sido de gran ayuda con este artículo. Ahora comience a hacer sus adaptaciones tecnológicas de cara a la RGPD. Si quiere conocer más información puede dirigirse a nuestro blog.