El RGPD para pequeñas tiendas online: la versión en lenguaje claro
Si gestionas una pequeña tienda online en el Reino Unido, casi con toda seguridad eres un responsable del tratamiento (data controller) bajo el RGPD del Reino Unido, y la tarea práctica es más simple de lo que parece: saber qué datos personales manejas, tener una razón legal para manejarlos, decirles a los clientes qué haces con ellos, mantenerlos seguros y respetar sus derechos cuando lo pidan. Ese es todo el asunto en una frase. El resto de esta guía desglosa cada parte en lenguaje claro, usando la terminología que realmente emplean GOV.UK y la Oficina del Comisionado de Información (ICO), para que puedas cumplir sin tener que vadear la legislación.
Una nota rápida e importante antes de empezar: esto es información general, no asesoramiento jurídico. La protección de datos está regulada y los detalles de tus obligaciones dependen de tu negocio concreto. Cuando necesites certeza, consulta la guía de la ICO en ico.org.uk o habla con un profesional. Dicho esto, vamos a desmitificarlo.
Qué significa realmente el «RGPD» en el Reino Unido ahora
Desde el Brexit, el Reino Unido gestiona su propia versión llamada RGPD del Reino Unido, que convive con la Ley de Protección de Datos de 2018. Para una pequeña tienda, las reglas prácticas son en general las mismas que el régimen de la UE del que quizá hayas oído hablar. Importan dos roles:
Responsable del tratamiento (data controller): tú decides por qué y cómo se usan los datos personales. Si gestionas la tienda, eres tú. Cargas con la responsabilidad legal.
Encargado del tratamiento (data processor): una empresa que maneja datos en tu nombre siguiendo tus instrucciones, como tu proveedor de pagos, tu herramienta de correo o la plataforma de tu tienda. Tienen sus propias obligaciones, pero no eliminan las tuyas.
Esta distinción importa para cómo hablas de tus herramientas. Tu plataforma de ecommerce, tu cuenta de Stripe, tu servicio de newsletter: son encargados que actúan por ti. Proporcionan una infraestructura segura, pero tú sigues siendo el responsable que tiene que tener una política de privacidad, responder a las solicitudes de los clientes y tomar las decisiones de criterio. Ninguna plataforma «se ocupa del RGPD por ti» de principio a fin, y deberías desconfiar de cualquiera que lo afirme.
Paso uno: saber qué datos personales manejas
Los datos personales son cualquier información que identifica a una persona viva. En una tienda online típica eso es más de lo que pensarías:
Nombres, direcciones de entrega y facturación, direcciones de correo y números de teléfono
Historial de pedidos y lo que alguien compró
Contraseñas de cuenta (con hash, esperemos) y registros de inicio de sesión
Direcciones IP, identificadores de cookies y datos de analítica
Correos de atención al cliente y cualquier nota que guardes sobre las personas
Suscriptores de la newsletter y preferencias de marketing
Los números de tarjeta son un caso especial: si aceptas pagos a través de Stripe o PayPal, los datos sensibles de la tarjeta los manejan ellos, no se almacenan en tu tienda, lo que te mantiene por completo fuera de la parte más arriesgada de los datos de pago. Ese es un beneficio genuino de usar un encargado consolidado en lugar de montar tu propio checkout.
El ejercicio práctico es dedicar veinte minutos a anotar cada lugar donde viven los datos de los clientes: la base de datos de tu tienda, tu bandeja de entrada de correo, tu herramienta de marketing, tu hoja de cálculo de contactos mayoristas. No puedes proteger ni gestionar datos que has olvidado que tienes.
Paso dos: tener una base legal para usarlos
El RGPD del Reino Unido dice que necesitas una razón válida —una «base legal»— para cada cosa que hagas con los datos personales. Hay seis, pero las pequeñas tiendas se apoyan sobre todo en tres:
Contrato: necesitas el nombre y la dirección de alguien para tramitar el pedido que ha hecho. No se requiere un consentimiento aparte; no puedes enviar un paquete a ninguna parte.
Obligación legal: debes conservar ciertos registros de transacciones para Hacienda (HMRC) y a efectos fiscales, así que se te permite retener los datos de pedidos durante el tiempo que exija la ley.
Consentimiento: para cosas que el cliente no ha pedido, principalmente los correos de marketing. El consentimiento debe ser una acción clara de aceptación (una casilla premarcada no cuenta), y debe ser tan fácil de retirar como lo fue de dar.
El error a evitar es meterlo todo bajo el «consentimiento». No necesitas consentimiento para enviar una confirmación de pedido: eso es parte del contrato. Sí lo necesitas, en la mayoría de los casos, para añadir a un comprador a tu newsletter. Mantener eso separado es a la vez más conforme y más honesto.
Paso tres: redactar una política de privacidad que de verdad se pueda leer
Toda tienda necesita una política de privacidad, y debería ser lo bastante clara como para que un cliente pudiera entenderla. Como mínimo, explica:
Quién eres y cómo contactarte
Qué datos personales recopilas y por qué
Tu base legal para cada uso
Con quién los compartes (proveedor de pagos, mensajería, herramienta de correo)
Durante cuánto tiempo los conservas
Los derechos del cliente y cómo ejercerlos
Que pueden reclamar ante la ICO
La ICO publica una plantilla gratuita y una lista de comprobación para pequeñas empresas que la mayoría de las tiendas pueden adaptar en una tarde. Enlaza la política en tu pie de página y en el checkout. La protección de datos vive puerta con puerta con la transparencia con el consumidor en general: el mismo instinto que te hace ser claro sobre devoluciones y entregas bajo la ley de derechos del consumidor del Reino Unido y las normas de venta a distancia es exactamente el instinto que quieres aquí.
Paso cuatro: acertar con el consentimiento de cookies
Las cookies se rigen por la PECR (las Normas de Privacidad y Comunicaciones Electrónicas) trabajando junto al RGPD del Reino Unido, y hacen tropezar a muchas tiendas. La regla general:
Las cookies estrictamente necesarias —la cesta, el inicio de sesión, la seguridad— pueden ejecutarse sin consentimiento porque el sitio literalmente no funcionará sin ellas.
Todo lo demás —analítica, píxeles de publicidad, rastreadores de marketing— necesita el consentimiento del visitante antes de activarse. Eso significa un banner que permita a la gente aceptar o rechazar las cookies no esenciales, siendo rechazar tan fácil como aceptar.
Si le has añadido a tu tienda un píxel de Facebook y Google Analytics, esos necesitan consentimiento. Un banner que solo dice «al usar este sitio aceptas las cookies» no es un consentimiento válido según la guía actual de la ICO. Usa una herramienta de consentimiento adecuada que bloquee los scripts no esenciales hasta que el visitante acepte.
Paso cinco: conservar solo lo que necesitas
Dos principios cargan con gran parte del peso: la minimización de datos (recopila solo lo que realmente necesitas) y la limitación del plazo de conservación (no los guardes para siempre). No necesitas la fecha de nacimiento de un cliente para venderle una vela. No necesitas conservar los datos de una cuenta inactiva durante una década. Establece plazos de conservación sensatos: por ejemplo, conserva los registros de pedidos mientras lo exija la ley fiscal, y luego elimina o anonimiza el resto. Menos datos guardados es menos datos que asegurar, menos que filtrar y menos que entregar cuando alguien pide una copia.
Paso seis: respetar los derechos del cliente
Los clientes tienen derechos sobre sus datos, y las pequeñas tiendas deben responder, normalmente en el plazo de un mes y por lo general de forma gratuita. Los que realmente verás:
Derecho de acceso: alguien puede pedir una copia de los datos que tienes sobre él (una «solicitud de acceso del interesado»).
Derecho de supresión: el «derecho al olvido». Debes eliminar sus datos a menos que tengas una razón legal para conservarlos, como registros fiscales vinculados a un pedido real.
Derecho de rectificación: corregir datos inexactos.
Derecho de oposición: principalmente, darse de baja del marketing, algo que debes respetar de inmediato.
No necesitas un sistema sofisticado para esto. Necesitas saber dónde están los datos (ver el paso uno) para que, cuando llegue una solicitud, puedas encontrarlos, exportarlos o eliminarlos sin un pánico de dos semanas.
Paso siete: mantener los datos seguros
El RGPD del Reino Unido exige una seguridad «apropiada», ajustada a tu tamaño y riesgo. Para una pequeña tienda eso significa lo básico sensato: HTTPS en todo el sitio, contraseñas fuertes y únicas y autenticación de dos factores en tus cuentas de administración, limitar quién de tu equipo puede ver los datos de los clientes y usar encargados de confianza en lugar de plugins dudosos. Aquí es donde la elección de tu plataforma ayuda de verdad. Una tienda alojada te da SSL, alojamiento gestionado y un flujo de pago donde los datos de la tarjeta nunca tocan tus servidores: infraestructura que de otro modo tendrías que construir y mantener tú mismo. Eso reduce tu superficie de riesgo, pero no sustituye a tus propios buenos hábitos, como no andar enviando por correo hojas de cálculo con datos de clientes.
Brechas: qué hacer si algo sale mal
Una brecha de datos personales es cualquier incidente de seguridad que expone datos personales: una cuenta hackeada, una exportación mal dirigida, un portátil perdido. Si es probable que una brecha ponga en riesgo los derechos y libertades de las personas, debes notificarla a la ICO en un plazo de 72 horas desde que tienes conocimiento de ella, e informar a los clientes afectados si el riesgo es alto. No todo pequeño desliz necesita notificarse, pero debes registrar internamente todas las brechas de todos modos. La preparación práctica es simple: saber quién decide, saber que existe el reloj de las 72 horas y tener guardada como marcador la página de notificación de brechas de la ICO.
El registro y la tasa de la ICO
La mayoría de las empresas que tratan datos personales deben registrarse ante la ICO y pagar la tasa anual de protección de datos. Para la gran mayoría de las pequeñas tiendas esto está en el tramo más bajo —una cantidad anual modesta, no una que dé miedo— y pagarla es un requisito legal, no un extra opcional. Consulta la tasa actual y tu tramo directamente en la web de la ICO, ya que las cifras las fija la ICO y pueden cambiar. Registrarse también le indica a los clientes que te tomas en serio sus datos.
Dónde encaja tu plataforma (y dónde no)
Aquí está el límite honesto. Una plataforma moderna como Dirora te da las herramientas para gestionar una tienda de forma responsable: pagos seguros a través de Stripe y PayPal para que los datos de la tarjeta se queden con el encargado, SSL y dominios personalizados de serie, y tus propios datos de clientes bajo tu control en lugar de dispersos por apps adicionales. Lo que no hace es tomar las decisiones de criterio jurídico por ti: tú eres el responsable del tratamiento, tú decides tus bases legales, tú redactas la política de privacidad, tú respondes a las solicitudes de acceso y tú te registras ante la ICO. Cualquier herramienta no es más que un encargado que te ayuda a cumplir unas obligaciones que siguen siendo tuyas.
Una buena práctica de datos también es un buen negocio. La confianza que construyes tratando los datos con cuidado es la misma confianza que convierte a los compradores primerizos en habituales, que es exactamente el tema de nuestra guía de estrategias de retención de clientes. El cumplimiento y la fidelidad tiran en la misma dirección: trata la información de las personas con respeto y volverán.
Preguntas frecuentes
¿Se aplica el RGPD a una tienda online diminuta de una sola persona?
Sí. El RGPD del Reino Unido se aplica a cualquier empresa que trate datos personales, independientemente de su tamaño. No hay exención por ser pequeña o nueva. Para una pequeña tienda, el cumplimiento es sobre todo un puñado de hábitos sensatos más que un proyecto enorme.
¿Necesito registrarme ante la ICO y pagar una tasa?
La mayoría de las tiendas online que manejan datos de clientes deben registrarse ante la ICO y pagar la tasa anual de protección de datos, que para las pequeñas empresas está en el tramo más bajo. Consulta tu tramo exacto y la cantidad actual en la web de la ICO, ya que las tasas las fija la ICO.
¿Necesito consentimiento de cookies si solo uso Google Analytics?
Sí. Las cookies de analítica son no esenciales, así que necesitan consentimiento antes de ejecutarse. Necesitas un banner de cookies que permita a los visitantes rechazar las cookies no esenciales con la misma facilidad con que pueden aceptarlas, y debería bloquear esos scripts hasta que el visitante acepte.
¿Cuál es la diferencia entre un responsable del tratamiento y un encargado?
Tú, el propietario de la tienda, eres el responsable del tratamiento: tú decides por qué y cómo se usan los datos de los clientes y cargas con la responsabilidad legal. Tus herramientas, como tu proveedor de pagos y la plataforma de tu tienda, son encargados que actúan siguiendo tus instrucciones. Usarlas no elimina tus obligaciones.
¿Qué debo hacer si tengo una brecha de datos?
Regístrala internamente y, si es probable que ponga en riesgo los derechos de las personas, notifícala a la ICO en un plazo de 72 horas desde que tengas conocimiento de ella. Informa a los clientes afectados si el riesgo para ellos es alto. No todo incidente menor necesita notificarse, pero debes documentar todas las brechas de cualquier forma.