Reglamento General de Protección de Datos (GDPR) y Ventas en línea Square
Si realizas negocios en línea con individuos ubicados en el Reino Unido (RU) y/o la Unión Europea (UE), o recopilas cualquier tipo de información personal acerca de ellos en línea, es probable que debas cumplir con el Reglamento General de Protección de Datos (GDPR) y la Directiva de Privacidad electrónica. Obtén más información sobre GDPR y consentimiento de cookies para la UE.
A modo de ayuda, en este artículo incluimos recursos para que utilices.
GDPR es el acrónimo en inglés del Reglamento de Protección de Datos Generales, una ley de la UE que estandariza las leyes de privacidad de datos en toda la UE.
El GDPR aplica al procesamiento de datos personales de residentes de la UE. No aplica a los datos de negocios u otras entidades legales; no obstante, aplicará a los datos que los negocios o entidades legales retengan y que estén relacionados a individuos (p. ej., cuando un negocio retiene información sobre sus empleados o clientes).
El GDPR solo aplica a comercios de Square que gestionan datos de residentes de la UE. Si su negocio funciona fuera de la UE, es probable que no se le solicite tomar ninguna medida con respecto al GDPR, a menos que proporcione servicios o envíe productos a clientes en la UE (independientemente de si se requiere el pago de los clientes).
De acuerdo con el GDPR, los datos personales remiten a cualquier información que identifique a un individuo residente de la UE o datos que, cuando se presentan juntos, pueden identificar a esa persona. Podría ser el nombre de alguien, su número de teléfono o dirección de correo electrónico. También podría ser información sobre un rasgo físico o el lugar laboral de la persona. Casi cualquier dato relacionado a un individuo que ayude a identificarlo se considera un dato personal. Recomendamos que se familiarizarse con los datos personales que pueda recolectar o tener asociados a sus clientes y empleados.
El GDPR también designa ciertos tipos de datos personales como categorías especiales que requieren mayor protección debido a su naturaleza confidencial. Esto incluye datos personales que revelan lo siguiente:
- origen racial o étnico
- opiniones políticas
- creencias religiosas o filosóficas
- pertenencia a sindicatos
- datos genéticos
- datos biométricos
- datos respecto a la salud
- datos referentes a la vida u orientación sexual de un individuo
Con respecto a su sitio web, los datos personales, según el GDPR, incluyen cualquier información sobre una persona identificada o identificable que pueda recolectarse de forma directa o indirecta a través de su sitio web. Algunos datos que se pueden obtener de forma directa (por ejemplo, a través de un formulario de contacto) son el nombre, la dirección, la dirección de correo electrónico o el nombre de usuario de una persona. Entre los datos personales que pueden transmitirse de forma indirecta, se incluye información como la dirección IP de un usuario o la información almacenada en una cookie del navegador.
Por lo general, cualquier negocio de la UE que procesa datos personales debe cumplir con el GDPR, al igual que cualquier otro negocio ubicado fuera de la UE que ofrece bienes o servicios a residentes de la UE en la UE.
Nota: No podemos brindarle asesoramiento legal para confirmar con certeza si el GDPR aplica en su caso. Considere consultar con un abogado o ente regulador del GDPR en caso de que tenga preguntas adicionales sobre las obligaciones de su negocio según el GDPR.
El GDPR otorga a las personas en la UE un mayor control sobre sus datos personales y una serie de derechos respecto a cómo se procesan, almacenan y accede a esos datos. La lista que aparece a continuación contempla situaciones que usted, como propietario de un sitio web, es más probable que experimente. Pero también debe revisar cuidadosamente la lista completa de derechos de los interesados del GDPR.
- Derecho al olvido: una persona puede solicitar ser “olvidado”; es decir, que se eliminen todos los datos personales de esa persona que usted posee. Si se le solicita hacer esto, deberá eliminar cualquier dato personal que haya recolectado del solicitante. También deberá ponerse en contacto con terceros que procesan datos personales en su nombre. Para asegurarse de que cualquier dato personal que posea Square sea eliminado de manera oportuna, puede enviarnos una solicitud a nuestro Centro de Atención al Cliente e informarnos que desea que se “olviden” sus datos.
- Portabilidad de datos: según el GDPR, una persona ubicada en la UE puede solicitarle que le envíe cualquier dato personal que tenga en su poder. En este caso, deberá proporcionar al solicitante cualquier dato personal que tenga en formato legible por máquina de uso común. Para obtener algún dato personal almacenado por nuestra propia cuenta, deberá ponerse en contacto con Square.
- Acceso: cualquier persona interesada puede solicitar a la que controla su información que confirme cómo y dónde se almacenan y procesan sus datos personales. La persona interesada también tiene derecho a saber cómo se comparten esos datos con terceros.
- Rectificación: el interesado tendrá derecho a obtener sin demoras, de la persona que controla su información, la rectificación de los datos personales inexactos que le conciernan.
Nota: Si un usuario le solicita hacer uso de cualquiera de los derechos mencionados anteriormente, tendrá 30 días para hacerlo. Puede comunicarse con el Centro de Atención al Cliente de Square si necesita asistencia.
Además de responder rápidamente a las solicitudes de los interesados de la UE como se describe anteriormente, hay medidas que puede y debe tomar para ayudar a garantizar el cumplimiento. A continuación le ofrecemos algunas sugerencias para comenzar:
- Agregue una política de privacidad a su sitio web. Si ya tiene una, debe revisar los términos para asegurarse de que cumpla con los requisitos de expansión según el GDPR.
- Alerte a los visitantes sobre el uso de cookies en su sitio web. Puede utilizar un cartel de notificación de cookies para agregar esta alerta a su sitio de forma fácil. Obtenga más información sobre cómo agregar un cartel de cookies a Ventas en línea Square con Cookiebot y cómo agregar un cartel de cookies a Ventas en línea Square con código de terceros.
- Informe a sus visitantes y obtenga el consentimiento. Siempre que necesite recolectar datos de un usuario, asegúrese de indicar de forma clara, entre otras cosas, por qué los necesita, para qué planea usarlos, si pueden ser compartidos y con quién, y el fundamento jurídico en el que se basa para recolectar esos datos. Por ejemplo, si tiene un boletín informativo o una lista de correo, asegúrese de que el propósito de la suscripción sea evidente para que sepan a qué se inscriben.
- Evalúe el cumplimiento de aplicaciones de terceros y proveedores. Si está utilizando servicios de terceros para recopilar o procesar datos de clientes, deberá consultar con esas empresas para verificar que cumplan con el GDPR y ayudarán, entre otras cosas, con las solicitudes de portabilidad y eliminación de datos de los usuarios del sitio.
Encontrarás el Aviso de privacidad de Square que se aplica a los vendedores en nuestro sitio web. También puedes obtener más información sobre el Aviso de privacidad de Square que se aplica a tus clientes y empleados.
Exención de responsabilidad: la información proporcionada en este documento es únicamente para fines informativos generales y no constituye asesoramiento legal. No está preparada en consideración de sus circunstancias específicas y, por lo tanto, es posible que no sea adecuada para tu negocio. Al confiar en la información contenida en este artículo, tú asumes todos los riesgos y las responsabilidades que puedan resultar. Consulta con un experto en materia legal para conocer tus obligaciones conforme a las leyes de privacidad de datos a fin de recibir asesoramiento personalizado para tus necesidades específicas.