En marzo de 2018, cuando el fiasco de datos de Cambridge Analytica-Facebook se hizo de conocimiento común, creó ondas en todo el mundo. Los gobiernos de varios países se dieron cuenta de la protesta pública y comenzaron a sentar las bases para la protección de datos y privacidad de sus ciudadanos.

Los legisladores de la Unión Europea (UE) encabezaron la acusación. Se crearon numerosas leyes y directivas, mientras que se revisaron algunas de las leyes obsoletas, imponiendo nuevas obligaciones y responsabilidades a los controladores y procesadores de datos.

En esta guía informativa, presentamos nuestra investigación sobre las regulaciones y leyes europeas de comercio electrónico que el propietario de una empresa debe conocer antes de iniciar su mercado de comercio electrónico como Flubit, ASOS o Allegro. Empecemos por lo ampliamente aceptado e implementado; RGPD.

Tabla de contenidos

• Los fundamentos del RGPD
• GDPR es importante para la industria del comercio electrónico. ¡Este es el por qué!
• Comercio electrónico, IVA y Brexit, y su armonía de trabajo
• Pasarelas de Pago y Pagos en Línea
• Directiva de venta a distancia
• Industria de tarjetas de pago: conformidad con el estándar de seguridad de datos (PCI DSS)
• Directiva europea WEEE
• Conclusión

Los fundamentos del RGPD

El Reglamento General de Protección de Datos (GDPR), que entró en vigor el 25 de mayo de 2018, es un reglamento sobre protección de datos y privacidad en la Unión Europea (UE) y su área económica. Es para proteger los datos de los residentes de la UE.

Los datos personales se refieren a cualquier información que pueda rastrearse hasta una persona identificable. Puede incluir nombre, dirección de correo electrónico, dirección IP, etc.

El RGPD se aplica a cualquier negocio o empresa, independientemente de su ubicación y/o la ciudadanía o residencia de los interesados ​​(individuos). Si está procesando la información personal de personas dentro del Espacio Económico Europeo (EEE) o si tiene clientes de la UE, debe estar al tanto. Son seis las bases lícitas que especifica el RGPD (consentimiento, contrato, encargo público, interés vital, interés legítimo o requerimiento legal).

Aparte de la base legal, existen ciertos derechos otorgados a los interesados ​​de la UE bajo la nueva regulación, que son los siguientes:

• El derecho de acceso significa que los clientes tienen derecho a saber cómo se utilizan sus datos. Por lo tanto, las empresas deben evaluar a las personas con esta información.
• El derecho de transferencia establece que los clientes o interesados ​​tienen derecho a transferir sus datos de una empresa a otra.
• El derecho al olvido implica que si un cliente desea que se eliminen todos sus datos, las empresas deben cumplir con la solicitud.
• El derecho a ser informado impone que los clientes deben ser informados explícitamente de que se recopilan sus datos y se debe obtener el consentimiento libre.
• El derecho a ser corregido otorga a los clientes el derecho a que se actualicen sus datos si están desactualizados o son incorrectos.
• El derecho a no procesar implica que un cliente puede elegir que no se procesen sus datos, pero sus registros pueden permanecer en el sistema.
• El derecho a oponerse significa que un cliente puede optar por que sus datos no se procesen para marketing directo.

Además, existen ciertos deberes y derechos que las empresas deben cumplir según las nuevas pautas de GDPR:

• En caso de una violación de datos, una empresa debe revelarla y reportarla dentro de las 72 horas a las Autoridades Nacionales de Supervisión.
• Todas las empresas deben designar un Oficial de Protección de Datos (DPO) en caso de manejo masivo de datos.
• Para mantener los datos protegidos, las empresas deben tomar las medidas necesarias.
• Incluso si las empresas deben recopilar datos, debe ser la cantidad mínima requerida.
• Los negocios/empresas deben obtener un consentimiento explícito antes de recopilar datos personales.
• Si las empresas internacionales o nacionales no cumplen con la normativa de protección de datos, pueden ser multadas con hasta 20 millones de euros o el 4% de su facturación mundial anual del ejercicio fiscal anterior, lo que sea mayor.

Debido a la dependencia de la Unión Europea en GDPR, se ha convertido en un modelo a seguir para otros países y estados. Países como Chile, Japón, Brasil, Kenia y los Estados Unidos de América tienen muchas similitudes con sus regulaciones, lo que las convierte en una regla global que las empresas y empresas deben seguir y cumplir.

GDPR es importante para la industria del comercio electrónico. ¡Este es el por qué!

GDPR ha remodelado la industria del comercio electrónico en Europa y otros continentes. Teniendo en cuenta que las empresas que operan en el dominio del comercio electrónico tienen que lidiar con los datos personales de los clientes y recopilar, almacenar o utilizar los datos, deben seguir una gran cantidad de regulaciones debido al manejo de datos de los clientes de la UE.

• Una empresa debe divulgar los datos de contacto de su tienda de comercio electrónico.
• Incluso si no tiene una oficina física en Europa pero tiene clientes en la UE, deberá cumplir con el RGPD.

Aunque una empresa no tiene que hacer nada fuera de lo común para asegurarse de que cumple con el RGPD, aún debe asegurarse de que sus T&C y Política de privacidad, junto con la configuración de cookies, estén actualizados.

Nota: De 1 a 10 000 empleados, el RGPD se aplica a todos, pero el mantenimiento de registros solo se requiere para las empresas que tienen más de 250 empleados.

Hay ciertos aspectos que debe tener en cuenta para cumplir con GDPR:

• Dar a los usuarios la opción y el control sobre si dan su consentimiento o no.
• Pedir a los usuarios que opten por participar significa que las casillas marcadas previamente no cuentan como consentimiento, por lo tanto, el usuario debe "optar por participar" por sí mismo
• Resalte explícitamente lo que el individuo está dando su consentimiento.
• Las solicitudes de consentimiento deben estar separadas de otros términos de servicio
• Se específico; no use una forma de paraguas para atrapar todo a la vez
• Sea claro y conciso: no hay lugar para dobles negativas
• Los terceros que se basarán en el consentimiento deben ser nombrados
• Fácil retiro del consentimiento, y cómo hacerlo es importante
• Documentar y conservar la evidencia del consentimiento en términos de quién consintió, cuándo, cómo y cuáles fueron los mensajes comunicados en ese momento.
• Revise el consentimiento que ha recibido y actualícelo si algo cambia
• Evite que el consentimiento sea una condición previa para usar su servicio

Riesgos de pagos transfronterizos y conversión de divisas:

Los cargos por pagos transfronterizos en toda Europa son intercambiables, independientemente de su participación en la zona del euro. Además, los pagos nacionales en euros son muy costosos, lo que permite que los proveedores de servicios de pago (PSP) cobren de forma variable.

Para atender este problema, el Parlamento Europeo actualizó sus regulaciones de pago. CBPR2 o Reglamento transfronterizo planea introducir una mayor transparencia de los cargos por conversión de moneda y establecer estándares en POS (punto de venta) y cajeros automáticos.

Los PSP deben proporcionar lo siguiente a los usuarios que inician una transferencia directa con tarjeta de crédito en línea:

• cargos de conversión estimados
• una cantidad total estimada en la moneda de la cuenta del pagador
• una cantidad total estimada que se pagará al usuario del servicio de pago en la moneda de la cuenta del pagador
• tarifa de transacción, si corresponde
• tasa de conversión de moneda, si la hubiere

CBPR2 requiere además que antes del inicio de cualquier transacción basada en tarjeta que involucre una conversión de moneda en un cajero automático o POS, los PSP deben divulgar la siguiente información al usuario/beneficiario del servicio de pago:

Declaración:

• Los cargos por conversión de divisas, así como los tipos de cambio utilizados.

Cumplimiento Fiscal:

• El margen porcentual sobre el tipo de cambio del euro más reciente emitido por el Banco Central Europeo
• El monto total a pagar en la moneda utilizada por el beneficiario y en la moneda de la cuenta del PSP del ordenante

Rellenos de seguridad:

• La posibilidad de pagar en la moneda utilizada por el beneficiario y que la conversión de moneda sea realizada posteriormente por el PSP del ordenante.
• El derecho del beneficiario a rechazar el servicio de conversión de moneda y pagar en la moneda utilizada por el beneficiario en su lugar.

Compartido originalmente aquí

Ley de comercio electrónico en Europa y conversiones de divisas:

Debido a la conversión de moneda, surgen varios riesgos dado el intercambio constante de dinero. De acuerdo con las nuevas regulaciones, la tasa de cambio que se utilice será siempre la tasa en el momento de la transacción. Tres tipos de monedas asociadas con una tienda en línea son :

• Moneda de la tienda: es la moneda que aparece en los informes y es del administrador que se usa para establecer los precios de sus productos y sus variantes.
• Moneda local: es la moneda que el cliente usa para pagar su pedido al finalizar la compra y también está visible en su tienda.
• Moneda de pago: es la moneda utilizada para depositar dinero en la cuenta bancaria de un usuario de la que puede encargarse el administrador o directamente los propietarios de la tienda.

Riesgos:

• En caso de retrasos en el procesamiento o reembolsos, existe la posibilidad de que pierda o gane dinero debido a la continua fluctuación de los tipos de cambio.
• Si su tienda opera en varias monedas, los precios se convierten y actualizan automáticamente con las tasas del mercado (también hay una tarifa de conversión menor involucrada).

Comercio electrónico, IVA y Brexit, y su armonía de trabajo

Gran Bretaña está formada por Inglaterra, Gales y Escocia, y tiene nuevas reglas de IVA para los bienes importados del Reino Unido desde el día de año nuevo de 2021. Irlanda del Norte ahora tiene doble estatus después del Brexit, por lo que será parte del territorio aduanero del Reino Unido, pero también forma parte del mercado único de la UE a efectos del IVA.

De ahora en adelante, las empresas de comercio electrónico deben cuidar ciertos aspectos técnicos para asegurarse de no tener los pies colgando en aguas turbulentas:

• En primer lugar, solicite el número de IVA del Reino Unido en cada país en el que esté vendiendo, ya que la regla de ventanilla única entró en vigencia a partir del 1 de julio de 2021.
• Recaudar el IVA en los pedidos enviados al Reino Unido que sean inferiores a 135 libras,
• En el caso de un mercado en línea, la responsabilidad se traslada a la plataforma.
• Presente y remita el IVA a HMRC cada trimestre.
• Solicitar un número de Registro e Identificación Económica (EORI); se utiliza en las declaraciones aduaneras, lo que ayuda a identificar a los exportadores en los procedimientos y la documentación aduaneros.
• Reevaluar y actualizar su configuración de impuestos; si usas Avalara, se hará automáticamente.
• Las reglas varían para B2B y B2C, y los códigos de productos son vitales considerando que si obtiene los códigos incorrectos, puede terminar pagando las tarifas equivocadas o que la Aduana bloquee sus productos.

Necesidad de Representante Fiscal Local:

Aunque aún no se ha hecho oficial, se cree que 19 de los 27 países de Europa deben tener un representante local de IVA según el nuevo Reglamento de IVA y comercio electrónico de la UE. Noruega, Australia, Japón o Corea del Sur ya están siguiendo este arreglo donde el Representante Fiscal local es generalmente un abogado o un contador.

La falta de designación de un Representante Fiscal puede resultar en multas. Teniendo en cuenta que estos representantes serán responsables si su plataforma no cumple con los impuestos, es posible que deba pagarles una buena cantidad de dinero o una garantía bancaria.

Pasarelas de Pago y Pagos en Línea

Se hace obligatoria una autenticación fuerte de clientes (SCA) que ayuda a reducir los casos de fraude de clientes en Gran Bretaña y Europa. Según Silicon Canals, una empresa de tecnología financiera, se espera que las empresas basadas en el comercio electrónico crezcan hasta $ 1 billón para 2022 en Europa, y más de $ 1 mil millones es el fraude esperado en las tarjetas europeas según el BCE cada año.

Se requiere SCA para la mayoría de los pagos con tarjeta. El incumplimiento de la SCA podría provocar fallas en las transacciones de pago y otras consecuencias costosas. Según la nueva regulación, la autenticación de dos factores es obligatoria y los clientes proporcionarán 2 de 3 datos clave para probar su identidad, que son los siguientes:

• algo de su propiedad (un móvil, token o tarjeta inteligente) ,
• algo que saben (código PIN o contraseña) ,
• algo que son (huella digital o patrón de voz) .

La llegada de proveedores externos ha aumentado aún más la competencia y la complejidad. Desde 2018, existen dos tipos de proveedores de banca abierta, ambos con diferentes propósitos.

• Proveedores de servicios de iniciación de pagos (PISP)
• Proveedores de servicios de información de cuentas (AISP)

Los PISP están autorizados para iniciar pagos dentro y fuera de la cuenta de un usuario, mientras que los AISP tienen el poder de recuperar la información de la cuenta proporcionada por los bancos y las instituciones.

Estos dos manejan los consentimientos de los clientes necesarios para acceder a los datos de horneado abiertos. En términos simples, explican a los clientes a qué se accederá, por cuánto tiempo y con quién se compartirá.

Las cosas pueden ser abrumadoras para las empresas que no han estado expuestas a tal nivel de datos antes, sin embargo, comprender los matices y las leyes en cuestión deben ser implementadas por las organizaciones para salvaguardar sus intereses y los de sus accionistas.

Beneficios para los comerciantes en línea:

• Reducción de las tasas de fraude y aumento de la confianza en los clientes
• Autenticación de dos factores para que el proceso sea más fluido.
• Más opciones para los consumidores de comercio electrónico

¿Qué pueden hacer las empresas de Internet?

Muestre los métodos de pago apropiados según el contexto y asegúrese de que su plataforma tenga un estándar 3D seguro de 2 factores.

Además de los deberes, también hay algunas excepciones a las regulaciones de autenticación fuerte de clientes que ha explicado Stripe , que realiza un análisis en tiempo real para determinar si aplicar SCA a una transacción o no.

Transacciones de bajo riesgo:

Las transacciones de bajo riesgo se consideran válidas para SCA solo si el proveedor de pago lo considera necesario, luego de analizarlo en tiempo real. Sin embargo, existen ciertas exenciones que son posibles si los pagos con tarjeta de las tasas generales de fraude del proveedor de pagos o del banco no superan los siguientes umbrales:

• 0,13% para eximir operaciones inferiores a 100€
• 0,06% para eximir operaciones inferiores a 250€
• 0,01% para eximir operaciones inferiores a 500€

Pagos inferiores a 30 Euros:

Las transacciones por debajo de 30 euros se consideran de bajo valor y por lo tanto, pueden estar exentas de SCA , sin embargo, si este escenario se repite más de 5 veces y el monto supera los 100 euros, los bancos tendrán que solicitar autenticación. Además, los bancos están obligados a controlar el número de transacciones.

Suscripción de cantidad fija:

En este caso, el primer pago del cliente requiere SCA, pudiendo no obstante estar exento de ella el pago posterior.

Beneficiarios de confianza:

Al completar la autenticación para un pago , los clientes tienen la opción de agregar un negocio a la lista de permitidos, que luego se agregará a la lista de "beneficiarios de confianza" del banco. Esto asegurará que ocurran menos fallas de autenticación.

Ventas telefónicas:

Los detalles de la tarjeta del cliente recopilados por teléfono están exentos de SCA y no requieren autenticación.

Pago corporativo:

Los pagos realizados mediante el uso de números de tarjetas virtuales que son comúnmente utilizados por el sector de los viajes también están fuera de SCA.

Pagos iniciados por comerciantes:

Cuando una tarjeta se guarda en el sistema del comerciante y el pago se realiza con las tarjetas guardadas, está exenta de la autenticación ya que, técnicamente, estos pagos están fuera del alcance de las SCA.

Directiva de venta a distancia

La venta a distancia es, en términos simples, vender a través de cualquier medio, incluidos los digitales, en línea, por correo, entre otros. Si su negocio de Internet registrado con IVA vende a, digamos, Gran Bretaña, pero no está registrado allí, sino en algún otro país de Europa, entonces está vendiendo a distancia. No es fácil de entender pero es muy importante para las empresas que tienen sus clientes y clientes potenciales en Europa.

Antes de vender a un cliente a distancia, asegúrese de incluir la siguiente información:

• Nombre, datos de contacto y dirección de su empresa
• Una descripción detallada de su negocio.
• Precio total que incluye todos los impuestos e instrucciones sobre cómo pagarlos.
• Entrega pago, horario y costo
• Período de facturación y duración mínima del contrato
• Condiciones de depósitos, garantías financieras y terminación de contratos
• Criterios de cancelación del pedido junto con un formulario, cualquier costo de cancelación si corresponde y una fecha límite hasta cuando tienen derecho a cancelar

Toda esta información debe proporcionarse en un formato fácil de entender.

Según esta directiva, las empresas de comercio electrónico deben informar a sus clientes que pueden cancelar su pedido dentro de los 14 días posteriores a la entrega, y no se requiere ningún motivo para la cancelación.

Estas reglas de comercio electrónico en la UE se aplican a las empresas que venden servicios digitales en línea y deben seguirse con diligencia.

Industria de tarjetas de pago: conformidad con el estándar de seguridad de datos (PCI DSS)

Si su negocio de comercio electrónico acepta pagos con tarjeta de crédito, debe saber cómo funciona PCI DSS y, lo que es más importante, cómo afectará a su negocio.

Si bien en muchos aspectos, el alcance de PCI y GDPR se superponen, la diferencia, sin embargo, radica en su propósito. GDPR actúa como un medio para que los usuarios comprendan sus derechos y deberes cuando una empresa de Internet recopila sus datos, pero no brinda seguridad.

PCI, por otro lado, se ocupa directamente de los aspectos de seguridad y protección de los datos de los titulares de tarjetas. La pérdida de datos, brechas, robo de identidad, entre otros, se encuentran bajo PCI. Aunque en este estándar, los clientes no tienen mucho control sobre sus datos, PCI se enfoca en mantener los servidores seguros, limitando el acceso y centrándose en la mitigación y la gestión de riesgos.

Directiva europea WEEE

Esta directiva es especialmente importante para las empresas que se dedican a la venta y compra de productos electrónicos. La directiva de Residuos de Aparatos Eléctricos y Electrónicos (o WEEE, por sus siglas en inglés) establece objetivos de recolección, reciclaje y recuperación para todo tipo de productos electrónicos.

De acuerdo con la RAEE, todos los equipos eléctricos puestos en el mercado deben estar registrados en el país respectivo, a quien además se le dan instrucciones para mantener un directorio de los mismos.

Todos los estados miembros están obligados a mantener informes anuales de todos los equipos eléctricos que se colocan en el mercado, y todos los equipos registrados deben etiquetarse en consecuencia.

Esto se convierte en un desafío para los vendedores que desean vender sus productos en varios países de la UE, ya que deberán registrarse individualmente en cada país para garantizar que cumplen con las obligaciones de los fabricantes locales. Si las organizaciones no cumplen con esta directiva, se pueden imponer fuertes multas.

Aunque esta directiva tiene más trabajo por hacer para los fabricantes, las empresas de Internet aún tienen que asegurarse de que sus productos cumplan con las regulaciones establecidas.

Una jerga común utilizada en Europa que debe tener en cuenta.

Definamos algunos de los términos clave que verá cuando busque RGPD.

• Sujeto de datos: la persona cuyos datos privados se almacenan, recopilan, comparten o descargan.
• Datos Privados y Personales: Cualquier información que identifique directa o indirectamente a una persona viva. Por ejemplo, información de cuenta, información de salud, edad, sexo, dirección de correo electrónico, fecha de nacimiento, dirección, dirección IP, etc.
• Controlador de datos: Es una persona o personas que determinan cómo se procesan los datos personales.
• Encargado del tratamiento: Es la persona o personas que tratan esos datos por cuenta del responsable del tratamiento.
• Obligaciones de los procesadores : los procesadores deben seguir las instrucciones del controlador de datos y deben poder demostrar el cumplimiento de GDPR
• Oficial de protección de datos : para supervisar el RGPD, el cumplimiento general de la gestión de la privacidad y las prácticas de protección de datos, es posible que las empresas deban designar a un miembro del personal o un proveedor de servicios para supervisar el RGPD.
• Evaluaciones de impacto en la privacidad (PIA) : se deben realizar evaluaciones de impacto en la privacidad del procesamiento de datos a gran escala para minimizar los riesgos e identificar medidas para mitigarlos.
• Notificación de incumplimiento : el controlador debe notificar a las partes interesadas dentro de las 72 horas posteriores a la toma de conocimiento de un incumplimiento.

Fuente de información

Otras directivas y normativas a tener en cuenta:

Directiva europea de derechos de autor (no una ley sino un marco para ayudar a los estados miembros a escribir y redactar sus leyes)

• Enviar un aviso de pago a los clientes una vez realizado el pago.
• Asegúrese de que su empresa esté registrada en la Cámara de Comercio.

No proporcione a sus usuarios casillas premarcadas

• Aviso de Pago Obligatorio
• Conversiones de moneda
• La gestión del inventario

Conclusión

Dado el escrutinio al que se puede enfrentar una empresa si no sigue las normas legales para el comercio electrónico en el Espacio Económico Europeo (EEE), es recomendable comprender las leyes que les conciernen. Además, es importante que los nuevos empresarios se aseguren de no descuidar sus derechos y deberes básicos como proveedores de servicios y ciudadanos del mundo. Además, el impacto podría ser más severo en las PYMES o las nuevas empresas que en las empresas más grandes.