¿Acabas de comenzar un negocio de e-commerce^[1] o planeas hacerlo? A continuación, se detallan algunos puntos que debes tomar en cuenta para cumplir con la regulación sobre protección al consumidor[2], datos personales[3] y publicidad[4] al momento de operar una plataforma digital.

1. Envío de publicidad. –

Si deseas enviar publicidad[5] a una dirección de correo electrónico para promocionar tus servicios y no cuentas con el consentimiento del receptor (publicidad no solicitada) debes cumplir con la normativa antispam[6]. Como emisor de la publicidad, debes incluir la palabra “publicidad” en el campo de asunto del mensaje, indicar el nombre completo y dirección de correo electrónico de tu negocio, así como colocar una dirección de correo electrónico o habilitar un hipervínculo para que el receptor pueda manifestar su voluntad de no continuar recibiendo más correos de este tipo.

Adicionalmente, se debe tener en cuenta la existencia del registro “Gracias… No Insista”[7] que administra el Indecopi, pues remitir correos a personas que se encuentren inscritas en dicho registro, se constituye como una infracción al Código de Consumo por prácticas comerciales agresivas[8].

2. Comunicación de contacto. –

Por otro lado, si deseas obtener el consentimiento del titular del correo electrónico para añadir su correo electrónico a tu base de datos y poder enviarle publicidad posteriormente, entonces debes enviar una “comunicación de contacto”^[9]. Dicha comunicación también te permitirá añadir otros datos personales[10] de dicho titular a tu base y destinarlos a usos diversos.

Estas comunicaciones solo deben ser utilizadas para informar a los usuarios, como titulares de sus datos personales, sobre los usos que le darás a sus datos personales y para obtener los respectivos consentimientos. Las comunicaciones de contacto no pueden ser utilizadas para enviar publicidad u otras comunicaciones comerciales. Deben ser enviadas en horarios razonables y días útiles y no insistir a quienes ya dijeron que no.

3. Libro de Reclamaciones virtual. –

Como proveedor digital, debes contar con un Libro de Reclamaciones virtual[11], el cual necesariamente debe estar alojado en la página de inicio de tu sitio web. Los consumidores[12] deben poder imprimir la hoja de reclamación y recibir una copia automática a la dirección de su correo electrónico. Se debe dejar constancia de la fecha y hora de la presentación del reclamo o queja. Como proveedor debes conservar como mínimo el registro de los reclamos ingresados por un período de 2 años (contados desde la fecha de ingreso del reclamo o queja). El consumidor puede hacer uso del Libro de Reclamaciones inclusive sino utilizó el servicio. Es obligatorio atender el reclamo o queja dentro de los 30 días calendario siguientes, sino puedes estar cometiendo la infracción de «falta de atención al reclamo dentro del plazo legal»[13].

4. Uso de datos personales. –

Para utilizar los datos personales de los usuarios de tu sitio web debes cumplir con la normativa de datos personales. Como titular del banco de datos[14] de tus usuarios tienes las siguientes obligaciones: (i) debes obtener el consentimiento previo, expreso, libre, inequívoco e informado de tus usuarios, para efectuar el tratamiento de sus datos personales; (ii) inscribir los bancos de datos con los que cuentes ante el Registro Nacional de Protección de Datos Personales; (iii) comunicar el flujo transfronterizo de datos personales, en caso utilices servicio de cloud computing o realices transferencias internacionales; (iv) implementar medidas de seguridad técnicas y organizativas para proteger los datos personales de tus usuarios; y, (v) habilitar un correo electrónico para que tus usuarios puedan ejercer sus derechos de acceso, rectificación, oposición, cancelación y demás derechos concedidos por la normativa de datos personales, respetando sus plazos y procedimientos.

Cabe indicar que, para obtener un consentimiento válido, la normativa de datos personales establece que el consentimiento debe ser “previo, libre, inequívoco, expreso e informado”. El requisito de «previo» se resuelve al enviar la “comunicación de contacto” o al instaurar una “política de privacidad” y hacer que tus usuarios la lean y acepten, antes de hacer uso de sus datos. Los requisitos de «expreso, libre e inequívoco» hacen referencia a que el consentimiento se otorgue sin admitir dudas respecto al otorgamiento y sin que medie error o mala fe, para ello es suficiente dejar un registro de que el titular del dato hizo click en el botón «sí acepto» a la política de privacidad. El requisito de «informado» implica que comuniques al titular del dato personal, al menos lo siguiente: (i) la identidad y domicilio de tu negocio, como titular del banco de datos personales, a donde tus usuarios pueden dirigirse para revocar su consentimiento o ejercer sus derechos; (ii) la finalidad del tratamiento (se debe detallar las razones comerciales para las cuales se está recopilando la información); (iii) la identidad de los que son o pueden ser sus destinatarios (se debe informar sobre cualquier transferencia de los datos de tus usuarios a terceros, ya sean personas directamente relacionadas, proveedores, terceras empresas o entidades públicas); (iv) la existencia del banco de datos (basta con informar en la política de privacidad que los datos de tus usuarios se encuentran en un banco de datos registrado ante la autoridad); (v) la transferencia nacional e internacional de datos (por ejemplo, en el caso que utilices servicios de cloud computing en el extranjero). Se puede detallar todo lo anterior en la política de privacidad, a la cual tus usuarios deben aceptar y reconocer haber leído. Recuerda guardar la constancia de la aceptación[15].

5. Responsabilidad de las plataformas. –

En materia de protección al consumidor, existen dos obligaciones principales para los proveedores: (i) brindar información relevante a los consumidores para que puedan tomar una decisión de consumo informada y; (ii) brindar un servicio idóneo, entendido como la correspondencia entre lo que un consumidor espera y lo que recibe, en función a lo que se le ofreció.

Algunos casos resueltos por el Indecopi permiten apreciar cómo se aplican dichas obligaciones legales al comercio electrónico y sacar algunas conclusiones y recomendaciones para que puedas implementarlas en tu negocio e-commerce.

• Plataformas que realizan la venta y entrega directamente. –

En los casos de plataformas que vendan productos por catálogo y sobre los cuales ellos mismos se encargan del proceso de compra y entrega de manera directa, resultan relevantes los siguientes dos casos:

• Caso Linio: Un consumidor adquiere un juego de muebles a través de la plataforma e-commerce de Linio. Linio envía una comunicación de confirmación e indica una fecha de entrega estimada. Luego de ello, Linio cancela la compra, sin brindar mayor explicación. La Comisión de Protección al Consumidor N°2 establece que Linio debió cumplir con las prestaciones contratadas en el plazo y modos previstos, pues no puede cancelar una compra de manera unilateral^[16].

• Caso Ripley: Un consumidor compra tres colchones a S/.1.00, a través del catálogo virtual. Ripley cancela la compra por tratarse de un error en su sistema, pues el colchón realmente vale S/. 1500. La Sala Especializada en Protección al Consumidor establece que, una vez que el consumidor ha aceptado y Ripley ha emitido la orden de compra, no se puede desconocer la operación validada y confirmada en su propia plataforma, pues de lo contrario se estarían defraudando las expectativas del consumidor^[17].

Sobre la base de lo resuelto por el Indecopi, la cancelación de una compra, luego de que el consumidor ha aceptado y el proveedor ha conocido de dicha aceptación y la ha confirmado, no son aceptadas como válidas. El punto trascendental aquí es si el proceso de compra ha sido confirmado. Las plataformas no pueden desconocer una oferta una vez esta ha sido aceptada y confirmada por ellas mismas.

En tal sentido, te recomendamos implementar mecanismos, durante el proceso de compra, que permitan asegurar el cumplimiento de lo ofrecido, antes de la confirmación u orden de compra (por ejemplo, indicar que la operación está siendo validad y el stock verificado, de manera previa al envío de una comunicación de confirmación). Asimismo, las expectativas de los consumidores se generan sobre la base de la información que se encuentra en los términos y condiciones de tu plataforma, tales como las referidas a las confirmaciones de la compra y los plazos de entrega. En tal sentido, te recomendamos que incluyas disposiciones en los términos y condiciones de tu plataforma que estés en posibilidad de cumplir.

• Plataformas que actúan como intermediarios. –

En el caso de plataformas que actúan como intermediarios, aquellas que brindan espacios para que terceros anuncien sus servicios o productos, resultan relevantes los siguientes casos:

• Caso Mercado Libre: Un consumidor compró una consola de videojuego a otro usuario a través de la plataforma mercadolibre.com y este último nunca le entregó el producto. El consumidor indicó que Mercado Libre no brindó las medidas de seguridad que garanticen que los anunciantes de su plataforma cumplan con lo prometido. La Comisión de Protección al Consumidor Nº 2 consideró que Mercado Libre es un facilitador de información (un proveedor de servicios de alojamiento de datos) y no puede tener control, ni conocimiento de la información alojada o transmitida a través de su plataforma^[18].

Sobre la base de lo resuelto por el Indecopi, las plataformas digitales que conectan oferta y demanda, denominadas “marketplaces”, como el caso de mercadolibre.com, no tienen la obligación de supervisar y monitorear las transacciones privadas que se realizan a través de su plataforma, este es un principio aceptado internacionalmente. Por lo general, la plataforma deberá tomar acción en tanto sea notificada de la ocurrencia de alguna actividad ilícita, sólo luego de dicha notificación se podrá evaluar si le corresponde asumir algún nivel de responsabilidad. En tal sentido, te recomendamos contar con mecanismos que permitan actuar o responder ante la notificación de posibles actividades ilegales a través de tu plataforma.

• Caso Groupon: Un consumidor contrata, a través de Groupon (empresa que, a través de su página web, pone en conocimiento de los consumidores un catálogo de ofertas de terceros), el servicio de una empresa para pasear en globo aerostático. El globo cae al mar. La Comisión de Protección al Consumidor Nº 2 consideró que Groupon debió cerciorarse que dicho proveedor no contaba con el permiso para realizar vuelos comerciales, por lo que incumplía normas del sector aeronáutico y, además, no fue diligente al analizar la documentación de dicha empresa al momento de contratar^[19].

Sobre la base de lo resuelto por el Indecopi, si el servicio contratado involucra el cumplimiento de normas sectoriales (por ejemplo, normas del sector aeronáutico), la autoridad analizará la diligencia de la plataforma al contratar con los terceros que ofrecen productos o servicios que necesitan autorización sectorial. Tal obligatoriedad de verificar que el tercero que anuncia en una plataforma cumpla con las normas aplicables a la actividad económica que desarrolla, eleva los costos de operación de los intermediarios imponiendo obligaciones de difícil cumplimiento. En tal sentido, te recomendamos implementar mecanismos de avisos de alerta a los consumidores en los anuncios de productos o servicios que puedan requerir permisos especiales.

6. Conclusiones

Existe abundante regulación que cubre las operaciones que se realizan en línea. Si vas a lanzar un emprendimiento digital, realiza un checklist sobre la base de la normativa de consumidor, datos personales y publicidad anteriormente comentada. Diseña tu modelo de negocio tomando en consideración lo anterior y evita sanciones.

[1] “El comercio electrónico es la compra o venta de bienes o servicios realizada a través de redes informáticas por métodos específicamente diseñados para recibir o colocar pedidos. Aun cuando los pedidos de bienes o servicios se reciben o colocan electrónicamente, no es necesario que el pago y la entrega o prestación final de los bienes o servicios se realicen en línea”. Definición de e-comerce de la Organización Mundial del Comercio (OMC).

[2] Ley N°29571 – Código de Protección y Defensa del Consumidor.

[3] Ley N° 29733 – Ley de Protección de Datos Personales y su reglamento aprobado por Decreto Supremo N° 003-2013-JUS.

[4] Decreto Legislativo N° 1044 – Ley de Represión de la Competencia Desleal.

[5] Según la normativa de publicidad, publicidad es toda forma de comunicación dirigida a promover, directa o indirectamente, imagen, marcas, productos o servicios, promoviendo la contratación o la realización de transacciones para satisfacer intereses empresariales.

[6] Ley N° 28493 – Ley Antispam y su reglamento aprobado por Decreto Supremo N° 031-2005-MTC.

[7] Directiva N° 005-2009/COD-INDECOPI – Directiva de Operación y Funcionamiento del Registro de Números Telefónicos y Direcciones de Correo Electrónico Excluidos de ser Destinatarios de Publicidad Masiva Registro “Gracias… No Insista”.

[8] Ver Resolución Final N° 27-2017/CC3. Sanción 0.8 UIT por infracción a la ley antispam y 0.3 UIT por practica comercial agresiva al remitir correos electrónicos a la dirección de correo electrónico de un consumidor, pese a estar inscrito en el registro “Gracias… No Insista”.

[9] Ver consulta pública absuelta por la Autoridad Nacional de Protección de Datos Personales https://www.minjus.gob.pe/wp-content/uploads/2015/04/4.pdf

[10] Según la normativa de datos personales, un “dato personal” es toda información que hace que una persona sea identificada o identificable utilizando métodos que pueden ser razonablemente empleados.

[11] Decreto Supremo N° 011-2011-PCM que aprueba el Reglamento del Libro de Reclamaciones del Código de Protección y Defensa del Consumidor.

[12] Según la normativa de consumidor, un consumidor es cualquier persona natural o jurídica que adquiere un producto o servicio como destinatario final, actuando en un ámbito distinto a su actividad empresarial. Inclusive abarca a las microempresas, en tanto evidencien asimetría informativa y se trate de un producto o servicio no relacionado a su giro comercial.

[13] Dicha infracción es susceptible de multa de aproximadamente 1 UIT.

[14] Según la normativa de datos personales, el titular del banco de datos personales es aquel que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

[15] Las sanciones por realizar tratamiento sin contar con el consentimiento informado del usuario son infracciones leves, según la normativa de datos personales, susceptibles de sanción de 0.5 a 5 UIT.

[16] Ver Resolución Nº 1971-2016/CC2. Sanción 0.5 UIT. Medida correctiva: entrega de un producto de similares condiciones. Pago de costos y costas del procedimiento.

[17] Ver Resolución N° 3816-­2015/SPC­INDECOPI. Sanción: 1 UIT. Medida correctiva: entregar los tres colchones. Pago de costos y costas del procedimiento.

[18] Ver Resolución Nº 2410­-2015/CC2.

[19] Ver Resolución Nº 2419-2015/CC2. Sanción: 3.8 UIT. Medida correctiva: reembolso del monto pagado por el servicio.