¿Es Shopify ilegal en Europa? La autoridad de protección de datos alemana declaró ilegal el uso de una tienda Shopify

Este artículo se publicó originalmente el 11.11.22 por Christian Häfner en LSWW. A continuación reproducimos todas sus actualizaciones sobre el caso hasta la fecha:

El 13.06.2022, la historia personal de éxito de Christian Häfner con Shopify dio un giro dramático. El Comisionado Estatal de Protección de Datos y Libertad de Información de Renania-Palatinado (autoridad de protección de datos para abreviar) declaró ilegal de facto su tienda de Shopify y le amenazó con una multa del 4% de su última facturación anual si seguía utilizándolo. En este artículo se describe lo que le ocurrió exactamente, las medidas que tomó y lo que preocupa a las autoridades.

Con Shopify desde 2015

Shopify es uno de los sistemas de tiendas más populares en Alemania. Detrás hay una empresa canadiense de mil millones de dólares con un fundador alemán: ¡una auténtica historia de éxito! Soy cliente de Shopify desde 2015 y fan desde entonces. Entre 2015 y 2022, pude levantar mi negocio online de venta de café con Shopify hasta alcanzar una facturación anual de 7 cifras.

En primer lugar: los incidentes descritos son mis experiencias personales con la autoridad de protección de datos de Renania-Palatinado y Shopify. No puedo decir si otras autoridades de otros Estados federales juzgarían de la misma manera. No se dictó sentencia ni se impuso multa alguna. La amenaza se retiró porque decidí cambiar a otro sistema de tienda online. Anteriormente, había intentado encontrar una solución a través de varios canales con la propia Shopify y un responsable de protección de datos externo. Sin éxito.

Mi historia comenzó allá por 2015, cuando trasladé mi blog sobre café de WordPress a Shopify y empecé a vender mis propios productos de café. Hasta hoy, el negocio se ha desarrollado super bien. Especialmente con el comienzo de la pandemia, cogimos mucho impulso e incluso vendimos café por valor de más de un millón de euros en 2021. También escribí un informe y una guía sobre la experiencia con Shopify, en su mayoría positivos, aquí en LSWW.

Fui fan y verdadero promotor de Shopify durante años. Mi tienda incluso apareció en el blog de Shopify como un ejemplo exitoso de Shopify. Lo celebré y probé con entusiasmo muchas de las nuevas funciones. Shopify es, en mi opinión, el sistema de tiendas con más innovaciones y, con diferencia, la mejor experiencia de usuario. Hasta hoy.

Shopify y el ordenamiento jurídico alemán

Desde mi punto de vista, como empresa canadiense, Shopify nunca se ha centrado principalmente en el cumplimiento legal en Alemania. Pero, ¿por qué? La empresa había crecido en el mercado estadounidense y sigue siendo, con diferencia, la que más clientes tiene allí. El blog Ecommerce Platforms ha publicado algunas cifras actuales (2022) que ilustran el desequilibrio:

En Estados Unidos, la cuota de mercado de Shopify es del 32%. En Estados Unidos se han creado cerca de 2,5 millones de sitios web con Shopify. Le siguen por un amplio margen el Reino Unido (153 k), Australia (99 k), Canadá (91 k) Alemania (76 k). Shopify obtiene el 73% de sus ingresos en Norteamérica, donde se encuentra el 56% de sus comerciantes. A EMEA (Europa, Oriente Medio y África) se le atribuye sólo el 16% de sus ingresos

Vaya, ¡sólo hay 76.000 tiendas Shopify en Alemania, frente a los 2,5 millones de EE.UU.!

Hay que reconocer que la jurisdicción alemana no es conocida por ser especialmente favorable con la innovación, sobre todo cuando los motores de la innovación proceden de Norteamérica. Durante el rápido crecimiento de Shopify, se descuidó el mercado alemán. Para algunos temas, la empresa tardó en ponerse al día, y otros probablemente ni siquiera entraron en la hoja de ruta desde el principio.

Por ejemplo, en aquella época tenía que hacer que un desarrollador crease a mano la información básica sobre precios en el tema, hasta que Shopify ofreció esta función años más tarde y los propietarios de temas pudieron seguir su ejemplo. Una solución integral de consentimiento de cookies que cumpla con la ley en Alemania todavía no forma parte de Shopify, sino que tiene que ser mapeada a través de aplicaciones externas. Y durante mucho tiempo, el sistema Shopify POS aparentemente no cumplía con los requisitos del GoBD (principios para el mantenimiento y almacenamiento adecuados de libros, registros y documentos en formato electrónico). La certificación no llegó hasta 2020.

El 13.06.22 se me añadió otro caso a esta lista: Según la autoridad de protección de datos, ¡el uso de las CDN Fastly y Cloudflare utilizadas por Shopify es ilegal! Una declaración con consecuencias dramáticas para mí, y quizás para muchos otros usuarios de Shopify en Alemania.

¿Qué ha pasado?

Comunicación con la autoridad de protección de datos

Por mucho que me gustaran y me gusten las numerosas funciones, como pequeño comerciante nunca estaba seguro al 100% de si realmente lo estaba haciendo todo bien. Más bien, me adormecí en una sensación de seguridad porque Shopify ya proporciona la plataforma para muchas y muy grandes tiendas, también y especialmente en Alemania. Como comerciante y empresario experimentado, ya he recibido una o dos advertencias. Los errores ocurren, y normalmente pueden corregirse. No hay razón para que cunda el pánico. Esta fue también mi reacción a la primera carta de la autoridad de protección de datos el 16.02.2022.

Primera carta - Cookies y denunciantes

La carta decía, entre otras cosas:

Un denunciante alega que los datos de uso se transmiten a proveedores de servicios estadounidenses a través de su sitio web https://www.happycoffee.org/.

Comisario de Protección de Datos y Libertad de Información de Renania-Palatinado

El motivo era un banner de consentimiento de cookies mal instalado. Tras una breve comprobación, acepté. ¡Fue mi error! En la carta también se me indicaba detalladamente en qué condiciones y con qué requisitos previos se pueden instalar cookies en nuestro sitio web.

Pero lo que me pareció emocionante de la carta es que había un denunciante, es decir, alguien que se quejaba de nosotros ante el organismo oficial. La autoridad tuvo que investigar esta denuncia. La iniciativa -según tengo entendido- no partió de la propia autoridad. Pero eso también significa que cualquier ciudadano puede presentar una queja de este tipo sobre cualquier comercio. A continuación, la autoridad también debe hacer un seguimiento. Corregí el error notificado dentro del plazo cambiando a otra herramienta de consentimiento de cookies y haciendo que el equipo de asistencia la instalara correctamente. Cooperé con la autoridad. Mi respuesta fue enviada por correo electrónico.

Segunda carta - Localstorage y solicitudes de terceros

El 01.04.2022 - poco más de una semana después de mi respuesta - llegó la segunda carta. Al parecer, mis medidas (herramienta de consentimiento de cookies correctamente instalada) no fueron suficientes. Porque la herramienta que utilicé sólo era capaz de bloquear y controlar las cookies, pero no los datos en localstorage (por ejemplo, para la búsqueda) y las solicitudes de terceros (incluidas las solicitudes de cdn.shopify.com).

Si tienes curiosidad por saber qué se carga en tu propio sitio, puedes probarlo tú mismo. Carga tu página en un navegador anónimo (sin cookies ni caché) y no hagas click en ninguna parte del banner de consentimiento de cookies. Déjalo ahí después de la primera carga de la página. En el navegador Chrome, pulsa el botón derecho del ratón -> Examinar -> Aplicación. Allí puedes ver lo que se carga para Almacenamiento Local, Almacenamiento de Sesión o Cookies (antes de Consentimiento).

A continuación, ve a "Fuentes" (en lugar de Aplicaciones) y ve lo que hay cargado allí. Todo esto lo comprueba la autoridad.

Seguí investigando y finalmente encontré una buena solución con un gran soporte en gdpr-legal-cookie.com por beeclever de Koblenz. Con la nueva comprensión, finalmente conseguí una solución aquí para bloquear y gestionar correctamente todas las solicitudes y Third-Party Cookies. Volví a contestar a la autoridad.

Tercera carta: uso ilegal de CDN y amenaza de multa

El 13.6.2022 me llegó la siguiente carta de la autoridad de protección de datos. El problema con las cookies aparentemente se había resuelto, pero ahora se criticaba un nuevo problema: los servicios utilizados, Cloudflare, Fastly y Cloudfront.

En la carta, me llamaron la atención en primer lugar sobre la sentencia Schrems II de 2020:

En solicitudes de información de fecha 16.02.2022 y 01.04.2022, le informé, que la transferencia de datos de uso a proveedores de servicios estadounidenses, que tiene lugar en el servicios en el sitio web, según el denominado "Schrems-Il. Sentencia Schrems-Il del Tribunal de Justicia de las Comunidades Europeas (sentencia C-311/18 del TJCE) a partir de 2020. No es admisible sin más

En el curso posterior de la carta, se afirmaba claramente que la integración de los servicios mencionados era ilegal. La autoridad de protección de datos lo justificó afirmando que las autoridades estadounidenses podían acceder a datos personales (presumiblemente, principalmente la dirección IP) con fines de derecho penal sobre la base de la Ley CLOUD, entre otras cosas. Esto es así independientemente de que los datos se almacenen en servidores de Estados Unidos o Europa. Basta con que la empresa que está detrás sea estadounidense. El tratamiento tampoco parece estar sujeto a un interés legítimo en el sentido del art. 6(1)(f) DSGVO.

Intento de mediación con Shopify y expertos en protección de datos

Shopify es un Software As A Service (normalmente conocido como SaaS). Por tanto, el sistema de tiendas sólo está disponible como un paquete completo formado por software e infraestructura, incluido el alojamiento y las CDN’s. A diferencia de Shopware o WooCommerce, no es posible alojar el software en servidores de elección propia en empresas de Alemania ni ejercer ninguna otra influencia sobre la infraestructura. Quien opte por Shopify también utilizará (a partir de noviembre de 2022) servicios de proveedores estadounidenses que, según la sentencia Schrems II de 2020, no podrán utilizarse sin más.

Así que la única forma de aclarar la situación era a través de la propia Shopify. Incluso si el mercado alemán de Shopify era relativamente pequeño, tenía la esperanza de que la propia Shopify debía tener un gran interés en aclarar mi caso (que tal vez sentara precedente). La mejor solución es que Shopify pueda mostrar una Evaluación del Impacto de la Transferencia (EIT) para las herramientas que utiliza y que la autoridad la encuentre convincente.

heyData en mi caso

La respuesta del soporte de Shopify fue esencialmente una referencia a la documentación existente, y una referencia adicional a la Página de Información Legal. Para no cometer errores de novato, también contraté a un responsable externo de protección de datos y le pedí que me ayudara a comunicarme con la autoridad y aclarar los hechos. Al mismo tiempo, intenté movilizar a todos mis contactos en Shopify para que no siguieran solo la vía del soporte. A pesar de la carta bastante clara, al menos un resto de esperanza quedaba en mí en ese momento - especialmente a la luz del hecho de que Shopify es utilizado por bastantes y también algunas tiendas muy grandes en este país también.

Documentación DSGVO de Shopify

La exhaustiva documentación de Shopify sobre GDPR sirvió de base para el debate. Allí también figuran todos los subcontratistas, incluidos Amazon, Cloudflare y Fastly (y otros), que fueron criticados por las autoridades.

Soporte Shopify

Reenvié la carta de la autoridad al Soporte de Shopify y expliqué el problema (número de ticket 31511852). También proporcioné la recomendación del comisario de protección de datos:

La siguiente parte en particular fue una buena pista para mí:

Los datos para mostrar sólo la tienda online se almacenan de forma centralizada en EE.UU. a través de las CDN mencionadas para asegurar la disponibilidad global de su tienda online. ¿Firmará Shopify cláusulas contractuales estándar? No. Shopify ha estructurado sus flujos de datos de forma que los datos de comerciantes y clientes se almacenan en el sistema Shopify, que es gestionado por la filial irlandesa en Europa. Por esta razón, las cláusulas contractuales estándar no serán apropiadas, ya que sólo cubren las transferencias entre una parte europea y una no europea.
Soporte Shopify, 5.7.22

Lo he comprobado más a fondo:

La respuesta llegó pronto y de otro colega en apoyo, pero sin la redención esperada. Sólo me han dicho que existe un acuerdo de protección de datos entre Shopify y las empresas estadounidenses (en el caso del tratamiento de datos personales), pero esta información no ha sido suficiente hasta ahora.

En su lugar, me volvieron a decir que Shopify ya lo utilizan millones de personas y que es poco probable que los abogados no tengan una visión anticipada de la situación. También me dijeron que visitara legal@shopify.com para obtener más información. Mi próximo intento...

Soporte Legal Shopify

Desgraciadamente, tampoco llegué lejos con mi correo electrónico a Asistencia Jurídica. Una vez más, el correo electrónico remitía a la política de privacidad y al centro de ayuda, así como a una nota sobre las opciones para una solicitud del interesado y una solicitud legal:

Gracias por su email,

Esta bandeja de entrada no puede responder a las solicitudes de privacidad.

Para preguntas sobre las prácticas de privacidad Shopify y cómo manejamos su información, por favor consulte nuestra Política de Privacidad y Centro de Ayuda

Para presentar una Solicitud del Sujeto de Datos, consulte nuestro Portal OSR

Para presentar una solicitud legal de información, consulte nuestras Directrices sobre solicitudes legales

Shopify

La solicitud del interesado se refiere a datos sobre su propia persona para verlos o hacer que se supriman.

Que yo recuerde, el Requerimiento Judicial en el verano de 2022 sólo se refería a solicitudes en el contexto de un proceso penal, lamentablemente demasiado tarde para mí y el final de la línea en ese momento. Incluso a través de contactos personales con Shopify, no obtuve un mejor resultado.

En el curso de la investigación de este artículo, volví a comprobar el formulario y vi que ahora también es posible presentar solicitudes de las autoridades y que el formulario también está disponible en alemán. Ya he presentado mi caso (el 11.11.22) y también estoy esperando respuesta.

Conclusión aleccionadora

Aunque la situación jurídica pueda aclararse, en mi caso no quería ni podía correr el riesgo de una multa. El riesgo de liquidez insuficiente en la cuenta de la empresa era demasiado grande. Por ello, decidí cambiar a corto plazo a otro sistema de tienda. Lamentablemente, Shopify no hizo ningún esfuerzo por ponerse en contacto directamente con las autoridades ni por ponerme en contacto con un experto jurídico interno. Tampoco recibí la Evaluación del Impacto de la Transferencia (EIT) recomendada por el experto en protección de datos.

El soporte de Shopify fue entusiasta, pero desafortunadamente no conseguí la solución. Para nosotros, el cambio de tienda fue muy molesto por muchas razones. Además de montar una tienda completamente nueva en pocas semanas, tuvimos que informar a más de 1.000 clientes de suscripciones y pedirles que reservaran una nueva suscripción en la nueva tienda.

Desgraciadamente, no fue posible una transición fluida. Esto, unido a un mercado del café ya de por sí difícil (subida del precio del café verde + y del gas) y a la inflación actual, está poniendo a prueba nuestra cafetería. 2022 será nuestro primer año de crecimiento negativo.

12.11.22 - Shopify responde
Me alegra ver que el post ha suscitado cierto debate, incluso en Hacker News (YCombinator), Reddit y LinkedIn.

La propia Shopify también ha respondido. El CEO ha aclarado en Twitter que Shopify es legal en Alemania y habla de un malentendido. También admite que Shopify podría haber comunicado más claramente aquí.

Paralelamente, hoy ha aparecido este post en el blog de Shopify, que vuelve a repetir la afirmación. También hace referencia a la recién creada dirección privacyoffice@shopify.com, a la que los comerciantes pueden dirigirse con preguntas y problemas como el mío. Desgraciadamente, a mis ojos, hasta ahora no son más que contraafirmaciones.

Por lo tanto, mi sugerencia a @Shopify: ¡Resolvamos el caso junto con la autoridad de protección de datos!

Me gustaría retomar el caso con la autoridad y aclarar oficialmente la cuestión allí. Si las autoridades me permitieran explícitamente utilizar Shopify, probablemente volvería a cambiar, pero en cualquier caso también informaría sobre ello aquí.

23/11/22 - Sin novedad de Shopify + Orden ejecutiva de fecha 7/10/22.
Incluso 8 días laborables después de la publicación del artículo, todavía no hay información/argumentos concretos ni nada tangible por parte de Shopify. Sólo se ha solicitado el contacto con mi responsable de protección de datos.

En este punto, sin embargo, me gustaría compartir dos referencias que pueden resultar interesantes para la actual clasificación jurídica del caso:

Orden ejecutiva de 7.10.22. (vía heyData.eu).

Mientras tanto, también se han producido avances a nivel político: el 7.10.2022, EE.UU. emitió una Orden Ejecutiva que introducía nuevas salvaguardias vinculantes para abordar todos los puntos planteados por el Tribunal de la UE, restringiendo el acceso de los servicios de inteligencia estadounidenses a los datos de la UE y estableciendo un Tribunal de Revisión de la Protección de Datos. Se espera que la Comisión de la UE se ocupe de ello antes de marzo de 2023. Hasta entonces, por supuesto, sigue existiendo el riesgo con los proveedores de servicios estadounidenses, pero parece que EE.UU. y la UE han avanzado en una dirección para resolver la cuestión.

heyData.eu (por correo electrónico el 16.11.22)

Reacción de Max Schrems al respecto (vía allesnurgecloud.com)

En Noyb - Centro Europeo de Derechos Digitales - Max Schrems, presidente de noyb.eu, no se muestra entusiasmado con la nueva normativa:

La UE y EE.UU. coinciden en el término "proporcionado", pero aparentemente no en su significado. Al final, prevalecerá la definición del TJCE, lo que probablemente deshará el acuerdo. Es decepcionante que la Comisión Europea quiera seguir espiando a los europeos basándose en esta palabra.

Además, Max Schrems parte de la base de que "un nuevo acuerdo será pronto anulado por el TJCE": aunque hay acuerdo sobre el nivel de protección en sí, no parece que se esté logrando una aplicación jurídicamente segura. Con la nueva normativa, las empresas estadounidenses pueden seguir tratando datos europeos sin cumplir el GDPR.

Max Schrems continúa:

Sin embargo, Estados Unidos considera que los extranjeros no tienen derecho a la intimidad. Dudo que Estados Unidos tenga futuro como proveedor mundial de servicios en la nube si los clientes internacionales no tienen derechos en virtud de la legislación estadounidense.

Llevamos tiempo esperando una normativa sensata y "¿lo único que consigo es esta mísera camiseta?".

Andreas Lehr a través de su boletín allesnurgecloud.com del 9.10.22

12.12.22 - Llamada telefónica con el RPD de Shopify

La semana pasada hubo una llamada telefónica entre yo, el Responsable de Protección de Datos (DPO) de Shopify y nuestro Responsable de Protección de Datos. Esto es lo que aprendí de la conversación:

Shopify no tiene intención ni interés en hablar con las autoridades. En su lugar, quieren "dotar a los comerciantes de los conocimientos y materiales necesarios" para que sean ellos mismos quienes lleven a cabo las conversaciones con las autoridades. La responsabilidad ante las autoridades en caso de advertencia recae al 100% en el comerciante. Cualquiera que espere responsabilidad u otro apoyo financiero de Shopify se equivoca. He oído esto con frecuencia de los comerciantes en respuesta al post "Shopify es legal".

La Evaluación del Impacto de la Transferencia (EIT) que exigimos (mucho antes) supuestamente existe, pero no puede facilitarse sin más por tratarse de "información sensible". Como mucho por partes y sólo a petición. Eso es lo que estamos esperando ahora.

Según el DPO de Shopify, dos de los tres CDN solicitados por la autoridad ya no se utilizan en las tiendas de los comerciantes (no verificado por mí).

Tras la llamada, seguimos sin saber mucho más. Ahora hemos formulado un correo electrónico con un cuestionario (para la evaluación interna del responsable de protección de datos), así como la solicitud por escrito para hacer preguntas concretas sobre la transferencia de datos desde y hacia Cloudflare (TIA) y estamos a la espera de respuesta.

Fuente: LSWW