¿Qué datos personales se manejan en una transacción UCP?

Una transacción UCP implica datos de vinculación de identidad (nombre, dirección, teléfono, correo electrónico), token AP2, datos de pedido, registros de transacciones y datos de entrega.

¿Cuál es la base legal principal para procesar datos de vinculación de identidad en UCP?

La base legal principal es la ejecución del contrato de venta (Artículo 6.1.b GDPR), ya que es necesario para el envío del pedido.

¿Quién es responsable de obtener el consentimiento inicial para la vinculación de identidad?

El consentimiento inicial lo recoge el agente de IA (por ejemplo, Google Gemini, ChatGPT), no el comerciante. El comerciante debe verificar la certificación UCP del agente y documentar la fuente de los datos.

¿Qué derechos tienen los interesados en el contexto de UCP?

Los interesados tienen derecho de acceso (Artículo 15 GDPR) y derecho de supresión (Artículo 17 GDPR), con las excepciones legales aplicables.

¿Con quién debe firmar un DPA un comerciante en el ecosistema UCP?

Se deben firmar DPA con el procesador de pagos, el transportista y, si se utiliza, con el proveedor de infraestructura UCP. No se requiere DPA con el agente de IA, ya que son terceros independientes.

UCP y GDPR: guía de cumplimiento para comerciantes europeos

Datos personales implicados en una transacción UCP

Una transacción del Universal Commerce Protocol implica varias categorías de datos personales:

Datos de vinculación de identidad: nombre, apellidos, dirección de entrega, teléfono, correo electrónico, transmitidos del agente de IA al comerciante por pedido
Token AP2: pseudónimo criptográfico vinculado a un método de pago real, procesado por el procesador de pagos
Datos del pedido: productos comprados, importe, fecha, conservados por el comerciante
Registros de transacciones: marca de tiempo, agente de IA utilizado, punto final llamado, datos técnicos de la transacción
Datos de entrega: transportista, número de seguimiento, estado, compartidos con el transportista

Todos estos datos están sujetos al GDPR tan pronto como el comerciante o el comprador se encuentran en el Espacio Económico Europeo.

Bases legales para el procesamiento de datos UCP

Ejecución de un contrato (Artículo 6.1.b GDPR)

La base legal principal para procesar los datos de vinculación de identidad es la ejecución del contrato de venta. Sin el nombre y la dirección de entrega, el comerciante no puede enviar el pedido. Este procesamiento es necesario para el contrato celebrado entre el comprador y el comerciante a través del agente de IA.

Importante: esta base legal solo cubre lo estrictamente necesario para la entrega. El uso de la dirección de entrega para boletines o ofertas promocionales requiere una base legal separada (consentimiento, Artículo 6.1.a).

Obligación legal (Artículo 6.1.c GDPR)

La retención de datos de transacciones (pedidos, facturas, importes) con fines contables (normalmente de 7 a 10 años, según los requisitos del estado miembro) se justifica por una obligación legal.

Interés legítimo (Artículo 6.1.f GDPR)

La retención de registros de transacciones agénticas para la seguridad y la prevención del fraude puede basarse en el interés legítimo del comerciante, con justificación documentada y un período de retención limitado (normalmente de 12 a 24 meses).

Vinculación de identidad y consentimiento: ¿dónde reside la responsabilidad?

El consentimiento inicial del usuario para compartir datos a través de la vinculación de identidad es recogido por el agente de IA (Google Gemini, ChatGPT, etc.), no por el comerciante. El comerciante recibe datos personales cuyo consentimiento fue recogido por un tercero (el agente de IA). Por lo tanto, el comerciante debe:

Verificar que el agente de IA transmisor está certificado por UCP (garantizando que el consentimiento se recogió correctamente)
Documentar en su registro de actividades de procesamiento que la fuente de datos es la vinculación de identidad UCP
No utilizar estos datos más allá del propósito del pedido sin obtener un consentimiento directo adicional del comprador

Derechos del interesado en el contexto UCP

Derecho de acceso (Artículo 15 GDPR)

Si un usuario solicita acceso a los datos que usted tiene sobre él (incluidos los datos de vinculación de identidad), debe poder proporcionárselos en el plazo de un mes. Asegúrese de que su sistema pueda identificar y extraer todos los datos vinculados a un individuo, incluidos los datos del canal agéntico.

Derecho de supresión (Artículo 17 GDPR)

El usuario puede solicitar la supresión de sus datos, excepto cuando se apliquen obligaciones legales (retención de facturas). Distinga claramente en sus sistemas los datos "borrables" (datos de perfil, historial de navegación) de los datos "de retención obligatoria" (datos de transacciones legalmente requeridos).

Acuerdos de procesamiento de datos: ¿con quién firmarlos?

En el ecosistema UCP, usted tiene varios procesadores en el sentido del GDPR:

Su procesador de pagos (Stripe, Adyen): se debe firmar un DPA, normalmente incluido en los T&C del procesador, pero verifique que exista un anexo específico del GDPR
Su transportista: se requiere DPA para compartir la dirección de entrega
Infraestructura UCP: si utiliza un servicio de terceros para gestionar sus puntos finales UCP, se requiere DPA
El agente de IA: técnicamente, Google (Gemini) u OpenAI (ChatGPT) son terceros independientes, no procesadores. No se necesita DPA, pero documente que verificó su certificación UCP.

Actualización de la política de privacidad

Agregue una sección en su política de privacidad explicando:

Que acepta pedidos a través de agentes de IA (canal UCP)
Qué datos se reciben a través de la vinculación de identidad y cómo se procesan
Que los datos de pago se gestionan a través del protocolo AP2 (seudonimización)
Cómo ejercer los derechos para los datos de compras agénticas