Blog

cursos-de-opnesource-Madrid

1. El nuevo marco regulatorio para Europa.

El 25 de mayo de 2018 entrará en plena aplicación la regulación europea en protección de datos. Se encuentra contenida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos; RGPD). Publicado en el DOUE el 4 de mayo de 2016, desde entonces, 25 de mayo de 2016, está en vigor.

Esta norma es de directa aplicación en toda Europa. Al ser un reglamento, a diferencia de las directivas comunitarias, su aplicación es directa sin necesidad de incorporación por los Estados miembros mediante trasposición a su Ordenamiento interno. Sin embargo, debido a la trascendencia de las nuevas normas y derechos regulados, será aplicable a partir del 25 de mayo de 2018 tras un plazo suficiente de adaptación. Así, hasta entonces, cada Estado y todas las empresas y Administraciones públicas deberán realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento.

La entrada en vigor del reglamento supuso la derogación de la Directiva 95/46/CE, vigente durante más de veinte años, si bien que dicha derogación también tendrá efecto a partir del 25 de mayo de 2018, para permitir la plena adecuación de Estados, Administraciones públicas y empresas.

Asimismo, el pasado 10 de noviembre de 2017 el Gobierno de España aprobó a instancias del Ministro de Justicia el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), que será tramitado en las Cortes Generales hasta su aprobación por la mayoría cualificada que requiere la relevancia jurídica de esta norma, que afecta a derechos fundamentales. Se estima que el texto definitivo estará aprobado y entrará en vigor a la vez que el RGPD.

Entretanto, en España se aplicará la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta norma se ha caracterizado por una perspectiva estática: se ha articulado mediante la consideración de los ficheros como algo poco variable y notificados para su inscripción a la Agencia Española de Protección de Datos (AEPD).

El Reglamento general de protección de datos, a escala europea, modifica sustancialmente la articulación de la protección de datos. En adelante, la perspectiva ya no será estática, sino principalmente dinámica, al atender más que a la estructura de los ficheros, sobre todo a los flujos de los datos personales que merecen protección.

2. Principales novedades de la protección de datos en el marketing online.

El marketing online también se verá afectado por esta nueva regulación europea y nacional. Quienes trabajan en estos sectores ya prestan atención a los importantes cambios que se plantean, pues algunos suponen importantes medidas no siempre fáciles de cumplir, como por ejemplo la supresión del consentimiento tácito (prestado por la simple omisión del interesado) para ciertos tratamientos de datos personales.

Así, sin ánimo exhaustivo, pueden destacarse algunas de las principales novedades de la regulación, tomando de momento como provisionales las que incorpora la normativa española en proyecto hasta su plena aprobación.

Entre las medidas de necesaria implementación, se prevé el establecimiento en cada empresa o entidad del denominado “registro de las actividades de tratamiento”. Hasta el momento no es habitual que las entidades dispongan de ese “mapa de datos” y del ahora indispensable “mapa de flujos de datos”. Este registro ha de ser cíclicamente revisado y actualizado en función del habitual desarrollo de las actividades de la persona física o jurídica que procese los datos personales. Además, debe incluir la información establecida en el RGPD (art. 30), desde el nombre y datos de contacto del responsable o encargados de tratamiento y del delegado de protección de datos, hasta los fines del tratamiento o la descripción de las categorías de interesados y de las categorías de datos personales, incluida la descripción general de las medidas técnicas y organizativas de seguridad.

Como hemos adelantado, la nueva regulación excluye el denominado “consentimiento tácito”, derivado de la manifestación de la negativa del afectado al tratamiento de sus datos, normalmente obtenido por la vía de no responder a una comunicación previa de la empresa o entidad responsable del tratamiento. Se prevé también la obligación de que el consentimiento del afectado para una pluralidad de finalidades de procesamiento de datos conste que se otorga de manera específica e inequívoca para cada una de ellas. Entendemos que ya no es posible obtener ni prestar un consentimiento genérico o difuso para múltiples finalidades.

En relación con la capacidad de obrar y de prestar el consentimiento explícito, aparece una novedad respecto de los menores: se adelanta a los 13 años la edad en que ya pueden prestar su consentimiento personal para el tratamiento de sus datos, en consonancia con la normativa de otros países de nuestro entorno. Sin embargo, conviene tenerlo en cuenta en relación para el marketing online, pues algunas redes sociales como Facebook o Instagram todavía requieren que los usuarios tengan una edad mínima de 14 años para crear una cuenta y pueden crearse situaciones ilegales si no se respetan dichas normas.

Otras de las novedades destacadas en la nueva regulación es el tratamiento de datos de fallecidos, más si continúan siendo destinatarios de las acciones de marketing. La importancia de esta cuestión obedece a la proliferación de perfiles de personas difuntas, por ejemplo, en redes sociales, bases de datos digitales, etc. Se colmará así un vacío legal de creciente importancia social y que tiene consecuencias prácticas para las entidades que realizan acciones de marketing respecto de posibles fallecidos. En estos supuestos en oportuno saber que los herederos pueden solicitar el acceso a los datos del finado, así como su oportuna rectificación o supresión, con sujeción, en su caso, a las instrucciones del fallecido.

Se regula también el modo de procesar las denominadas “categorías especiales de datos”, que incluyen aquellos reveladores del origen étnico o racial, opiniones políticas, religión o creencias filosóficas, militancia en sindicatos, tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual y las condenas e infracciones penales o medidas de seguridad conexas. La normativa establece que, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de los datos especialmente sensibles.

En consecuencia, será necesaria una habilitación adicional para el procesamiento, por ejemplo, el cumplimiento de obligaciones legales, la protección de intereses vitales del interesado o en los demás supuestos previstos en el artículo 9.2 del RGPD. En todo caso, conviene tener presente que el consentimiento explícito obtenido debe ser verificable. La entidad que lo ha recogido ha de estar en condiciones de acreditar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.

Entre las obligaciones del responsable de tratamiento de marketing digital destacan igualmente la confidencialidad, en cuento deber de guardar secreto, la supresión de la obligación de onscripción de ficheros en la AEPD, la comunicación en su caso a la AEPD de operaciones de tratamientos de datos, la posibilidad de consulta a la AEPD sobre operaciones de tratamientos de datos y la regulación de los corresponsables en corregistros.

Finalmente, como aspecto particular del marketing online, las decisiones individuales automatizadas, incluida la elaboración de perfiles, se regulan en el RGPD (art. 22) en sentido prohibitivo, pues todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (“profiling”), que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Se excepcionan algunos supuestos concretos, previa adopción de las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como cuando es necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; si está autorizado por el Derecho de la Unión o de los Estados miembros, o si se basa en el consentimiento explícito del interesado.

3. Conclusiones.

Una de las principales ventajas del marketing digital es que resulta 100% medible, a diferencia de la publicidad tradicional, y permite medir con precisión el impacto de una campaña, pero con la nueva regulación de protección de datos será necesario cumplir ciertas garantías legales que así lo hagan posible.

La regulación de directa aplicación en toda Europa atiende a nuevas circunstancias del entorno digital, con crecientes flujos transfronterizos de datos personales, en atención a la rápida evolución tecnológica y la globalización, para garantizar la protección de los datos personales, así como como la libre circulación de estos datos debidamente protegidos.

EFRÉN DÍAZ DÍAZ
Abogado. Especialista en Derecho Administrativo, Tecnológico y Geoespacial.
Bufete Mas y Calvet (www.mascalvet.com)efrendiaz@mascalvet.com
Docente del Módulo: Protección de Datos, Publicidad y Marketing en el Programa Superior de Analítica Digital