Comunicación digital y política de privacidad

Miguel Geijo Castany

Madrid, 28 de febrero 2012

1) Marco normativo estatal básico.

1) LOPD

1) Política de Privacidad

2) LSSI

1) Aviso Legal

2) Condiciones Generales de Contratación

2) Contenido Política de Privacidad. Información.

2) Contenido Política de Privacidad. Consentimiento.

3) Cumplimiento de la LOPD para la utilización de datos con fines

comerciales

4) Comunicaciones Comerciales por vía electrónica.

5) Ficheros de exclusión.

6) Marketing Viral.

Sumario

2

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

Carácter Personal (LOPD) y Real Decreto 1720/2007, de 21 de diciembre,

por el que se aprueba el Reglamento de desarrollo de la LOPD.

• Derecho fundamental

• Concepto de datos personales, Responsable del fichero y Encargado del

Tratamiento

• “Cesión” vs “Acceso” a datos. Transferencias internacionales de datos

• Principios: Información, Consentimiento, Calidad, y Proporcionalidad

• Derechos ARCO

• Régimen sancionador

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información

y el Comercio Electrónico (LSSI) y Ley 56/2007, de 28 de diciembre, de

Medidas de Impulso de la Sociedad de la Información.

• Objeto; servicios de la sociedad de la información, comercio electrónico….

• Prestadores de servicios de la SI y prestadores de servicios de

intermediación: responsabilidad y “conocimiento efectivo”

• Deber de información general (identificación plena, RM, CIF, autoridad

administrativa…) e información previa y posterior relativa a la contratación

(“pantallas de formato reducido”

1. Marco Normativo Estatal Básico (i)

3

Régimen distinto en función B2B o B2C (CGC, TRLGDCU…)

Comunicaciones comerciales por vía electrónica: definición y régimen “OPT

IN”

Cookies: ¿consentimiento? Pendiente la transposición del Artículo 5.3 de la

Directiva 2009/136/EC.

Otras fuentes (no normativas)

a) Instrucciones de la Agencia Española de Protección de Datos (AEPD);

b) Resoluciones de expedientes sancionadores y de tutela de derechos de la

AEPD;

c) Jurisprudencia revisora de la actuación de la AEPD;

d) Inspecciones Sectoriales de la AEPD;

e) Informes del Gabinete Jurídico de la AEPD;

f) Informes del denominado “Grupo de Trabajo del Artículo 29 de la Directiva

95/46/CE .

Normativa sectorial: por ejemplo,

a) Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT).

b) Reglamento de desarrollo (Real Decreto 424/2005, de 15 de abril (RSU)).

• Utilización con fines comerciales de datos de tráfico (CI) y localización

(CE)

• Régimen sobre guías de servicios de abonados y consulta telefónica

1. Marco Normativo Estatal Básico (ii)

4

1. Deber de informar a los titulares de los datos de su recogida y tratamiento previamente a la recogida de forma expresa precisa e inequívoca sobre:

a) La existencia de un fichero o tratamiento de datos de carácter personal.b) La identidad y dirección del responsable del fichero.c) La finalidad determinada, explícita y legítima del tratamiento.d) Los cesionarios o categorías de cesionarios de los datos, delimitados, al

menos, por el tipo de actividad.e) El carácter obligatorio o facultativo de la respuesta a las preguntas que

sean planteadas.f) Las consecuencias de la obtención de los datos o de la negativa a

suministrarlos.g) La posibilidad de ejercitar los derechos de acceso, rectificación,

cancelación y oposición.

Cuando se prevea que los datos sean utilizados de forma tal que los usuarios puedan ser segmentados o categorizados con fines comerciales (profiling) debe informarse claramente de esta circunstancia al usuario en el momento de recabar sus datos. Así mismo, debe concederse la facultad de oponerse a esta modalidad de tratamiento.

Si se utilizan procedimientos automáticos invisibles de recogida de datos relativos a una persona identificada o identificable (cookies, datos de navegación, información proporcionada por los navegadores, contenidos activos,...) debe informarse claramente de esta circunstancia al usuario, antes de comenzar la recogida de datos a través de ellos o de desencadenar la conexión del ordenador del usuario con otro sitio web.

2. Contenido Política de Privacidad. Información

5

2. Contenido Política de Privacidad. Información Forma: medio que permita acreditar el cumplimiento de dicha obligación, siendo

necesario su conservación mientras persista el tratamiento de los datos de los afectados.

Es recomendable incluir la información claramente visible, pudiendo el usuario obtenerla con facilidad y de forma directa y permanente (link permanente a la Política de Privacidad).

Asimismo, es recomendable que la información se presente como ineludible (y no optativa) en el proceso de recogida de datos de los usuarios (casilla de aceptación de la Política de Privacidad).

Importancia del principio de finalidad.

• Sólo podrán recogerse datos personales para el cumplimiento de finalidades determinadas, explícitas y legítimas.

• No deben recabarse datos cuyo conocimiento por parte del responsable no esté justificado por la finalidad para la que se recaban y de la cual el usuario no haya sido previamente informado.

• Sólo podrán tratarse los datos adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

• Los datos tratados no podrán usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos.

6

2. Contenido Política de Privacidad. Consentimiento2. Deber de recabar el consentimiento para el tratamiento y/o cesión de sus datos.

• Excepciones:⁻ Reserva legal: el tratamiento o la cesión estén amparados por una norma

con rango de Ley o por una norma de derecho comunitario de aplicación directa.

⁻ El tratamiento se refiera a las partes de un contrato o precontrato de una relación negocial, laboral y administrativa y sea necesario para su mantenimiento o cumplimiento.

⁻ La comunicación de datos sea necesaria para el cumplimiento y control de una relación jurídica aceptada por el afectado (conexión necesaria con ficheros de terceros).

⁻ La comunicación tenga por destinatarios al Defensor del Pueblo, Ministerio Fiscal, Jueces o Tribunales o el Tribunal de Cuentas.

El consentimiento debe ser libre, inequívoco e informado, y es revocable.

Si se solicita el consentimiento durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual (i.e. publicidad), debe permitirse al usuario que manifieste expresamente su negativa al tratamiento o comunicación de datos (opt in).

Estructuras:a) Política de privacidad+ leyendas específica de aceptaciónb) Cláusulas específicas: “Registro de usuarios“; ”contacta con nosotros”;

“sugerencias”; “atención cliente”; “trabaja con nosotros”

7

Régimen general LOPD para tratamiento de datos con fines comerciales.

Requisitos:a) Información, Consentimiento, y Calidad.

b) Datos recabados de fuentes accesibles al público (exclusivamente, el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales, los diarios y boletines oficiales y los medios de comunicación).

• Consentimiento de los abonados para ser incluidos en las guías• Derecho de los abonados a que los datos publicados no sean utilizados

con fines comerciales.

c) Habilitar procedimientos sencillos para facilitar al interesado el ejercicio gratuito de su derecho de oposición a la recepción de este tipo de llamadas o al tratamiento en general de sus datos con fines publicitarios y de prospección comercial.

La reciente Sentencia del Tribunal Supremo, sobre el “interés legítimo” y la posibilidad de “comercializar” bases de datos no provenientes de fuentes accesibles al público.

3. Cumplimiento de la LOPD: tratamiento de datos con fines comerciales

8

Comunicación comercial: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

Prohibición de enviar comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente (correo electrónico, sms, mms) no solicitadas o expresamente autorizadas por el destinatario.

₋ Excepción: (i) existencia de una relación contractual previa, (ii) que los datos hayan sido obtenidos de forma lícita, y (iii) las comunicaciones comerciales se refieran a productos o servicios del remitente similares a los que inicialmente fueron objeto de contratación con el destinatario.

Requisitos:a) Identificar claramente la comunicación comercial como tal, así como a la

persona física o jurídica en nombre de la cual se realiza. Inclusión al comienzo del mensaje la palabra publicidad o la abreviatura publi.

b) Ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

c) Habilitar dichos procedimientos sencillos y gratuitos para revocar el consentimiento prestado y facilitar, por medios electrónicos, información sobre dichos procedimientos.

Régimen sancionador: leve o grave. Multa aparejada

4. Comunicaciones Comerciales por vía electrónica (LSSI)

9

“Pásalo”: Las comunicaciones remitidas por la empresa son comunicaciones comerciales (LOPD+LSSI), los reenvíos de los usuarios podrían considerarse como excepción doméstica.

“Viral incentivado”: recompensas por facilitar direcciones de correos electrónicos de terceros.

₋ Necesidad de consentimiento inequívoco de los receptores

“Recomienda a un amigo”:

₋ La AEPD ha sancionado en diversas ocasiones esta actividad, sobre la base de que existe un tratamiento de datos por la compañía que pone a disposición del “remitente” un sistema para su envío a los “receptores”, al considerar que concurre un tratamiento de datos de carácter personal no consentido por estos últimos.

₋ Consentimiento inequívoco, o₋ Exclusión del concepto de comunicación comercial: no tienen consideración

de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, entre otros

5. Marketing Viral

10

El Reglamento prevé la creación de ficheros comunes, de carácter general o sectorial, para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.

Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento.

Status Quo actual y aplicación práctica.

6. Ficheros de exclusión (Listas Robinson)

11

Barcelona

Escoles Pies 102 (P.º Bonanova),

08017 Barcelona

Madrid

Zurbarán 20, 3º

28010 Madrid

www.rcd-bcn.com

GRACIAS POR SU ATENCIÓN.

Miguel Geijo Castany MGeijo@rcdslp.com