Protección de datos y comunicación digital

Miguel Geijo Castany

Madrid, 5 de marzo 2013

1) Marco normativo estatal básico.

2) Contenido Política de Privacidad: Información.

3) Contenido Política de Privacidad: Consentimiento.

4) Cumplimiento de la LOPD para la utilización de datos con “fines comerciales”.

5) Comunicaciones Comerciales por Vía Electrónica.

6) Marketing Viral.

7) Ficheros de exclusión (Listas Robinson).

8) Cookies.

Sumario

1

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

(LOPD) y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento

de desarrollo de la LOPD (Reglamento).

• Derecho Fundamental

• Conceptos básicos: dato personal; tratamiento de datos; responsable del fichero y

encargado del Tratamiento; “acceso” vs “cesión” de datos.

• Principios: Información, Consentimiento, Calidad y Proporcionalidad.

• Derechos ARCO.

• Régimen sancionador.

Otras fuentes (no normativas)

a) Instrucciones de la Agencia Española de Protección de Datos (AEPD);

b) Resoluciones de expedientes sancionadores y de tutela de derechos de la AEPD;

c) Jurisprudencia revisora de la actuación de la AEPD;

d) Inspecciones Sectoriales de la AEPD;

e) Informes del Gabinete Jurídico de la AEPD;

f) Informes del denominado “Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE”

1. Marco Normativo Estatal Básico (i)

2

Normativa sectorial: por ejemplo, Ley 32/2003, de 3 de noviembre, General de

Telecomunicaciones (LGT) y su reglamento de desarrollo (Real Decreto 424/2005, de 15 de

abril (RSU)).

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio

Electrónico (LSSI) y Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad

de la Información (entre otras).

• Objeto; servicios de la sociedad de la información, comercio electrónico.

• Prestadores de servicios de la SI y prestadores de servicios de intermediación:

• responsabilidad y,

• conocimiento efectivo.

• Deber de información general e información previa y posterior relativa a la

contratación.

Régimen distinto en función B2B o B2C.

Comunicaciones comerciales por vía electrónica: definición y régimen “OPT IN”.

Cookies: Consentimiento.

1. Marco Normativo Estatal Básico (ii)

3

1. Deber de informar a los titulares de los datos de su recogida y tratamiento, previamente a la recogida de forma expresa precisa e inequívoca sobre:

a) La existencia de un fichero o tratamiento de datos de carácter personal.

b) La identidad y dirección del responsable del fichero.

c) La finalidad determinada, explícita y legítima del tratamiento.

d) Los cesionarios o categorías de cesionarios de los datos, delimitados, al menos, por el tipo de actividad.

e) El carácter obligatorio o facultativo de la respuesta a las preguntas que sean planteadas.

f) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

g) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Cuando se prevea que los datos sean utilizados de forma tal que los usuarios puedan ser segmentados o categorizados con fines comerciales (profiling) debe informarse claramente de esta circunstancia al usuario en el momento de recabar sus datos. Así mismo, debe concederse la facultad de oponerse a esta modalidad de tratamiento.

Si se utilizan procedimientos automáticos invisibles de recogida de datos relativos a una persona identificada o identificable (cookies, datos de navegación, información proporcionada por los navegadores, contenidos activos...).

2. Contenido Política de Privacidad. Información

4

2. Contenido Política de Privacidad. Información

Forma: medio que permita acreditar el cumplimiento de dicha obligación, siendo necesario su conservación mientras persista el tratamiento de los datos de los afectados.

Es recomendable incluir la información claramente visible, pudiendo el usuario obtenerla con facilidad y de forma directa y permanente (link permanente a la Política de Privacidad).

Asimismo, es recomendable que la información se presente como ineludible (y no optativa) en el proceso de recogida de datos de los usuarios (casilla de aceptación de la Política de Privacidad) en el momento del registro del usuario (previo o no a la contratación).

Importancia del principio de calidad y finalidad.

• Sólo podrán recogerse datos personales para el cumplimiento de finalidades determinadas, explícitas y legítimas.

• No deben recabarse datos, cuyo conocimiento por parte del responsable no esté justificado por la finalidad para la que se recaban y de la cual el usuario no haya sido previamente informado.

• Sólo podrán tratarse los datos adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

• Los datos tratados, no podrán usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos.

5

2. Contenido Política de Privacidad. Consentimiento

2. Deber de recabar el consentimiento para el tratamiento y/o cesión de sus datos.

• Excepciones:

⁻ Reserva legal

⁻ Existencia de un contrato o precontrato de una relación negocial, laboral y administrativa y sea necesario para su mantenimiento o cumplimiento.

⁻ La comunicación de datos sea necesaria para el cumplimiento y control de una relación jurídica aceptada por el afectado (conexión necesaria con ficheros de terceros).

⁻ La comunicación tenga por destinatarios al Defensor del Pueblo, Ministerio Fiscal, Jueces o Tribunales o el Tribunal de Cuentas.

El consentimiento debe ser libre, inequívoco e informado, y es revocable.

Si se solicita el consentimiento durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual (i.e. publicidad), debe permitirse al usuario que manifieste expresamente su negativa al tratamiento o comunicación de datos (opt in).

Estructuras:

a) Política de privacidad+ leyendas específica de aceptación

b) Cláusulas específicas: “Registro de usuarios“; ”contacta con nosotros”; “sugerencias”; “atención cliente”; “trabaja con nosotros”

6

Régimen general LOPD para tratamiento de datos con “fines comerciales”.

Requisitos:

a) Información, Consentimiento, y Calidad.

b) Datos recabados de fuentes accesibles al público (exclusivamente, el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales, los diarios y boletines oficiales y los medios de comunicación).

Incidencia de la reciente Sentencia del Tribunal Supremo (STS de 8 de febrero de 2012), sobre el “interés legítimo”.

3. Cumplimiento de la LOPD: tratamiento de datos con fines comerciales

7

Comunicación comercial: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

Prohibición de enviar comunicaciones publicitarias o promocionales por correo electrónico, u otro medio de comunicación electrónica equivalente (correo electrónico, sms, mms) no solicitadas o expresamente autorizadas por el destinatario.

₋ Excepción: (i) existencia de una relación contractual previa, (ii) que los datos hayan sido obtenidos de forma lícita (incluido el cumplimiento de los principios de la LOPD mencionados anteriormente), y (iii) las comunicaciones comerciales se refieran a productos o servicios del remitente similares a los que inicialmente fueron objeto de contratación con el destinatario

Requisitos:

a) Identificar claramente la comunicación comercial como tal, así como a la persona física o jurídica en nombre de la cual se realiza. Inclusión al comienzo del mensaje la palabra “publicidad” o la abreviatura “publi”.

b) Ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

c) Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Régimen sancionador: leve (multa de hasta 30.000 euros) o grave (multa de 30.001 hasta 150.000 euros).

4. Comunicaciones Comerciales por vía electrónica (LSSI)

8

“Pásalo”.

“Viral incentivado”

“Recomienda a un amigo”:

5. Marketing Viral

9

Si un afectado ha manifestado su derecho a oponerse a la remisión de publicidad (off line – on line) la compañía deberá abstenerse de utilizar los datos personales del mismo afectado para dicha finalidad, debiendo adoptar medidas para impedir posteriores envíos publicitarios. Además, la compañía informará de la existencia de los ficheros comunes (Listas Robinson “internas”)

Sin perjuicio de lo anterior el Reglamento prevé la creación de ficheros comunes, de carácter general o sectorial, para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad (Listas Robinson “comunes”)

Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento.

Status Quo actual y aplicación práctica.

Supuesto específico: Deduplicación

6. Ficheros de exclusión (Listas Robinson)

10

Marco jurídico:

• Directiva 2002/58/CE tratamiento datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas.

• Directiva 2009/136/CE, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores.

• Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

• Modificación del régimen relativo a las cookies, mediante el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista

• Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD).

• Otros: “Propuesta de Guía sobre las normas de uso de las Cookies” (Adigital; AutoControl; Interactive Advertising Bureau (iab))

11

7. Cookies

Definición WP 17 año 1999:

Se entiende por cookie, una ficha de información informatizada que se envía desde un servidor web al ordenador de un usuario, con objeto de identificar en el futuro ese ordenador en sucesivas visitas al mismo sitio web. (Recomendación 1/99 sobre el tratamiento invisible y automático de datos personales en Internet efectuado por Software y Hardware).

La cookie es un texto breve alfanumérico almacenado (y recuperado posteriormente), en el terminal del usuario por el proveedor de la red.

De conformidad con la LSSI se puede entender por cookie:

Cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario, con la finalidad de almacenar y recuperar datos que se encuentran en el equipo desde el que el usuario accede el usuario al servicio.

7. Cookies

12

Clasificación de las cookies:

1. Según la finalidad para la que se traten los datos obtenidos:

• Cookies técnicas: son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación, y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, acceder a partes de acceso restringido.

• Cookies de análisis: son aquéllas que permiten al editor de una página web, plataforma o aplicación, ser más eficaz e introducir en las mismas mejoras en función del análisis de los datos de uso que hacen los usuarios.

• Cookies de medición: son aquellas que permiten contar las acciones que realizan los usuarios cuando usan el servicio solicitado.

• Cookies de funcionalidad: son aquéllas que permiten al usuario la navegación con algunas características predefinidas, en función de una serie de criterios como por ejemplo seria el idioma.

• Cookies publicitarias: son aquéllas que permiten la gestión de los espacios publicitarios que, en su caso, el editor haya incluido en una página web desde la que presta el servicio solicitado.

• Cookies de seguimiento: son aquellas que permiten tratar los datos almacenados, en los equipos terminales de los usuarios, como consecuencia de la utilización por parte de los mismos de diferentes servicios prestados por diferentes editores.

7. Cookies

13

2. Según quien sea la entidad que gestione el equipo desde donde se envían las cookies:

• Cookies propias: son aquéllas que se envían al equipo terminal desde un equipo gestionado por el propio editor que presta el servicio solicitado por el usuario.

• Cookies de tercero: son aquéllas que se envían al equipo terminal desde un equipo que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de cookies con alguna de las finalidades expuestas en el apartado anterior.

3. Según el plazo de tiempo que permanecen activadas en el equipo terminal:

• Cookies de sesión: son un tipo de cookies que recaban datos únicamente durante el tiempo que el usuario accede al servicio; de forma que caducan una vez que el servicio ha sido prestado. Se suelen emplear para recordar los productos que el usuario ha incluido en su pedido mientras navega por el resto de la página web, también por razones de seguridad en el envío de datos cuando se accede a servicios financieros, servicios de correo electrónico, servicios de álbumes de fotos, etc.

• Cookies permanentes: son un tipo de cookies que recaban datos más allá cookies se utilizan, por ejemplo, para almacenar y recordar las preferencias de la navegación del usuario.

7. Cookies

14

Artículo 22 LSSI, tras la transposición de la Directiva 2009/136/CE:

• Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

• Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

• Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

El anteproyecto de la Ley General de Telecomunicaciones, elimina en relación al consentimiento obtenido a través de los parámetros del navegador u otras aplicaciones, la necesidad de que el destinatario deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

7. Cookies

15

Para que el consentimiento sea válido, debe ser informado. En este sentido, el artículo 5 de la LOPD, requiere que la información contenga :

• La identidad y dirección entidad o entidades responsables del tratamiento de las cookies o de su representante.

• La existencia de un fichero o tratamiento de datos.

• La finalidad del tratamiento de datos.

• Los destinatarios de la información o beneficiarios del tratamiento.

• El carácter obligatorio o no de permitir el tratamiento.

• Las consecuencias de permitir o no el tratamiento.

• La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición en tanto en cuanto se pueda tratar de datos de carácter personal.

La información sobre las cookies facilitada a los usuarios debe ser suficientemente completa para permitir a los usuarios entender claramente las consecuencias potenciales de dar su consentimiento para permitir la instalación de las cookies.

Dictamen 15/2011 del Grupo de Trabajo del artículo 29 señala que para garantizar una información adecuada de cara a la obtención del consentimiento, se requieren dos requisitos:

a. Calidad de la información: forma en que se presenta la información.

b. Accesibilidad y visibilidad de la información: la información debe comunicarse de forma directa .

7. Cookies

16

Dictamen 2/2010 del Grupo 29 sobre publicidad comportamental en línea; Dictamen 4/2012 del Grupo 29; Guidance on the rules of cookies and similar technologies del Information Comissioner Office.

El consentimiento expreso es el que más seguridad jurídica tiene si bien, parece que es admisible el consentimiento tácito. Este último, en la medida en que dicho consentimiento sea libre, específico e informado. Ello comporta que:

a. El usuario haya realizado algún tipo de acción de la cual pueda inferirse dicho consentimiento (ej. continua navegando en la web tras haber sido informado).

b. El usuario haya sido informado con claridad y precisión qué concretas acciones suyas serán interpretadas en el sentido de que acepta la instalación y utilización de las cookies.

c. Se dé la oportunidad al usuario de negarse a aceptar las cookies, incluso en el supuesto en el que su negativa suponga que la funcionalidad de la web quede limitada o no sea posible.

7. Cookies

17

Obtención del consentimiento:

• A través de la configuración del navegador.

• A través de la utilización de un pop up de una barra en el encabezamiento o pie de página.

• A través de la aceptación de los T&C, la Política de Privacidad, en la medida en que pueda demostrarse que dicha acción expresa.

• Durante el proceso de especificación o elección de alguna característica de funcionamiento de la página web (settings-led consent).

• Antes del momento en que se vaya a descargar un concreto servicio o aplicación de la página web (feature-led consent) y, finalmente.

• A través del formato denominado “por capas”.

7. Cookies

18

Sistema de información por capas :

• Opinión favorable del Grupo de Trabajo del artículo 29 en su Dictamen 10/2004.

La primera capa de información podría mostrarse en la cabecera o pie de página, mediante un letrero o ventana emergente y que ésta dirigiera a una información más completa. La primera capa de información debería contener la siguiente información:

a. Qué son las cookies.

b. Función y finalidad de las mismas.

c. Petición del consentimiento para instalarlas en el terminal, advirtiendo que si sigue navegando se considerará que consiente.

d. Link a una segunda capa de información más detallada.

La segunda capa, incluiría más información y la opción de desactivar las cookies, distinguiendo las modalidades de las mismas.

a. Tipos de cookies que se utilizan (breve descripción).

b. Opción de deshabilitar las cookies.

c. Opcional: Link a una tercera página con información más detallada.

La tercera capa, optativa, en la que se describen todas las cookies que se utilizan, dependiendo de su finalidad, y a la que se accede mediante un link situado en cada una de las descripciones, indicando que se obtendrá más información.

7. Cookies

19

7. Cookies

20

Primera capa:

Segunda capa:

7. Cookies

21

Tercera capa:

7. Cookies

22

Excepciones al deber de obtener el consentimiento:

El tipo de cookies o las finalidades para las cuales se pueden tratar los datos sin necesidad de obtener el consentimiento (Dictamen 4/2012 del Grupo de Trabajo del Articulo 29), son aquellas que permiten:

• Controlar el tráfico y la comunicación correcta de datos.

• El correcto funcionamiento del servicio solicitado por el usuario.

• La identificación de sesión.

• La autenticación de usuario.

• La realización de un pedido.

• La adopción de medidas de seguridad.

• La utilización de elementos multimedia.

• El redireccionamiento del tráfico.

• La personalización del servicio.

• Las cookies de medición.

Por el contrario las cookies para las que es necesario obtener el consentimiento serían aquellas que se utilizan para:

• La utilización de plugins de redes sociales.

• La publicidad.

• La realización de analítica web.

7. Cookies

23

Responsabilidad en la utilización de cookies:

El artículo 22 de la LSSI no define quién es el responsable de cumplir con la obligación de obtener el consentimiento informado.

En aquellos casos en que un prestador de servicios ofrezca a los usuarios un servicio en línea y todas las cookies de su página web se utilicen para la prestación de dicho servicio, se entenderá que ese prestador de servicios será responsable del cumplimiento del citado precepto.

Por otra parte, cuando se instalan cookies de terceros, ambas partes tendrán la responsabilidad de garantizar que los usuarios están claramente informados acerca de las cookies y de obtener su preceptivo consentimiento.

En estos casos, se recomienda a las terceras partes que instalen cookies de terceros incluir en sus contratos con los editores una cláusula en la que se aseguren de que se ofrecerá a los usuarios la información requerida y se obtendrá un consentimiento válido para su utilización.

7. Cookies

24

Barcelona

Escoles Pies 102 (P.º Bonanova),

08017 Barcelona

Madrid

Zurbarán 20, 3º

28010 Madrid

www.rcd-bcn.com

GRACIAS POR SU ATENCIÓN.

Miguel Geijo Castany MGeijo@rcdslp.com