Más restricciones al uso publicitario de los datos personales

Podría haber más restricciones todavía para el uso publicitario de los datos personales de clientes y consumidores tras la aprobación del aún Anteproyecto de Ley de Protección de Datos por la que se traspondrá al ordenamiento jurídico español el Reglamento Europeo.
Las restricciones se derivarían por un lado de la interpretación restrictiva del Reglamento Europeo que traspone y, por otro, de la nueva regulación europea de la privacy cuyo articulado y aprobación todavía se tramitan en la UE. Lo explicaba esta mañana Mar España Martí (Directora de la Agencia Española de Protección de Datos -AEPD-) durante su intervención en el Seminario Autocontrol sobre la Regulación de la Publicidad Digital, Protección de Datos y Privacidad que se ha celebrado hoy en la Sede corporativa de The Coca-Cola Company en Madrid.

El futuro Reglamento de Privacy podría suprimir algunas excepciones

La Directiva establecía una definición muy amplia de comunicación comercial, pero también dos excepciones. En primer lugar quedaban excluidas de esta definición aquellas comunicaciones que no cayeran dentro de la misma pero incluyeran un link a la website de una empresa. En segundo lugar, también quedaban fuera del concepto de comunicación comercial aquellas comunicaciones en las que no mediara pago alguno.

El reglamento de Privacy, sin embargo, no prevé excepciones. La Directora de la AEPD explicó que la Agencia

había archivado muchas denuncias basándose en ambas excepciones, que consideraba que debían seguir operativas y que así se lo había hecho saber a la SETSI (Secretaría de estado de Telecomunicaciones y para la Sociedad de la Información) para que dentro del margen de negociación que tenga el estado Español se esta cuestión del mantenimiento de ambas excepciones en Europa dentro del proceso de tramitación del Reglamento de Privacy.

Más restricciones para comunicaciones en el marco de relaciones ya existentes

El considerando 33 del Reglamento UE de Protección de datos ha sido redactado de forma diferente en la versión española e inglesa. Se refiere al uso de los datos de un cliente en el marco de relaciones preexistentes. Mientras que la versión inglesa permite a las empresas tan sólo el uso de los datos de correo electrónico, la versión española, incluye con mayor amplitud otro tipo de medios electrónicos de comunicación.

La AEPD, subrayó Mar España, estima que debería prevalecer la versión española y que así se lo ha trasladado a la SETSI.

Herramienta «Facilita» para Pymes, delegados de protección de datos profesionales certificados por la AEPD, también externos y a tiempo parcial

Desde el punto de vista estratégico resulta imposible que nuestro país llegue a adaptarse a la normativa europea si no existe una colaboración estratégica entre la Administración, grandes empresas y Pymes, dijo Mar España (Diretora de la AEPD) y siguió explicando que habrá una diferente interpretación del Reglamento, menos estricta, para las Pymes: » Entiendo que no puede tener la misma interpretación el Reglamento para Coca-Cola, no se el presupuesto que manejan, que por ejemplo una Pyme o un pequeño comercio en nuestro país.

Mar España Martí Directora de la AEPD. © Eastwind.

Hemos puesto en marcha una herramienta que la hemos denominado Facilita y que la estamos difundiendo a través de CEOE y de CEPYME para facilitar más del 80% de los registros inscritos en la Agencia Española son de riesgo de carácter básico y entendemos que en esos casos ni por supuesto la empresa tiene que nombrar un delegado de protección de datos ni hacer un análisis de riesgo, ni volverse loca, sí tiene que plantearse y asimilar la cultura de privacidad por defecto y por el diseño y por eso esa herramienta está para facilitar el cumplimento de la normativa.

«Pero en el caso de las empresas que están utilizando perfilado de los clientes o tratamientos a gran escala, ya sabéis, subrayó, » que el Reglamento establece que sea uno de los supuestos obligatorios, otro son las Administraciones Públicas, en que las empresas tienen que tener nombrado un delegado de protección de datos.

«En este sentido también quiero señalar que desde la Agencia etamos bogando por el modelo más flexible posible, de manera que…» para evitar fraudes como los de algunas empresas que llevan a cabo una auditoría aparente a coste cero pero que deja completamente al descubierto al empresario «hemos puesto en marcha desde la Agencia un sistema de certificación del delegado profesional de protección de datos».

Este sistema de certificación oficial, pionero a nivel europeo, no implica que las empresas tengan obligación de acudir o de emplear un delegado certificado, pero sí tendrá la garantía de que el delegado ha pasado por unos mínimos de acreditación de su experiencia, de su formación y de su nivel mínimo de conocimientos porque ha tenido que superar un test de 150 preguntas que demuestre que tiene una capacitación para llevar a cabo estas funciones, subrayó Mar España.

«Las empresas son libres de contratar a tiempo parcial a un delegado de protección de datos o de acudir a entidades o asociaciones representativas del sector como Autocontrol o colegios profesionales»…»No tendría sentido, quizás, que el 1.300.000 de profesionales que están colegiados en nuestro país tengan que hacer una contratación individualizada de un delegado de protección de datos. Estamos hablando con los responsables de los colegios profesionales para que tengan ese servicio a través del Consejo General de Colegios Profesionales o a través del colegio en su ámbito provincial y los colegiados si así lo desean, voluntariamente y por una cuota mucho más barata y asequible, ese profesional pueda utilizar ese delegado de protección de datos cuando lo necesite».

La elección de un delegado de protección de datos competente no es una cuestión baladí, porque, según el Reglamento Europeo tan sólo se trata de un asesor que no asume la responsabilidad por el incumplimiento de la normativa de protección de datos en que pueda incurrir la empresa. Es la compañía la que en todo caso asumirá la responsabilidad por el incumplimiento.
Por otro lado, a AEPD pasa a ser la autoridad de supervisión y sanción en el ámbito del cumplimiento o eventual incumplimiento de la regulación sobre protección de datos y privacidad, lo que supondrá un aumento considerable de la carga de trabajo sobre la que venía soportando la Agencia.

Un grave problema: El interés legítimo desaparece como principio legitimador del uso y tratamiento de datos

Hasta la aprobación del Reglamento Europeo de Protección de Datos la legislación sobre la materia admitía como fundamento legal para el empleo y tratamiento de los datos personales de un sujeto el hecho de que la empresa dispusiera de ellos para las comunicaciones en el marco de una relación contractual o comercial mantenida a lo largo del tiempo.

Jesús Rubí Navarrete (Adjunto a la Dirección de la AEPD). © Eastwind.

Tras la entrada en vigor del Reglamento Europeo, se obliga a las empresas a justificar con fundamentos legales concretos el uso y tratamiento de datos personales que vayan a llevar a cabo.

El cambio supone un grave problema para muchas empresas que han venido basando estas actividades de uso y tratamiento de datos en la existencia de una relación contractual preexistente, como es el caso de Telefónica, según hizo saber uno de los representantes de la multinacional durante el coloquio para luego pedir que sería conveniente volver a admitir este principio en el Reglamento sobre privacy que se prepara en la UE y si es posible, vía interpretación de la Ley de transposición del Reglamento .

Jesús Rubí Navarrete (Adjunto a la Dirección de la AEPD) puntualizó que no es que el interés legítimo deje de estar presente en el Reglamento, sino que la nueva Regulación tan sólo lo admite en supuestos tasados que aparecen repartidos por su articulado. Esta forma restrictiva de acoger el interés legítimo hace que no pueda ser invocado ni aplicado con carácter general como se hacía antes.

Adiós al consentimiento tácito y hola a las Listas Robinson

En un país donde empresas y otras entidades han venido construyendo sus bases de datos y han venido realizando el tratamiento de estos datos basándose en el principio del consentimiento tácito el Reglamento Europeo exige ahora de forma inequívoca el consentimiento expreso y activo del interesado. Cierto que también se establece el respeto a las bases de datos que ya existan, pero siempre y cuando el consentimiento se hubiera recavado de forma legal, lo que con la nueva normativa implicaría que es preciso conseguir el consentimiento expreso del interesado en los casos en los que no se disponga de él.

Otra novedad que viene a complicar la construcción de bases de datos, así como el uso y tratamiento de datos personales es que a partir de la aprobación del Reglamento se admite en España que el interesado pueda inscribirse en una Lista Robinson, o lo que es lo mismo, en un registro en el que no sólo puede hacer constar que no quiere que sus datos sean tratados sino en qué medida y para qué sí permite o no su uso y tratamiento informatizado.

Empresas y entidades se verán obligadas también en España a comprobar que el interesado titular de los datos no se ha inscrito en una Lista Robinson siempre que los tome de una fuente pública, como el censo, listado de un colegio o una publicación, por ejemplo.

La Ley de trasposición quedará aprobada el 25 de mayo de 2018

Jesús Rubí Navarrete (Adjunto a la Dirección de la AEPD) adelantó que la tramitación del Anteproyecto de Ley se encontraba actualmente pendiente de dictamen por parte del Consejo de Estado y que en principio se esperaba que estaría aprobado el 25 de mayo de 2018.
Navarrete desgranó además las novedades y obligaciones para las empresas que empleen bases de datos de clientes, consumidores y empleados derivadas de la nueva regulación sobre Protección de Datos.

Imagen sobre el titular.- Mar España Martí Directora de la AEPD. © Eastwind.

Eastwind Marketing links relacionados:

Intervención de Mar España (Directora de la AEPD) en el Seminario Autocontrol sobre la Regulación de la Publicidad Digital, Protección de Datos y Privacidad

Autocontrol y AEPD lanzan un sistema de mediación con operadores de telecomunicaciones

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Últimas noticias