¿Qué es la gestión de consentimiento?

¿Cómo obtener el consentimiento?

¿Cómo guardar el consentimiento?

¿Necesito una gestión de consentimientos para mi web?

¿Cómo pueden ayudarte los formularios de suscripción a cumplir con el RGPD?

Soluciones técnicas para incluir el checkbox en nuestra web

Configura tu formulario de suscripción apto para RGPD

Obtener el consentimiento

¿Qué es la gestión de consentimiento?

La gestión de consentimiento es el acto o el proceso de gestionar el consentimientos de tus usuarios y clientes para el procesamiento de sus datos personales.

Un sistema de gestión apropiada de consentimiento abarca lo siguiente:

• Pedir el consentimiento exponiendo claramente a qué se está dando el consentimiento y cómo se están utilizando los datos.
• Retrasar todo seguimiento hasta que se ha otorgado un consentimiento adecuado.
• Almacenar de manera segura todos los consentimientos como documentación de que ese consentimiento ha sido obtenido.
• Dar acceso a sus usuarios para retirar su consentimiento en cualquier momento.
• Renovar regularmente el consentimiento (la directiva ePrivacy establece cada 12 meses).

¿Cómo obtener el consentimiento?

Al confiar en el consentimiento como base legal para el procesamiento de datos, el RGPD establece que dicho consentimiento debe concederse de manera voluntaria e inequívoca y con conocimiento de causa.

Asimismo, es necesario explicar claramente qué uso se les va a dar a los datos personales.

El consentimiento debe ser expreso: es la acción inequívoca del usuario aceptando suscribirse, o aceptando que contactes o que le envíes información comercial.

Y este hecho se traduce técnicamente hablando, en tener que seleccionar el checkbox de aceptación de la política de privacidad.

Pero además tienes que poder almacenar el consentimiento del usuario para poder demostrarlo en caso de denuncia.

¿Cómo guardar el consentimiento?

El email de confirmación que te envia el proveedor de email marketing, y que debes guardar como prueba, tiene que indicar los datos que confirmen la validez de los consentimientos, como es la fecha en que se otorga, la IP, el email y la web desde dónde se suscriben.

¿Necesito una gestión de consentimientos para mi web?

Muy probablemente sí la necesita.

Si su web hace uso de cookies de seguimiento, usted necesita obtener consentimiento de sus usuarios primero.

¿Se aloja su web en, por ejemplo, WordPress?

¿Hace uso de Google Analytics o alguna herramienta similar?

¿Tiene contenido incrustado en su web, tales como videos de YouTube o enlaces de redes sociales?

Entonces su web probablemente establezca cookies de terceras partes en los navegadores de sus usuarios, y necesite implementar un sistema de gestión de cookies, que se asegure de que…

• todas las cookies se han detenido hasta que se ha obtenido un consentimiento apropiado,
• el usuario obtiene información transparente sobre las cookies,
• y él o ella puede retirar su consentimiento en cualquier momento.
• se ha dado la información básica del tratamiento de datos para obtener el consentimiento expreso.

Aceptación de la política de privacidad

Para que el consentimiento se considere expreso, aparte de realizar la acción de clicar el checkbox, el usuario también debe conocer PREVIAMENTE el tratamiento que se le va a dar a sus datos, es decir, quién va a tener acceso a ellos y con qué finalidad.

Para ello tendremos que indicar esta información en una leyenda en el formulario de suscripción similar a este:

• Te informo que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por mí, (tu nombre completo), como responsable de esta web.
• Con la finalidad de gestionar el alta a esta suscripción y remitir boletines periódicos con información y oferta prospectiva de productos o servicios propios y de terceros afiliados.
• Legitimación: Consentimiento del interesado.
• Destinatarios: XXXXX.
• Puedes consultar aquí su política de privacidad 
• Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en proteccióndatoscertificado@gmail.com así como el derecho a presentar una reclamación ante una autoridad de control.
• Puedes consultar la información adicional y detallada sobre Protección de Datos en mi política de privacidad.

¿Cómo pueden ayudarte los formularios de suscripción a cumplir con el RGPD?

A continuación, se detallan algunos puntos que debes conocer antes de empezar este proceso.

El hecho de tener habilitados los campos del RGPD en tus formularios de suscripción no significa que cumplas con la normativa. Tan solo es el primer paso del proceso.

Para recabar el consentimiento de los contactos nuevos y los actuales, es preciso que configures los formularios, crees un segmento y envíes una campaña de consentimiento.

Soluciones técnicas para incluir el checkbox en nuestra web

Algunas de las opciones para cumplir con los permisos de marketing adecuados al RGPD, configurándolos para obtener el consentimiento expreso son: MailChimp, Active Campaign o Cookiebot.

Recuerda que sobre ti recae la responsabilidad de demostrar que efectivamente tus contactos han dado su consentimiento a los permisos de marketing que importes.

Activa los campos del GDPR (RGPD) en los formularios de suscripción de todas las listas que se vean afectadas por el RGPD.

Edita los campos del RGPD, y ponlos en consonancia con tu web.

Configura tu formulario de suscripción apto para RGPD

Para usar los campos del RGPD (GDPR) en tus formularios de suscripción, habilítalos para cada uno de los públicos que recopilan o contienen datos personales de los ciudadanos de la UE, y luego edítalos para reflejar tus prácticas de marketing.

Habilitar los campos del RGPD

Después de habilitar los campos del RGPD para un público, los podrás ver y editar en el creador de formularios. Estos campos se incluirán en la mayoría de los formularios de suscripción asociados con ese público, incluidos los formularios emergentes, el formulario de suscripción alojado y las landing pages de suscripción.

Obtener el consentimiento

Ahora que has actualizado tus formularios y configurado tus segmentos, tienes todo listo para obtener el consentimiento de los nuevos contactos y venderles tus productos. No obstante, es necesario que tus contactos actuales te otorguen permisos de marketing.

Si anteriormente has obtenido el consentimiento de manera que cumpla con el RGPD, es posible que no tengas que confirmar el consentimiento de dichos contactos.

Si no es así, tendrás que obtener el consentimiento de tus contactos actuales, según estipula el RGPD. Para ello, envía a todos los contactos de tu lista una campaña de consentimiento que incluya un enlace para actualizar sus opciones.

Veamos como funciona en MailChimp.

• Crea una nueva campaña por correo electrónico.
• En la sección Content (Contenido), haz clic en Design Email (Diseñar correo electrónico).
• Pulsa en la pestaña Themes (Temas).
• Haz clic en el menú desplegable y selecciona Subscriber Alerts (Alertas a suscriptores).
• Selecciona la plantilla GDPR Subscriber Alert (Alerta a suscriptores relativa al RGPD).

La plantilla incluye una propuesta de texto que puedes editar. Si prefieres crear tu campaña de consentimiento desde cero, asegúrate de incluir un enlace de Actualización de perfil. Previsualiza y prueba tu campaña como lo harías normalmente, y envíala a toda tu lista.

Después de enviar tu campaña de consentimiento, utiliza los segmentos de Permisos de marketing para comunicarte solo con los contactos que hayan optado expresamente por recibir tus mensajes comerciales.

Puede serte útil realizar una cancelación masiva de todos los contactos que no hayan otorgado su consentimiento para recibir tus mensajes de marketing.

No tenemos conocimiento de ninguna prohibición explicita que impida enviar un correo electrónico de reconfirmación después del 25 de mayo. Algunas autoridades de la UE recomiendan que las empresas actualicen periódicamente el consentimiento, lo que sugiere que todavía pueden enviarse reconfirmaciones.

Lo importante es que te asegures de disponer de una base legal —como el consentimiento o un interés legítimo— que te permita enviar un correo electrónico a un contacto.

Si crees que, en virtud del RGPD, no dispones de una base adecuada para enviar un correo electrónico a un contacto, tal vez prefieras abstenerte de enviar un correo electrónico de reconfirmación y eliminar el contacto de la lista. Te sugerimos que te pongas en contacto con tu asesor en protección de datos para analizar tu situación con más detalle.

Versiones de formularios

Cuando un nuevo contacto se suscriba al marketing de tu público adaptado al RGPD a través de un formulario de suscripción alojado, en una ventana emergente o en una landing page, se registrará la información de los campos del formulario en una versión de texto simple.

Así se capturan los campos del RGPD que tu contacto ve al suscribirse, para que conste que has descrito con precisión tus actividades de marketing.

Puedes revisar esta información cuando quieras en la página de perfil del contacto.

Si no quieres usar Mailchimp, existe un plugin (Flamingo), que puedes colocar directamente en tu página web, y que te permite guardar los mensajes y cuentas de correo de quienes hagan uso del formulario.

Además almacenan el valor de las casillas de aceptación que pongas. Nosotros lo hemos usado con Contact Form 7 y funciona bastante bien.

La entrada GUARDAR EL CONSENTIMIENTO. se publicó primero en Gestiona Abogados.

Nos siguen preguntando con bastante frecuencia eso de “¿puedo coger direcciones de e-mail publicadas en internet para enviar a la gente, comunicaciones publicitarias?”.

Por supuesto que NO.

Comprendemos perfectamente que el correo electrónico es un medio cómodo –y encima gratuito- para hacerte publicidad y dar a conocer tu negocio. De hecho, tal y como están las cosas, es el único medio que muchos pueden permitirse.

Pero ten muy claro que si recopilas, sin más, e-mails de páginas webs, o de fuentes accesibles al público como los listados de colegios profesionales o repertorios telefónicos, para enviar publicidad, estás infringiendo la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), y puedes ser sancionado.

RGPD y LSSICE

En este punto, la mayoría de la gente confunde algunos preceptos del RGPD con la LSSICE. Pero son dos normas distintas que protegen también cosas distintas.

La LSSICE, en lo que aquí nos interesa, lo que pretende es poner freno al SPAM, es decir, a la publicidad no deseada que se realiza por medios electrónicos y en particular, por e-mail.

Y no hay excepciones en función del destinatario, porque sea persona jurídica, un profesional o porque tenga publicado su e-mail en internet.

Y la LSSICE es muy clara en su artículo 21.1, en el que SE PROHÍBE:

“…el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

Salvo que (artículo 21.2 LSSICE):

“…exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”

Fuera de esos supuestos, el envío de e-mails publicitarios no procede y podrá ser sancionado.

Sanciones AEPD

Puedes comprobar lo que estamos diciendo en la siguiente Resolución (y hay muchas en el mismo sentido) de la Agencia Española de Protección de Datos, pinchando aquí:

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00681-2013_Resolucion-de-fecha-18-03-2014_Art-ii-culo-21-LSSI.pdf

En ella se dice justo lo que estamos comentando, y se multa a una empresa con 1.800 euros por infracción leve.

La empresa multada lo que hizo fue enviar un e-mail a otra entidad ofertando unos cursos, cuando esta última había manifestado expresamente que no quería seguir recibiendo publicidad.

La denunciada alegó:

• que se trató de un error informático
• que, en todo caso, la dirección de e-mail se encontraba publicada en internet,
• y además dicha dirección empezaba con “info”, lo que se podía entender como una invitación a recibir publicidad.

Son muchos los errores que se cometen en este tema, y si eres uno de ellos, deberías saber que estás asumiendo un riego bastante alto de ser sancionado por la Agencia Española de Protección de Datos.

Así que los envíos de boletines de noticias, recopilación de noticias, comunicaciones comerciales, circulares informativas o como prefieras llamarlos según tu caso (piensa que una felicitación navideña también está dentro de estos supuestos), puedes encontrarte con no pocos problemas si actúas con desconocimiento de la normativa que regula esta materia y que es la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).

También puedes ver la Resolución nº 2307/2013, de 30 de septiembre de 2013, dictada en el Procedimiento Sancionador nº 322/2013.

En ella un particular denunció a la empresa DIRECTO A CASA VENTA DIRECTA, SL porque recibía de la misma una “newsletter”, a pesar de haber pedido la baja de su e-mail para que no le enviaran más comunicaciones.

La empresa denunciada, tras recibir la solicitud de baja, respondió al solicitante diciéndole que se accedía a tal baja a través de una lista de distribución donde la dirección de e-mail del denunciante era visible para el resto de miembros.

Hay un par de párrafos de los fundamentos jurídicos de la Resolución de la AEPD, que resumen muy bien el mensaje que todos los que envían comunicaciones comerciales electrónicas deben tener en cuenta:

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Os aconsejamos que antes de iniciar cualquier campaña por vía electrónica destinada a colectivos de clientes, solicitantes u otros, os asesoreis debidamente.

Publicidad no deseada

La Agencia Española de Protección de Datos publicó en la web un artículo sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares, como a empresas, y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

Sugerencias de la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online):

Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían:

Marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios:

Muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el RGPD es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar:

El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición:

Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación:

Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas:

Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos:

Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.

La entrada SPAM Y FUENTES ACCESIBLES AL PUBLICO se publicó primero en Gestiona Abogados.

Ha pasado ya un año y medio desde aquel aluvión de emails a resultas del RGPD, y aun hoy siguen preguntándonos sobre la misma cuestión. Las comunicaciones comerciales y su implicación con el RGPD.

Debemos partir de la definición de comunicación comercial, que es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona, que realice una actividad comercial, industrial, artesanal o profesional.

¿Necesito el consentimiento de los destinatarios para envío de publicidad?

Como norma general, sí se requiere el consentimiento de los destinatarios para remitirles publicidad.

No obstante, de acuerdo con el RGPD, y la Ley 34/2002Enlace añadido por la extensión vLex, de Servicios de la Sociedad de la Información (“LSSI”), existen causas que legitiman el envío de publicidad sin necesidad de consentimiento.

Concretamente, una empresa puede remitir publicidad cuando sus destinatarios se hayan convertido previamente en clientes, ya que se considera que existe un interés legítimo de la empresa en el tratamiento de datos de sus clientes con fines de marketing y publicidad.

En todo caso, la publicidad remitida debe estar relacionada con productos o servicios similares a los que inicialmente fueron contratados por el cliente.

¿Cuándo debo incluir en las comunicaciones comerciales la opción de darse de baja?

Debe incluirse la posibilidad de revocar el consentimiento u oponerse a la publicidad, tanto en las cláusulas de información y consentimiento, como en todas las comunicaciones que se remitan.

Los medios ofrecidos para ello deben ser especialmente sencillos, y si la publicidad se remite por medios electrónicos, es necesario que se facilite un email a este efecto.

¿A qué riesgos me expongo si la publicidad que envío no es legal?

Las consecuencias por envío de publicidad pueden consistir en cuantiosas multas y graves impactos reputacionales.

Así, por ejemplo, una infracción por realizar SPAM (envío de publicidad no solicitada) puede suponer la imposición de una sanción de hasta 150.000 euros de acuerdo con la LSSI, y de acuerdo con el RGPD las sanciones podrían ser de cuantía superior, pudiendo llegar hasta el 4% de la facturación anual del ejercicio anterior o a los 20 millones de euros.

¿Qué deben hacer las empresas de publicidad para cumplir con la normativa en materia de protección de datos?

Con el fin de cumplir las normas mencionadas, y garantizar el principio de transparencia en el tratamiento de datos, recomendamos que en la cláusula de recogida de consentimiento del cliente (ya sea para actividad de fidelización, registro de datos en el programa informático u otros servicios), se incluya una casilla de autorización para recibir publicidad sobre los servicios de la empresa.

De esta forma, el consentimiento se prestará por el cliente de forma específica, y será la causa de legitimación inequívoca para realizar publicidad.

En los casos en los que no resulte necesario solicitar consentimiento expreso, por existir otras causas que legitimen el tratamiento, recomendamos colocar cartel informativo u otra vía para hacer llegar al cliente la información sobre el tratamiento de sus datos, en el que se haga alusión al fin comercial.

De igual manera, recomendamos crear un canal de comunicación específico para gestionar de forma diligente las solicitudes de baja de clientes y excluirlos de toda acción comercial.

En cualquier caso, lo fundamental será siempre contar con la consulta de un profesional experto en esta materia antes de lanzar cualquier campaña publicitaria que pueda comprometer la seguridad jurídica y reputacional de la empresa.

Reglamento

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define el consentimiento en su artículo 4.1. como 

“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa. El tratamiento de datos personales que le conciernen”.

Es decir, no cabe el consentimiento tácito.

Y el considerando 32 del RGPD establece lo siguiente: 

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado».

Debe aceptar el tratamiento de datos de carácter personal que le conciernen, con una declaración por escrito, inclusive por medios electrónicos. 

Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.

Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines.

Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Comunicación

Por otro lado, al tratarse de comunicaciones electrónicas debe tomarse en consideración la aplicación de la Ley 34/2002, de 11 de julio. De Servicios de la sociedad de la información y de comercio electrónico (LSSICE), por ser norma especial. Y por tanto, no podrá acudirse en este punto a las previsiones del RGPD.

La LSSICE en su artículo 21 establece: 

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario, y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa,  que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

Por tanto, en estos supuestos, la regla general es el consentimiento expreso del interesado, a menos que dichas acciones se refieran a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Sin carácter comercial

Por otro lado, si los correos electrónicos que se envíen no tienen el carácter de comerciales, igualmente el tratamiento de los datos de las personas físicas (y no jurídicas), se encontrará sujeto a lo previsto en el RGPD.

El responsable del tratamiento debe encontrarse legitimado para llevar a cabo dichos tratamientos, encontrando dichas causas legitimadoras, y entre ellas cabe destacar el interés legítimo.

La determinación de si existe un interés legítimo requiere ponderar por el responsable, si dicho interés prevalece sobre los derechos y libertades fundamentales del interesado.

En el caso de que el mismo prevaleciese, podría llevar a cabo tales tratamientos, pero en todo caso, el interesado podrá oponerse a dichos tratamientos conforme a lo dispuesto en el artículo 21 del RGPD.

La entrada COMUNICACIONES COMERCIALES se publicó primero en Gestiona Abogados.

Tendrás que revisar tu aviso legal,  tu política de privacidad y la política de cookies, así como añadir los elementos informativos necesarios.

La redacción debe ser muy clara, fácil de entender y accesible.

Esta obligación  recae sobre el Responsable del Tratamiento.

Esta  información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.

Deberás incluir una primera capa informativa que resuma los aspectos más relevantes relativos a ese tratamiento, y una segunda capa que complete esa información:

• La identidad del responsable de la gestión y si procede, del delegado de protección de datos.
• La identidad de los destinatarios o las categorías de destinatarios de los datos personales,  que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
• Advertir sobre qué tipo de datos se  están recogiendo, utilizando o consultando, la medida en que dichos datos son, o serán tratados, y de las posibles consecuencias de no facilitar tales datos.
• Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos (que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita).
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación, por ejemplo, cuando esta elaboración tenga consecuencias jurídicas para el afectado.

¿Dónde deben aparecer los elementos informativos?

En el pie de página de la web debes incluir los textos legales completos.

Estos deben ser accesibles en todas las páginas de la web.

Como mínimo deben aparecer: el aviso legal, política de privacidad y política de cookies.

En todos los formularios de captura de datos, siempre deberás requerir el consentimiento del usuario de forma expresa  y permitir la aceptación de la política de privacidad antes de validar sus datos.  

Los datos que requieras siempre deben ser  pertinentes y adecuados a la finalidad, es decir, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Confirmar la suscripción a través de un sistema de validación de usuarios: para autentificar al usuario mediante un mensaje de correo electrónico confirmando el alta con una coletilla legal que acredite el deber de información, a través de un proceso doble opt in, lo que sí acreditaría un consentimiento expreso.

E-Commerce

Condiciones de contratación: 

En el caso de un e-commerce o página donde existan mecanismos de pago para contratación de productos o servicios de forma online, deberás añadir las  Condiciones de contratación.

Tu web debe poner a disposición de los usuarios las condiciones generales de contratación de forma que puedan ser almacenadas y reproducidas por los usuarios.

La LSSIEnlace añadido por la extensión vLex establece que el prestador, antes de iniciar la contratación, debe informar al usuario, pudiendo hacerlo a través de su web, de forma «clara, comprensible e inequívoca» sobre:

• Los trámites o pasos a seguir para celebrar el contrato.
• Si el documento generado, el contrato, va a ser almacenado por el prestador.
• Los medios técnicos que pondrás a disposición del usuario/consumidor para identificar y corregir errores en los datos.
• La lengua o lenguas en que se podrá formalizar el contrato.
• Creación de mecanismos de aceptación de términos y condiciones de uso, tras haberle facilitado información clara y completa sobre la identidad del prestador de servicios, así como información relativa a las condiciones de contratación.
• Por último, debes crear un procedimiento para establecer comunicaciones comerciales con clientes y con usuarios de internet para adecuarlas a la normativa vigente.

Requiere siempre el consentimiento

Este consentimiento debe tener 3 características fundamentales para que sea legal:

Expreso: no vale el consentimiento tácito.

Específico: ligado a una finalidad concreta y no genérico.

Verificable: debes poder acreditar que lo has obtenido.

Debes desterrar por tanto,  los formularios de suscripción, contacto, registro etc., que no incluyan mecanismos informativos claros, y no requieran el consentimiento de los usuarios.

El silencio, las casillas pre marcadas o la inacción del usuario, al requerir datos personales, no serán válidos.

Cualquier caja de suscripción tipo banner o caja flotante que no incluya un checkbox para expresar el consentimiento, y una cláusula informativa visible y expuesta, no será legal.

 ¿Qué ocurre con los suscriptores de los que no hayamos obtenido el consentimiento?

No basta solo con modificar todos los formularios de contacto y añadirles un check box:  Debes convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos,  si quieres seguir trabajando con ellos.

Podrías regularizarlo enviando un boletín en donde les invites a confirmar su suscripción y otorgarte un consentimiento expreso.

Para eso, deberás conducirlos hacia tu nuevo formulario de suscripción y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones anteriores.

De esta manera, podrás acreditar ese consentimiento expreso y estar cubierto ante cualquier requerimiento.

La entrada Tu página web y el RGPD se publicó primero en Gestiona Abogados.

Antecedentes del caso: cámaras ocultas y robo.

El caso se remonta a 2009.

Las empleadas fueron informadas en febrero de ese año de unas pérdidas en existencias de entre 7.780 y 24.614 euros al mes por los responsables del establecimiento para el que trabajaban, de la cadena Mercadona.

El 15 de junio de 2009 se instalaron cámaras de vigilancia para controlar la entrada y salida del local, con el conocimiento de los empleados, pero también se colocaron otras ocultas para descubrir los posibles robos de los empleados de las cajas.

Estas cámaras captaron a las trabajadoras robando o facilitando el robo de terceros.

Las cajeras fueron convocadas a reuniones individuales para visionar los vídeos. Tres de las cinco demandantes firmaron un acuerdo con el empleador en el que admitían los hechos a cambio de que no se presentaran acciones legales contra ellas por los hechos. Las otras dos cajeras no suscribieron este pacto.

Las trabajadoras fueron despedidas.

Después, todas ellas acudieron a los tribunales para recurrir sus despidos y denunciar una invasión en su intimidad.

Las mujeres denunciaron en 2012 al tribunal europeo tras agotar los cauces nacionales.

Aunque los tribunales nacionales consideraron «justificable» el uso de las cámaras ocultas dadas las sospechas de robo, el tribunal de Estrasburgo concluyó que se podían haber garantizado los derechos del propietario por otros medios,  y que no es aceptable la grabación de estas empleadas sin su conocimiento.

Las empleadas denunciaron también ante el tribunal europeo que fueron víctimas de un juicio injusto (vulneración del artículo 6.1 de la Convención Europea de Derechos Humanos).

Este segundo punto, los magistrados no dieron la razón a las trabajadoras. La sentencia recogió que los vídeos no fueron las únicas pruebas que respaldaron su despido ante los tribunales españoles y que, además, las mujeres lograron invalidar los vídeos como prueba ante la justicia.

El TEDH condenó finalmente a España,  en enero de 2018,  a indemnizar a las denunciantes porque consideró que los tribunales españoles no garantizaron su derecho a la vida privada.

La ley española no permite grabar sin avisar

El Tribunal de Estrasburgo falló que los tribunales españoles «no alcanzaron un equilibrio justo entre los derechos en juego»: el de la privacidad de las demandantes (recogido en el artículo 8 del Convenio Europeo de Derechos Humanos) y el del derecho a la propiedad del empleador.

La sentencia de violación del derecho a la vida privada y familiar de las trabajadoras fue apoyada por seis votos contra uno, pero la indemnización por daños morales salió adelante tras un ajustado apoyo de cuatro jueces frente a tres de la Sala Tercera de la Corte europea.

La resolución de Estrasburgo recordó que no se cumplió la Ley de protección de datos personales española, que incluye «la obligación de informar previa, explícita, precisa e inequívocamente» a los empleados.

Rectificación

La Abogacía del Estado, sin embargo, recurrió el fallo.

Argumentó que con la existencia de un cartel genérico, como el que tenía el establecimiento, ya era suficiente para que todo el personal se diera por avisado de que podía ser grabado en cualquier lugar y momento.

Además, insistió en que las cajeras querían agarrarse al derecho a la privacidad para lavar su responsabilidad penal.

El Tribunal Europeo de Derechos Humanos (TEDH) finalmente ha aceptado el recurso de la Abogacía del Estado de España contra la sentencia que la gran corte emitió en enero de 2018 que dio la razón a cinco cajeras.

El nuevo fallo estima, frente al argumento de las trabajadoras de que no habían sido notificadas previamente de la videovigilancia, como exige la ley española, que existe «una clara justificación» de tal medida debido a la sospecha razonable de conducta grave de las cajeras y a las pérdidas involucradas.

La sentencia hecha pública el 17 de octubre de 2019, y contra la que no cabe recurso-, rectifica por lo tanto el fallo emitido por el propio tribunal en enero de 2018, por lo que exime a España de indemnizar a las cinco demandantes con los mencionados 4500 euros que había establecido la misma sala hace un año y medio.

Los 17 magistrados han argumentado ahora que la instalación de las cámaras que grabaron las imágenes que provocaron el despido se hizo a partir de una sospecha razonable de que las trabajadoras podrían estar hurtando a la empresa, por lo que su colocación y posterior utilización para echar a las cinco mujeres estaría justificada.

El TEDH recuerda también que el Tribunal Constitucional español avala instalar estos dispositivos cuando hay este tipo de sospechas y considera la medida «proporcionada» por no haber sido utilizada más que para probar los posibles hurtos.

La reforma de la Ley Orgánica de Protección de DatosEnlace añadido por la extensión vLex realizada en 2018 que apuntaba en este sentido -permitía la instalación de cámaras ocultas por un motivo mayor-, por lo tanto, se ajustaría a derecho, según el alto tribunal.

La entrada CÁMARAS OCULTAS Y ROBO se publicó primero en Gestiona Abogados.

Por tanto, el RGPD  persigue asegurar que el programa informático “chatbot” funcione acorde a ley, en lo que corresponde a los datos personales.

Así que, antes de ponerte a recopilar datos de tus clientes/usuarios y ser uno más en la ola del famoso big data, céntrate, y cumple los requisitos que la nueva regulación impone.

Recuerda que no solo se trata de cumplirlos porque el Parlamento Europeo así lo determina, tus usuarios estarán más conformes y seguros si saben que tu empresa cumple con la ley.

Un chatbot compatible con el RGPD

Como buena práctica, empezamos por definir los objetivos que debe cubrir el chatbot compatible con el RGPD:

– Al usuario:

• Informar sobre la política de privacidad del chatbot muy similar a lo que debería hacer un operador en un Call-Center.
• Pedir al usuario el consentimiento de cesión de datos y aprobación de la política de privacidad.
• Hacer consciente al usuario de sus derechos y ejecutar los derechos que el usuario le pida.

– A la empresa:

• Ejercer el derecho de transparencia.
• Obtener en formato auditable que se ha realizado la información sobre la política de privacidad.
• Recuperar el consentimiento realizado por el usuario en formato auditable.
• Guardar la información sobre quién ha accedido, cuándo y cómo a la información almacenada en formato auditable.
• Informe sobre intentos ilícitos de acceso a la información disponible.
• Ser capaz de demostrar que se ha informado al usuario sobre la ejecución de los derechos y su resultado.
• Ofrecer interfaz de programación (API) para poder consultar la información auditable desde otra aplicación.
• Exportar fichero requerido por la AEPD.

Conclusiones

El reto del chatbot compatible con el RGPD es conseguir los objetivos marcados manteniendo la usabilidad:

• Modelar un diálogo claro y comprensible con el usuario.
• Buscar equilibrio entre elementos conversacionales y lectura de documentos.
• Discriminar entre datos personales normales y datos sensibles.
• Almacenar consentimiento del usuario en formato auditable.
• Guardar y almacenar la conversación  acorde al consentimiento dado por el usuario
• Traspasar a otros sistemas solamente la información con consentimiento.
• Documentar y redirigir peticiones del RGPD referente a datos no manejados por el Chatbot.

Si tu chatbot cumple con todos los objetivos, evitarás multas millonarias por incumplimiento del RGPD.

La entrada CHATBOT Y RGPD se publicó primero en Gestiona Abogados.

El contenido suelen ser artículos sobre la marca de la empresa o que tienen relación con el ámbito profesional.

Siempre van dirigidos a tus suscriptores que han aceptado previamente recibir este tipo de contenidos.

Debes seguir un proceso determinado en el que respetes las medidas requeridas en el RGPD, con el objetivo de poder enviar regularmente tus newsletter.

Crea un formulario de alta en la suscripción de newsletter

En primer lugar, tienes que contar con una plantilla de formulario para enviar a tus destinatarios en un correo de confirmación.

Dentro del formulario limitate a los campos básicos para que les resulte sencillo de completar a tus contactos: nombre completo, correo, móvil…, el único imprescindible y obligatorio es el correo electrónico.

Incorpora casillas de verificación no preseleccionadas indicando que el usuario te autoriza a enviarle tu newsletter.

Otra casilla en la que aceptas o no recibir ofertas comerciales por correo o SMS.

Y puedes incluir otro en el que aceptas tener conocimiento de la política de tratamiento de datos.

La inclusión de estas casillas es obligatoria para validar el formulario.

Una recomendación oportuna en estos casos es configurar el formulario con doble opt-in. Es decir, una doble confirmación: enviar un último correo de confirmación a los usuarios una vez validen el formulario.

Dentro del texto debes dejar claro qué tipo de emails quieres enviar, si aceptan y con qué frecuencia.

Posibilidad de darse de baja en la suscripción de la newsletter mediante un enlace.

Al final del texto, se debe incluir un botón de acción en el que se incluya la posibilidad de darse de baja en cualquier momento.

¿Puedes enviar newsletter sin haber obtenido el consentimiento del interesado?

Sí, pero con matices.

El tratamiento de datos personales para fines publicitarios por medios electrónicos puede realizarse sobre otro fundamento distinto al consentimiento, siempre que exista un interés legítimo por parte de la empresa.

Para justificar ese interés legítimo es necesario que:

• Exista una relación contractual previa con el interesado
• Los datos hayan sido lícitamente obtenidos
• La publicidad verse sobre productos/servicios similares a los contratados.
• Se Informe al interesado sobre el uso ulterior con fines de venta directa y darle la posibilidad de negarse a dicho uso en el momento de recogida de los datos y cada vez que reciba un mensaje posterior.

No obstante, el art. 23.4 LOPDGDD, impone la obligación de consultar los sistemas de exclusión publicitaria a fin de evitar el tratamiento de datos personales de quienes hubieren manifestado su oposición al mismo, salvo que el interesado hubiese prestado su consentimiento expreso.

¿Se pueden utilizar las fuentes de acceso público?

Para poder utilizar en nuestras newsletters las fuentes de acceso público, tales como

• el Censo promocional
• los Repertorios telefónicos
• las Listas de personas pertenecientes a grupos de profesiones (únicamente con los datos necesarios de contacto y profesionales)
• los Diarios y boletines oficiales,
• los Medios de comunicación social

hay que tener en cuenta varias cuestiones:

Antigua LOPD

Las fuentes de acceso público en la LOPD 15/1999 se encontraban claramente definidas y reguladas. No obstante, con la entrada del RGPD únicamente se establece que se debe informar a los interesados, cuando los datos no se hayan obtenido de estos, si los datos provienen de una fuente accesible al público.

Es decir, que el art. 5 de la antigua LOPD regulaba los datos procedentes de fuentes accesibles al público destinados a publicidad, pero el RGPD ya no regula las fuentes de acceso público, por lo que no está permitido recabar y utilizar datos personales obtenidos de webs y RRSS sin cumplir con el RGPD.

Actual LOPDyGDD

La actual LOPDGDD sólo menciona las fuentes de acceso público en su ya inconstitucional DF3ª, que añadía el art. 58.bisEnlace añadido por la extensión vLex LOREGEnlace añadido por la extensión vLex.

La AEPD, teniendo en cuenta la ausencia de esta definición en la LOPD 3/2018, considera que se puede seguir aplicando como criterio interpretativo la derogada LOPD 15/1999 pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado de usuarios.

Es decir, que debe entenderse incluida en dicha categoría (fuentes accesibles al público) cualquier información que sea accesible legítimamente por cualquier persona, sin restricciones, ya que la normativa en vigor no contiene una enumeración normativa de fuentes tasadas. 

En todo caso, la AEPD señala que el uso de este tipo de datos debe combinarse con una base de legitimación del RGPD, en especial con los intereses legítimos del responsable, aunque ello no implica que el tratamiento será lícito de per se. 

Reglamento EPrivacy

Junto con el RGPD, estaba previsto que entrara en vigor otro reglamento complementario a éste, aún más restrictivo en sus medidas, especialmente donde la protección de los datos personales se vuelve más vulnerable: el sector de las comunicaciones electrónicas.

Este reglamento (conocido como EPrivacy) ha visto retrasada su publicación y entrada en vigor, sin embargo, cuando se produzca y según se deduce del texto de la propuesta, no parece que vaya a dejar indiferente a nadie.

Este Reglamento previsiblemente derogaría la actual  Directiva 2002/58/CEVista previa del enlace añadida por la extensión vLex sobre la privacidad y las comunicaciones electrónicas al entenderse que no está adecuada a la evolución tecnológica, fundamentalmente en lo relativo a los servicios de transmisión libre (“OTT”).

El Reglamento ePrivacy, que en su art. 16 sobre “comunicaciones no solicitadas” del texto propuesto establece unos requisitos similares a los de la LSSIEnlace añadido por la extensión vLex y, en el considerando 33 dice que

“(…) es razonable autorizar el uso de los datos de contacto de correo electrónico en el contexto de una relación preexistente con el cliente para ofrecerle productos o servicios similares”

pero añade que

“esta posibilidad solo debería aplicarse a la misma empresa que haya obtenido los datos de contacto electrónicos, de conformidad con el RGPD”. 

Ello es debido a que el contenido de estas comunicaciones puede revelar gran cantidad de información delicada y personal de los usuarios (incluyendo ámbitos tan privados como problemas de salud o preferencias sexuales) que la UE entiende desprovista de protección.

A través de esta nueva regulación, se espera obligar a las entidades sujetas a la misma a ofrecer los servicios (como dar acceso a una web, por ejemplo) aunque los usuarios no presten el consentimiento para tratar sus datos, ni si quiera los necesarios por motivos técnicos y de desarrollo. 

Pero ¿Qué podría implicar esto?

Por ejemplo, si queremos abrirnos una cuenta de correo electrónico de Gmail, simplemente tenemos que registrarnos, aceptar los términos y condiciones y, de forma “GRATUITA” ya podríamos disfrutar del servicio.

Cabe entender que estas empresas no nos van a ofrecer un servicio de forma gratuita; tal vez no paguemos el servicio con dinero como tal, pero sí que lo pagamos con nuestros datos al permitirles, a través de esa aceptación, el tratamiento de los mismos (de tremendo valor para estas empresas).

¿Qué pasará entonces cuando estén obligados a ofrecernos el servicio pese a que no prestemos esa aceptación?

Las empresas tendrán que generar beneficios, luego si no pueden obtenerlo a través de la monetización de nuestros datos… las preguntas que tenemos que hacernos con esta regulación son:

¿Tendremos entonces que pagar por leer una noticia en un periódico digital o por tener una cuenta de correo personal?

¿Acaso las empresas “desconectarán” sus servicios de los que no reciban contraprestación económica?

Para contestarlas tendremos que esperar a la efectiva publicación del Reglamento y a la respuesta que genere el mundo digital, ya que de momento sólo son especulaciones.

Conclusiones

Recomendamos emplear sentido común en el caso de emplear datos procedentes de fuentes públicas en nuestras newsletter.

En concreto, recomendamos no tratar datos provenientes de internet u otras fuentes de acceso público sin contar con una base de legitimación prevista en la normativa vigente (consentimiento, intereses legítimos).

En todo caso, se debe tener en cuenta que no todo aquello publicado en internet se trata de fuentes de acceso público, ya que puede estar restringido a un circulo concreto de usuarios. 

Se pueden tratar datos personales de «fuentes accesibles al público», siempre cumpliendo los principios del RGPD:

• licitud, lealtad y transparencia
• limitación de la finalidad
• minimización de datos
• exactitud
• limitación del plazo de conservación
• integridad y confidencialidad

La entrada NEWSLETTER Y RGPD se publicó primero en Gestiona Abogados.

El internet de las cosas, o IoT (en inglés, «internet of things»), hace referencia a la conexión digital de objetos cotidianos a Internet, de manera rápida y sencilla, entre dispositivos.

Estos dispositivos se conectan a Internet y comprenden cualquier objeto diario, pueden ser desde teléfonos móviles hasta neveras o cafeteras o incluso diminutos sensores, etc.

Tipos de aplicación IoT

Las posibilidades que brinda el IoT son infinitas.

Desde simples, como tener localizado cualquier objeto, o disponer de información del objeto.

Hasta pulseras que informan sobre aspectos de salud, persianas que suben o bajan dependiendo de la hora del día, incluso, frigoríficos que avisan de que algún producto se ha terminado, o electrodomésticos que se encienden en el momento en el que se necesitan.

Aquí tenéis algunos ejemplos de ámbitos de aplicación del IoT:

Hogar y domótica.

Por ejemplo, una red de sensores térmicos, de humedad y volumétricos que permitan ajustar automáticamente el sistema de calefacción en función de si estamos o no en el hogar, etc.

Salud.

Uso de sensores que monitoricen el estado de salud de los sujetos permitiendo disponer de información.

Infraestructuras.

Se puede aplicar al control de edificios, lo que permite a su vez una optimización de los recursos, una estancia más cómoda a los inquilinos, un consumo de energía más eficiente, etc.

Transporte.

Permite mejorar la trazabilidad del transporte, la monitorización en tiempo real de parámetros ambientales, y optimización de rutas.

Ciudades (Smart Cities).

Por ejemplo, ayuda al estacionamiento, optimizando los recursos,  y disminuyendo la contaminación y el uso de combustible.

Riesgos para la privacidad

Los usuarios pueden tener acceso a una cantidad sin precedentes de servicios personalizados, lo que conllevará aparejado que el entorno mismo (Internet) pueda adquirir información sobre los usuarios de manera automática, pudiendo encontrarnos con perfiles invasivos e inferenciales resultado del intercambio de datos, en particular cuando múltiples dispositivos de IoT proporcionan datos que están vinculados a una sola identidad de usuario (virtual).

Existen al menos tres formas posibles de monitoreo y creación de perfiles, que ofrecen motivos para la discriminación en los sistemas de IoT:

• Recopilación de datos, que conduce a inferencias sobre la persona (por ejemplo, comportamiento de navegación en Internet);
• Creación de perfiles en general mediante la vinculación de conjuntos de datos IoT (a veces denominado “fusión de sensores”); y
• Perfil que se produce cuando los datos se comparten con terceros que combinan datos con otros conjuntos de datos (por ejemplo, empleadores, aseguradores).

¿Cuál es el peligro?

Al enlazar múltiples dispositivos o equipos,  y los datos que producen,  a una única identidad de usuario, el uso de un dispositivo o servicio puede personalizarse, basándose en comportamientos y preferencias del pasado, y deducciones extraídas de estos datos.

Los riesgos de privacidad de la vinculación entre conjuntos de datos se vuelven particularmente graves cuando los sistemas de autenticación o los almacenes de identidad tienen acceso a los datos que generan los dispositivos autenticados.

Si bien algunas inferencias y perfiles extraídos de IoT pueden ser buenos, las empresas con acceso a los datos de IoT vinculados a un usuario,  pueden utilizar estos datos para fines que el usuario no aceptaría,  si se le pregunta, creándose con ellos perfiles en base a toma de decisiones, a través de la recopilación automatizada de datos.

Cada día contamos con un mayor número de dispositivos conectados entre nosotros, y se espera que la cifra de este tipo de objetos se sitúe entre los 22.000 y los 50.000 millones en el año 2020.

Disponer de este tipo de dispositivos, va a facilitar, y mucho, la vida de los consumidores, pero también va a aportar información muy valiosa para las marcas, que, sin duda, la utilizarán para crear nuevas estrategias totalmente adaptadas y personalizadas, que mejoren la experiencia de uso.

Aparentemente, podría hablarse de datos aparentemente no personales, creados a través de la denominada anominización.

Ahora bien, a través del blockchain los dispositivos de IoT pueden abrirse a la reidentificación e ingeniería inversa de identidad.

Los peligros del internet de las cosas

Hay muchas maneras en que un hacker puede acceder a características o datos en un dispositivo conectado.

A continuación, detallamos algunos de los mayores problemas y riesgos de seguridad y privacidad del internet de las cosas.

Gran cantidad de datos: 

La cantidad de datos que los dispositivos inteligentes pueden recopilar, almacenar y generar por ellos mismos es sorprendente.

Un estudio de Logicalis destaca que muy pocas empresas consideran que el gran volumen de datos almacenados en los dispositivos del internet de las cosas puede suponer una amenaza.

Los perfiles públicos no deseados: 

En algún momento, sin duda, has aceptado los términos de servicio, pero ¿alguna vez has leído el documento completo?

Un informe de la FTC encontró que las empresas podrían utilizar datos recopilados, que los consumidores voluntariamente ofrecen, para ejecutar decisiones.

Por ejemplo, una compañía de seguros podría reunir información de un consumidor , sobre sus hábitos de conducción, a través de un coche conectado, con la finalidad de calcular la tarifa de seguro más adecuada.

La escucha secreta: 

Fabricantes o hackers podrían utilizar un dispositivo conectado para invadir virtualmente la casa de una persona.

Conflicto entre información y privacidad

El internet de las cosas plantea, más que nunca, el debate entre información y privacidad, del cual las instituciones se han hecho eco.

El Reglamento General de Protección de Datos (RGPD (UE) 2016/679 de 27 de abril de 2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, apela a la “privacidad por diseño”, para que la protección de datos se tenga en cuenta, desde el principio, en el diseño mismo de las aplicaciones.

Asimismo, en 2014 las Autoridades europeas de protección de datos, aprobaron el primer Dictamen conjunto sobre internet de las cosas. 

El documento, cuya elaboración fue liderada por la Agencia Española de Protección de Datos junto con la Autoridad francesa (CNIL), acoge con satisfacción las perspectivas de beneficios económicos y sociales que puede suponer esta tecnología, pero también identifica y alerta de los riesgos que, estos productos y servicios emergentes, pueden plantear para la privacidad de las personas, definiendo un marco de responsabilidades.

El RGPD

Estas preocupaciones quedan patentes en los artículos 21 y Artículo 22 RGPD.

El artículo 21 introduce el derecho de oposición al procesamiento de datos, incluidos los perfiles, en cualquier momento.

Si el propósito del procesamiento de datos es el marketing directo, el interesado tendrá derecho absoluto a oponerse. 

En todos los demás casos, el procesamiento de datos debe detenerse, a menos que el controlador de datos pueda demostrar intereses legítimos convincentes que anulen los intereses de los interesados.

Por otro lado, el artículo 22 introduce salvaguardias adicionales contra la toma de decisiones automatizada, incluida la elaboración de perfiles, pero solo cuando el procesamiento de datos es únicamente automático y tiene efectos significativos legales o similares.

¿Consentimiento informado?

Normalmente, las partes intervienen en desigualdad de condiciones en los contratos realizados, siendo los principales riesgos de índole jurídica: el desconocimiento de los puntos débiles inherentes a la tecnología que está siendo utilizada, las funciones de seguridad que faltan o son inadecuadas, así como los riesgos relacionados con los datos.

En este contexto, observamos que las tecnologías de identificación de IoT permiten vincular los perfiles de usuario, que pueden desconocer el alcance y valor potencial de ellos, así como en qué medida sus datos son accesibles a terceros fuera del contexto o propósito para el que fueron creados.

Los riesgos inciertos que acompañan a las tecnologías de identificación, junto con la necesidad conflictiva de que los usuarios realicen una elección informada, al establecer permisos de acceso,  socavan la protección real que la administración de identidades centrada en el usuario y los controles de acceso,  pueden ofrecer.

Comunicación a los usuarios

Comunicar esta incertidumbre a los usuarios sigue siendo un desafío pendiente para los prestadores de servicios de IoT,  que buscan el consentimiento informado.

Si la incertidumbre de los análisis impide que los usuarios realicen una elección informada, al adoptar y usar un sistema de IoT, el consentimiento informado puede ser inviable.

La capacidad de los interesados para consentir libremente se verá aún más cuestionada si no pueden comprender el alcance, debido a la complejidad de las políticas de privacidad.

En relación con la protección de la privacidad y el consentimiento informado el artículo 25 RGPD crea un deber general en torno a la privacidad por defecto y la privacidad por mecanismos de diseño, lo que podría ayudar a resolver la incertidumbre del análisis invasivo de la privacidad y, por lo tanto, ofrecer una mejor base para el consentimiento informado.

Si el usuario tiene la seguridad de que la privacidad estará protegida por defecto, el usuario puede tomar una decisión informada, a medida que las posibles consecuencias de privacidad sean o no previsibles.

Las medidas específicas requeridas dependerán de las circunstancias.

La entrada IoT. El internet de las cosas se publicó primero en Gestiona Abogados.

¿Qué es el web scraping?

El web scraping es una técnica que sirve para extraer información de páginas web de forma automatizada. Si traducimos del inglés su significado vendría a significar algo así como “escarbar una web”.

¿Para qué sirve el web scraping?

Su uso está muy claro: podemos aprovechar el web scraping para conseguir cantidades industriales de información (Big data) sin teclear una sola palabra.

A través de los algoritmos de búsqueda podemos rastrear centenares de webs para extraer sólo aquella información que necesitamos.

Algunos ejemplos para los cuales se usa el web scraping

Para marketing de contenidos:

Podemos diseñar un robot que haga un ‘scrapeo’ de datos concretos de una web y los podamos utilizar para generar nuestro propio contenido. 

Ejemplo: scrapear los datos estadísticos la web oficial de una liga de fútbol para generar nuestra propia base de datos.

Para ganar visibilidad en redes sociales:

Podemos utilizar los datos de un scrapeo para interactuar a través de un robot con usuarios en redes sociales. 

Ejemplo: crear un bot en instagram que seleccione los links de cada foto y luego programar un comentario en cada entrada.

Para controlar la imagen y la visibilidad de nuestra marca en internet:

A través de un scrapeo podemos automatizar la posición por la que varios artículos de nuestra web se posicionan en Google o, por ejemplo, controlar la presencia del nombre de nuestra marca en determinados foros. 

Ejemplo: rastrear la posición en Google de todas las entradas de nuestro blog.

¿ES LEGAL EL WEB SCRAPING?

Lo cierto es que adía de hoy, la respuesta no es categórica, lo que obliga a analizar caso por caso, para determinar esa legalidad.

Este tema, cobró gran importancia en nuestro país en el año 2012, a raíz de la Sentencia del Tribunal Supremo de 9 de octubre, nº 572/2012Enlace añadido por la extensión vLex, de RyanAir VS Atrápalo, en la cual se determinó que, en ese caso, el web scraping llevado a cabo por Atrápalo, era legal.

La importancia de esta sentencia radica en el hecho de que el Tribunal Supremo consideró legales las técnicas de web scraping, siempre y cuando se cumpliesen una serie de condiciones.

Supuestos legales

Sin entrar en los pormenores de la Sentencia, señalaremos los diferentes puntos que entran en juego, a la hora de determinar la legalidad del web scraping, y la posterior utilización de la información extraída, a través del uso de estas técnicas por parte de un tercero:

Derechos de propiedad intelectual

Existe el riesgo de incurrir en una vulneración de los derechos de propiedad intelectual de los titulares de una página web, en aquellos casos en los que se demuestre que la estructura original de la base de datos objeto del web scraping se convierta en una obra intelectualmente protegida.

O, a pesar de que la base de datos no esté dotada de dicha originalidad, siempre que la creación de la misma haya supuesto una inversión sustancial por parte de su fabricante, ya que podría ser susceptible de ser protegida a través del derecho sui generis (Título VIII de la LPI).

Competencia desleal

La posible consideración de una conducta de competencia desleal,  cuando la finalidad llevada a cabo por aquellos terceros que aplican las técnicas de web scraping, sea susceptible de ser considerada una imitación, al ofrecer servicios similares a los prestados por el website objeto de scraping, suponiendo un riesgo de confusión por parte de los usuarios, o el aprovechamiento indebido de la reputación o esfuerzo ajeno.

Términos legales y condiciones de uso 

Una eventual violación de los términos legales y condiciones de uso establecidos por los titulares del website objeto de scraping, desde el momento en el que los mismos sean aceptados por los usuarios que naveguen por la página web, y tengan acceso a la información contenida en la misma.

Protección de datos

No debemos olvidar el potencial incumplimiento de la normativa en protección de datos, y la vulneración de los derechos de los titulares de los datos personales objeto de scraping, pues la normativa exige que se cuente con el consentimiento del titular de los datos a la hora de proceder al almacenamiento y tratamiento de los mismos, debiendo, por otra parte, estar éste informado de las finalidades del mencionado tratamiento.

Fuentes accesibles al público

Tampoco debemos olvidar que, tal y como indicó la Agencia Española de Protección de Datos, en su Informe 0342/2008, las páginas web no podrán ser consideradas, en ningún caso, fuentes accesibles al público.

Es decir, que aunque los datos se encuentren publicados en websites, de tal forma que cualquiera pueda acceder a los mismos, esto no significa que puedan ser utilizados de forma indiscriminada para cualquier finalidad, yendo contra los intereses del propietario original, y sin contar con el consentimiento previo de los titulares de los datos.

En conclusión

• Si no vas a hacer un uso público de los datos scrapeados, es decir, que es solo para ‘consumo propio’, scrapear un sitio web será tan legal como pueda serlo acceder a sus datos con un navegador web.
• Recuerda siempre consultar los «Términos de Uso» y la página de «Aviso legal» para tener toda la información disponible.

CUMPLIMIENTO DE LA NORMATIVA SOBRE PROTECCIÓN DE DATOS

La cuestión central es si el tratamiento de datos personales recabados con el web scraping, cumpliría los principios y requisitos de legitimidad, e información al interesado o consentimiento, recogidos en la normativa de protección de datos.

Datos personales públicos

El hecho de que un dato personal sea público (en el caso que nos ocupa, que sea accesible a través del internet conocido e indexable) tiene escasa (si no nula) relevancia, a efectos de determinar si su tratamiento es legítimo o no.

Para llevar a cabo cualquier tratamiento de datos personales, sin excepción, será necesario incardinarlo en, al menos, una de las bases legitimadoras consagradas en el artículo 6 del RGPD.

No se debe confundir «publicidad» del dato con «habilitación» para su tratamiento.

Base legitimadora

Con el fin de determinar la base, o bases legitimadoras, en las que pudiera ampararse el tratamiento de datos que se produce cuando se aplican técnicas de web scraping, nuestra capacidad de elección será limitada y se circunscribirá a:

• a) Si estamos ante un tratamiento necesario para el cumplimiento de una misión de interés público.
• b) Si cabe argumentar la existencia de un interés legítimo por parte del responsable del tratamiento o de un tercero.

El resto de bases legitimadoras del tratamiento no serán de aplicación, o no serán opciones viables en la práctica (como sucedería si tratásemos de ampararnos en el consentimiento de los interesados).

El tratamiento es necesario

Que un tratamiento se considere «necesario» para dar cumplimiento a una misión de interés público» debe ser un interés público establecido por ley (considerando 45 del RGPD).

Para argumentar la existencia de un interés legítimo, será necesario que supere el test de necesidad, y el ejercicio de ponderación de intereses del responsable del tratamiento, frente a derechos y libertades de los interesados.

Aunque se trata de un análisis que se debe realizar caso por caso, parece claro que este tipo de tratamientos no va a encontrar fácil acomodo en ninguna base legitimadora incluida en el artículo 6 del RGPD.

Interés legítimo

Inclusive si estuviéramos en una situación excepcional, en la que prevaleciera el interés legítimo del responsable del tratamiento (o de un tercero), el cumplimiento del resto de obligaciones y principios en materia de protección de datos (por ejemplo, el deber de informar) podría llegar a suponer un obstáculo insalvable a estos efectos.

En definitiva, los supuestos en los que estaremos ante tratamientos de datos personales viables desde el punto de vista del cumplimiento de la normativa de protección de datos serán muy limitados, sin perjuicio de los retos que se plantean en otros ámbitos del derecho.

DEFENDERNOS CONTRA EL WEB SCRAPING

Hemos de considerar, si es importante para nuestro negocio,establecer contra-medidas para evitar el scraping desleal, de nuestro sitio web.

Para ello hemos de combinar diferentes medidas de índole técnico para prevenirlo, así como acciones para detectarlo, y si se tercia, poder realizar actuaciones legales.

No hay manera eficiente, de proteger completamente tu sitio web, de la extracción de datos.

• Esto se debe a que los programas de extracción de datos (también llamados data scrapers o web scrapers) obtienen la misma información que los visitantes regulares de tu web.
• Incluso si bloqueas la dirección IP del data scraper, esto no evitará que accedan a tu sitio web.
• La mayoría de los bots de scraping de datos, utilizan grupos extensos de direcciones IP,m y automáticamente cambian la dirección IP, en caso de que una IP se bloquee.
• Además, si bloqueas muchas direcciones IP, probablemente bloquearás a muchos de tus visitantes legítimos.

La mejor forma de protegerse

Una de las mejores formas de proteger los datos accesibles en un sitio web, es a través de la protección copyright (propiedad intelectual de tu sitio web).

Otro modo de proteger el contenido de tu sitio es protegiéndolo con contraseña. Los datos de tu sitio web solamente estarán disponibles para aquellos que puedan autenticarse con el usuario y contraseña correctos.

La entrada WEB SCRAPING se publicó primero en Gestiona Abogados.

Es el «modus operandi» de un marketing agresivo que invade nuestra privacidad.

En momentos, pasa de ser desagradable, a ser un auténtico infierno.

Además de la normativa existente en Protección de Datos, existen otras normativas que infieren en este tipo de marketing.

Por ejemplo la  Ley General de Telecomunicaciones,  o la de Servicios de la Sociedad de la Información, y el Comercio Electrónico.

Sea como fuese, las comunicaciones comerciales vía telefónica, SMS o correo electrónico, están reguladas.

Las empresas de Telemarketing no solo deben cumplirlas. Están obligadas a no caer en tácticas de acoso telefónico.

¿Cómo evitar el acoso?

Llegados a este punto creemos conveniente recordar o informar acerca de la Lista Robinson.

Una lista que viene reseñada en la Web de la Agencia Española de Protección de Datos.

¿De qué va esta lista?

Se trata de un fichero gratuito para ser excluido de la publicidad.

Es algo externo a la AEPD y está gestionado por una Asociación de empresas de economía digital, ADIGITAL.

Al incluir en esa lista nuestra dirección postal, correos electrónicos, teléfonos fijos y/o móviles, estamos diciendo que ninguna empresa, con la que no tengamos o no hayamos tenido ninguna relación “contractual”, puede contactarnos por esas vías.

También existe la posibilidad de decir a una empresa con la que trabajamos, o hemos trabajado, que tampoco lo haga.

Esta lista no es algo nuevo, tiene al menos veinticinco años y cuenta con algo más de seiscientas mil personas que rechazan recibir publicidad.

Esta lista es una buena herramienta para protegernos del acoso telefónico y de la publicidad indeseada en general. Os animamos a descubrirla en su página Web Lista Robinson.

Sentencias contra empresas de telemarketing

Los Tribunales confirman sanciones impuestas por la AEPD contra empresas de telemarketing.

Una de las sanciones venía impuesta por tratar datos de carácter personal sin consentimiento del titular.

El consumidor había reiterado su oposición a recibir llamadas ofreciendo servicios de una empresa de telefonía móvil.

Al tiempo había sido incluido en la anteriormente citada Lista Robinson.

Aún así recibió dos llamadas con este fin por parte de la empresa de telemarketing sancionada.

Se comprobó que el consumidor había pedido la exclusión de sus datos a la operadora telefónica, la cual aceptó, como no puede ser de otra manera, la petición, y se lo confirmo por correo electrónico.

El objetivo era no recibir publicidad en una determinada línea telefónica.

A pesar de ello recibió a los seis meses sendas llamadas de una empresa subcontratada por la operadora móvil, en ese número, y para ofertar servicios telefónicos.

A la luz de los hechos la AEPD sancionó a la empresa de telemarketing.

En esta ocasión con una sanción por importe de treinta mil euros.

La cuantía de las sanciones van unidas al número de infracciones y al volumen de negocio de la empresa sancionada.

En la sentencia, que confirma la sanción impuesta por la AEPD, se señala que «a las empresas cabe exigirles profesionalidad en sus prácticas».

Y para ello,  no solo deben conocer las normas que regulan su negocio, sino que han de ser diligentes en su cumplimiento.

¿Sirve para algo denunciar?

Sin lugar a dudas, denunciar es necesario y útil.

Para que estas prácticas de acoso telefónico decaigan deben existir denuncias.

Sin las denuncias no existen las sanciones que a la postre son la mejor forma de persuadir a las empresas para cesar en esas prácticas.

La entrada ACOSO TELEFONICO se publicó primero en Gestiona Abogados.