En estos establecimientos vamos a manejar una serie de datos bastante voluminosa y por ello debemos distinguir a que datos es necesario aplicar la normativa y a cuáles no. Siendo de aplicación solamente para los datos de personas físicas.

Los datos que se recogen en establecimientos hoteleros son por ejemplo: nombre y apellidos, teléfono, correo electrónico, fecha de nacimiento, tarjeta de crédito o débito a través del TPV, duración de la estancia, DNI o pasaporte…

También es importante tener en cuenta que cuando contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros.

Además suele ser frecuente que por motivos de seguridad hayamos decidido instalar cámaras de videovigilancia. Las imágenes captadas por estas cámaras también son consideradas como datos personales. La ley establece que se debe informar de la existencia de estas cámaras mediante carteles colocados en zonas visibles informando que se está grabando.

Por tanto, el primer paso es entender todos los datos personales que tu establecimiento obtiene, porqué se recopilan, cómo se almacena y gestiona esta información, qué miembros de su personal tienen acceso a estos datos y saber si hay servicios o colaboradores externos con quienes se comparten los datos, así como sus políticas y sistemas de seguridad.

Identifique también quién es el máximo responsable de la seguridad de datos y la privacidad en su estructura organizativa.

Todo esto conforma una buena manera de conocer si hay aspectos que tiene que cambiar para cumplir con el RGPD, aunque también le puede servir para mejorar la seguridad y procesos en general y minimizar la recopilación de datos.

PRIMEROS PASOS

Lleve a cabo una evaluación de la infraestructura informática y de la seguridad

¿Están a salvo los datos que posee en su establecimiento hotelero?

¿Cuenta con los sistemas de seguridad que le ayudarán a minimizar el riesgo de un ataque externo y también a evitar el acceso a datos confidenciales por parte de sus empleados?

Aunque no es posible eliminar por completo los riesgos de seguridad, hay muchas medidas prácticas que le ayudarán a proteger el almacenamiento de los datos de los huéspedes.

Garantice la transparencia de los datos y el control de los usuarios

En los establecimientos hoteleros, se puede certificar la transparencia con políticas de privacidad claras, informando de las mismas a los huéspedes y asegurándose de que su personal se las tome en serio.

Minimice la recopilación y el almacenamiento de datos innecesarios y compruebe que los procedimientos para que los huéspedes acepten la recopilación de datos o soliciten copias de sus datos o su eliminación sean correctos.

Cumplimiento y seguimiento

Es necesario formar al personal y poner en práctica las políticas y los procesos definidos por la legislación.

Muy importante es que se desarrolle una cultura que respete la privacidad de los huéspedes y tenga en cuenta todas las fases de la seguridad de datos.

Será necesario supervisar continuamente esta información para asegurarse de que los procesos y la infraestructura informática, en constante cambio, están actualizados.

Momento en que se recaban  datos: reserva y check-in

La forma más habitual de recogida de datos por los establecimientos hoteleros es a través de las reservas realizadas.

¿Quién realiza las reservas?

Las reservas en los hoteles pueden ser realizadas por varios sujetos:

Agencias de viajes.

En estos casos el cliente no tiene la obligación de dar sus datos al hotel hasta que se persone en el mismo para disfrutar de su estancia. Los datos de las agencias de viajes no se encuentran bajo el paraguas de la normativa europea, ya que son personas jurídicas.

Organismo oficial o empresa

En ocasiones, se reserva una habitación que va a ser ocupada por una persona diferente a la que la reserva. En estos casos se recogen los datos de quien la solicita y de quien se va a hospedar.

Cliente directamente.

¿A través de qué medios se realizan las reservas?

Las reservas pueden realizarse a través de varios medios:

• página web del establecimiento hotelero, completando los datos en los formularios incluidos para ello
• teléfono, hablando directamente con la persona encargada para ello en el hotel
• envío de correo electrónico y
• formularios de reserva que se obtienen en la propia recepción del establecimiento.

Por norma general los establecimientos hoteleros recogen los datos en dos momentos: en la reserva y en la llegada del cliente a la recepción.

Estos datos se van a registrar en el libro de registro de pasajeros.

Mientras dure la estancia del cliente, además el hotel puede recoger información de servicios como lo es el teléfono, visionado de películas de pago, restaurante…

ACTUACIONES A SEGUIR

Las principales actuaciones que debes realizar en tu hotel para adaptarte al RGPD son:

• 1. Realizar un Registro de actividades de tratamiento
• 2. Firmar los contratos con terceros
• 3. Incluir los textos legales en la página web
• 4. Solicitar el consentimiento a los clientes
• 5. Firmar los contratos con los empleados
• 6. Realizar un Análisis de riesgos
• 7. Nombrar un DPD

1. Crear un registro de actividades de tratamiento

Esta es una de las imposiciones del Reglamento Europeo de Protección de Datos y es necesario que todos los establecimientos hoteleros lo tengan. 

Se debe especificar cuál es el motivo que justifica que el establecimiento hotelero realice el tratamiento de esos datos personales, como los ha obtenido, bien por contrato o bien por un consentimiento.

Para los casos en que el establecimiento hotelero quiera o necesite utilizar los datos de sus clientes para fines distintos a los que fueron recabados, necesitará recabar el consentimiento expreso.

También se requiere consentimiento por parte del cliente para los casos en que los datos personales sean comunicados a un tercero.

Dicho registro sería como el documento oficial en el que se explica qué se va a hacer con los datos y por qué. La información que debe aparecer en este documento es la siguiente:

• – Qué datos se recopilan.
• – Por qué es necesaria su recogida.
• – Para qué se quieren.
• – Qué política de almacenamiento se va a cumplir con estos datos.
• – Si esta información se va a ceder o transferir fuera del país.
• – Qué medios se utilizan para realizar el tratamiento.

Todo esto debe constar en el registro de actividades de tratamiento.

Pero además, es necesario que este documento esté actualizado debidamente y que, si se modifica cualquiera de las acciones, se exponga en este registro.

Principalmente, la función de este documento es la de constatar ante la Agencia Española de Protección de Datos (AEPD) que todo se lleva a cabo adecuadamente.

Lo puedes tener por escrito y también en formato electrónico.

2. Contratos con terceros

Los establecimientos hoteleros se relacionan constantemente con terceros.

Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurarte de que también cumplan la normativa de Protección de Datos.

Por ejemplo:

• Agencias de viajes
• Asesorías
• Empresas informáticas
• Empresas de transporte, etc.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Página web y consentimiento

Además de actualizar la política de privacidad en la página web, en tu establecimiento hotelero, debes tener el consentimiento expreso de todos sus clientes para poder tratar sus datos.

Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:

• responsable del tratamiento,
• propósito para el que vas a usar los datos,
• si los cederás a terceros y
• la manera en la que puede ejercer sus derechos.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza.

Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

4. Contratos con empleados

Los empleados tienen acceso a toda la información que manejas en el establecimiento hotelero y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En casi todos los establecimientos hoteleros, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores.

Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por el éxito que tiene para los ciberdelincuentes.

5. Análisis de riesgos

Realizar un análisis de riesgos en los establecimientos hoteleros es imprescindible para poder establecer cuáles son las contingencias que podrían darse y que comprometerían la seguridad de los datos.

Para hacerlo, hay que tener en cuenta el tipo de tratamiento, la naturaleza de los datos y el número de personas que serían afectadas. 

Por otro lado, también hay que realizar una evaluación del impacto que tendría la filtración de los datos para minimizar riesgos mediante las medidas correspondientes.

Notificación de brechas de seguridad

Esta es una obligación que tienen todas las empresas. En caso de que ocurra cualquier filtración, deberás avisar a la AEPD y a los afectados en un plazo máximo de 72 horas.

6. Nombrar un Delegado de Protección de Datos

Es decir, contratar o nombrar a un profesional que se encargue de salvaguardar los procesos y políticas internas del tratamiento de datos. 

Normalmente, todos los establecimientos hoteleros están obligados a tener un Delegado de Protección de Datos, y cuando se nombra, hay que hacer públicos sus datos de contacto y comunicárselos a las autoridades de supervisión.

OTRAS CUESTIONES

¿Dónde almacenan la información los establecimientos hoteleros?

Podemos encontrar datos de los visitantes en el entorno físico: en una libreta detrás de recepción, en carpetas o archivadores.

El personal tiene que saber dónde se encuentran los datos de los clientes.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos.

Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las firmas hoteleras formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Los trabajadores en prácticas deben firmar el contrato de confidencialidad?

Sí, en caso de que los establecimientos hoteleros tengan trabajadores en prácticas, estos deben firmar también el acuerdo de confidencialidad. Estos empleados también acceden a datos personales que maneja la empresa y, por tanto, deben guardar secreto sobre los mismos y cumplir las medidas de seguridad en su tratamiento.

En el RGPD se establece que los acuerdos de confidencialidad deben ser firmados por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.

¿Qué debo hacer con los currículos que me dejan en recepción?

En el caso de que una persona nos entregue su currículo debemos:

Informarle de que lo vamos a guardar

Facilitarle el ejercicio de sus derechos, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Maneja un establecimiento hotelero datos sensibles?

Normalmente no, pero puede darse el caso en el que un cliente nos informe de una alergia o intolerancia a determinados alimentos que deberá anotarse de cara a las comidas facilitadas en el establecimiento hotelero. En este caso sí se manejan datos sensibles y, como tales, deben ser objeto de una especial protección.

¿Cómo tratar las tarjetas magnéticas de acceso a las habitaciones?

Normalmente esta tarjeta magnética de acceso a las habitaciones no contiene datos de carácter personal, se activan de modo automático al registrar al cliente. La información que recoge es el número de habitación y los días de uso habilitados, y se desactivan al marchar el cliente.

Sólo el personal de administración del establecimiento puede conocer quién se aloja revisando el registro del cliente y habitación asignada.

Por supuesto, el personal del establecimiento hotelero con acceso a datos está sujeto a la obligación de guardar secreto y confidencialidad sobre los datos obtenidos.

Los establecimientos hoteleros que personalicen las tarjetas magnéticas de acceso a las habitaciones, almacenando en ellas datos de carácter personal (nombre y apellidos del cliente) deben solicitar al cliente su consentimiento expreso para su cesión a terceras personas (al personal de limpieza, mantenimiento,..)

Cámaras de videovigilancia que graban la vía pública

Si instalas cámaras de Videovigilancia en tu establecimiento hotelero, debes informar correctamente mediante los correspondientes carteles. Además debes tener en cuenta que no puedes grabar la vía pública ni propiedades de terceros. También es conveniente informar a los empleados de la instalación de las videocámaras. Resolución AEPD R/03462/2017

Ejercicio de los derechos

Debes facilitar a todos tus clientes el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación del tratamiento y portabilidad,  a través de un medio sencillo y gratuito.

En caso de que algún cliente ejerza alguno de estos derechos, debes responderle dentro del plazo establecido. Resolución AEPD R/02531/2017.

En muchos establecimientos hoteleros, si un cliente comenta que quiere que “eliminen todos sus datos” no sabría exactamente cómo ha de proceder.

Ello implicar un desconocimiento de la normativa de protección de datos por parte de los empleados y no tener un régimen de actuación que explique cómo proceder en estos casos.

Envío de publicidad sin consentimiento expreso del cliente

Muchos establecimientos hoteleros realizan publicidad sin obtener previamente el consentimiento del cliente para ello. Esto es un grave error, pues el consentimiento es una exigencia para realizar promociones a través de los diversos medios.

Cualquier email o teléfono, indistintamente incorporado a una base de datos, se puede utilizar como válido para el envío de publicidad, si el interesado ha prestado previamente su consentimiento.

En definitiva,  tienes que asegurarte de que tus protocolos se ajustan a la ley actual para proteger tu información. Y, si tienes alguna duda, no tengas reparos en contactar con expertos. 

La entrada ESTABLECIMIENTOS HOTELEROS Y RGPD se publicó primero en Gestiona Abogados.

• Conviven adultos con menores.
• Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc.

Es por ello que los centros educativos deben adoptar una serie de medidas de seguridad en relación a los sistemas de información, a través de los que se tratan los datos personales.

Por ejemplo, es algo habitual que los colegios tengan perfiles en las redes sociales en los que publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo.

También hay profesores que descargan una determinada aplicación educativa, con proveedor extranjero la mayoría de las veces, y la utilizan. Y todo ello aunque deba aportarse información de carácter personal de los alumnos.

Y el colegio, a pesar de tener conocimiento de estos hechos en muchos casos, no controla los dispositivos utilizados, el software, las medidas de seguridad que deben aplicarse y los correspondientes consentimientos que deben solicitarse.

Tipos de datos personales que tratan los centros educativos

Los tratamientos más comunes en un centro educativo según el tratamiento habitual de datos son:

• Expediente académico: ficheros sobre calificaciones, absentismo, etc. de los alumnos.
• Personal docente: ficheros de profesores para la gestión interna del centro escolar.
• Personal no docente: personal de mantenimiento, limpieza, etc.
• Servicios adicionales: servicios adicionales del centro como pueden ser, comedor, transporte ó guardería.
• Proveedores: sobre los servicios de los proveedores.
• Admisión de alumnos: sobre los datos que se incluyen en procesos de matriculaciones, solicitudes, etc.
• Asesoramiento psicopedagógico: con datos sobre dificultades de aprendizaje de los alumnos.
• Otros ficheros: según los servicios y características del centro, como pueden ser los de videovigilancia o control de accesos mediante huella dactilar.

Requisitos de los centros educativos

Según el RGPD, los centros educativos se convierten en Responsables del tratamiento de los datos y deben adoptar una serie de medidas de seguridad en relación a los sistemas de información a través de los que se tratan los datos personales relativos al alumnado, a sus representantes legales, al profesorado, etc.

Es decir, se debe elaborar un Registro de Actividades de tratamiento de todos los ficheros que contengan datos personales.

También deben elaborar un Documento de Seguridad, que contemple los ficheros mediante los cuales se tramita la información, los sistemas utilizados (informatizados o en soporte papel) y las medidas de seguridad implantadas que impone la legislación vigente (claves individuales de acceso, control de acceso, copias de seguridad, etc.).

Por otro lado, es imprescindible informar y formar al personal del centro escolar acerca de cuáles son sus competencias sobre a la información que deben gestionar para el ejercicio de sus funciones y cuáles son las medidas que el centro impone para garantizar la protección de la privacidad, especialmente de los menores.

Obligaciones de los centros educativos

1. Llevar un Registro de actividades de tratamiento
2. Realizar un análisis de riesgos
3. Realizar una Evaluación de Impacto en Protección de Datos
4. Nombrar un Delegado de Protección de Datos
5. Obtener los consentimientos
6. Notificar las violaciones de seguridad

1. Registro de actividades de tratamiento

Debe contener la siguiente información:

• nombre y datos de contacto del responsable y del delegado de protección de datos;
• los fines del tratamiento;
• una descripción de las categorías de interesados y de las categorías de datos personales;
• las categorías de destinatarios a quienes se comuniquen los datos personales;
• las transferencias de datos personales a un tercer país o una organización internacional;
• los plazos previstos para la supresión de las diferentes categorías de datos;
• una descripción general de las medidas técnicas y organizativas de seguridad.

2. Análisis de riesgos

Los centros educativos deberán realizar una valoración del riesgo que suponga el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.

Deben  adoptar las medidas que, por defecto, garanticen que sólo se tratarán los datos necesarios para la finalidad para la que se recogieron y que no estén accesibles a un número indeterminado de personas.

3. Evaluación de Impacto

Según el RGPD, será obligatorio realizar una Evaluación de impacto en Protección de Datos en los siguientes casos:

• Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
• Observación sistemática a gran escala de una zona de acceso público (videovigilancia).
• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados.

4. Delegado de Protección de Datos

Los centros educativos tienen la obligación de nombrar un Delegado de Protección de Datos que supervise el cumplimiento de la normativa y sirva de enlace con la Autoridad de Protección de Datos.

5. Consentimiento

El  consentimiento de los alumnos o de sus padres o tutores no se podrá obtener de forma tácita. Es necesaria una clara acción afirmativa del interesado.

Cuando se refiera al tratamiento de datos sensibles o para transferencias internacionales de datos, el consentimiento además deberá ser expreso.

6. Notificación de brechas de seguridad

Si se produce destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una  violación de seguridad, se habrá de notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, comunicar a los interesados.

OTROS TEMAS A TENER EN CUENTA

Proceso de matriculación

Desde el momento de la matrícula, en el impreso ha de informarse, con lenguaje claro y sencillo de:

1. La existencia de un fichero o tratamiento de datos personales.
2. Finalidad para la que se recaban los datos y su licitud.
3. La obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos.
4. Destinatarios de los datos.
5. Derechos de los interesados (acceso, rectificación, cancelación u oposición) y dónde ejercitarlos.
6. Identidad del responsable del tratamiento, es decir, la Administración educativa (si es público) el centro (si es privado).

La lista de alumnos admitidos solo se publicará en el tablón interno del centro o en una página en el sitio web del centro, a la que únicamente podrán tener acceso las personas que hayan solicitado la plaza.

Ésta es una medida de protección imprescindible teniendo en cuenta que buscando en internet el nombre completo de un estudiante puede averiguarse en qué centro cursa estudios y de qué estudios se trata.

También como medida de protección, en casos de violencia de género, la admisión le será comunicada directamente a la madre, de forma privada.

Publicación de fotografías

A la hora de publicar fotografías en las redes sociales o captar imágenes de los menores en determinadas actividades del centro, es necesario solicitar el consentimiento de los representantes legales de los menores, y el centro debe aprobar determinadas medidas de seguridad.

No es conveniente tener más fotografías de los alumnos que aquellas destinadas a los listados de clase.

En caso de fotografiar salidas escolares, actuaciones u actividades especiales que organice el centro, podrán subirse a su sitio web solo si, al igual que en las listas de admitidos, la página en la que se visualicen sea de acceso restringido a los padres y en ella se recuerde que las imágenes no pueden ser descargadas o capturadas.

Reparto de notas

Repartir entre los miembros del Consejo Escolar las notas de todos los alumnos con sus nombres para ver las dificultades que puedan tener y buscar las mejoras necesarias, podría ser contrario al artículo 4 de la LOPD dado que se trataría de un acceso excesivo de información que no estaría justificado.

Con el mismo propósito de proteger al alumnado de rechazo u hostilidad por parte de sus compañeros, los profesores tampoco podrán publicar calificaciones individuales de exámenes o trabajos.

De hecho, ni siquiera deberían comunicarlas oralmente durante la clase.

Auditorías

También es importante que el colegio lleve a cabo Auditorías de cumplimiento que pueden ser internas o externas, siempre que se desarrolle por un profesional experto en la materia, que diagnostique si se está cumpliendo con los requisitos mínimos establecidos por la normativa, o bien, indique los aspectos que necesiten de adaptación.

Datos de salud de los alumnos

Sí que se pueden recoger los datos de salud de los alumnos, y se pueden distinguir los siguientes momentos:

• En la matriculación: discapacidades, enfermedades crónicas, intolerancias alimentarias o alergias.
• Durante el curso escolar: tratamiento médico facilitado a un alumno a través del servicio médico o de enfermería del centro, o los informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro, o los informes de los equipos de orientación psicopedagógica.

Datos biométricos

El RGPD incluye a los datos biométricos dentro de las categorías especiales de datos.

La normativa de protección de datos exige que los datos que se recaben sean adecuados, pertinentes y no excesivos.

Han de responder al principio de proporcionalidad, es decir, deben ser idóneos para la finalidad que se pretende conseguir con su recogida, no deben existir otros medios menos intrusivos para ello, y de su tratamiento deben derivarse más beneficios para el interés general que perjuicios sobre otros bienes y valores.

La AEPD ha admitido el uso de la huella dactilar para fines como el control de acceso al servicio de comedor en centros escolares con un gran número de alumnos, siempre que se establezcan medidas que refuercen la confidencialidad de los datos como la conversión de la huella a un algoritmo, el cifrado de la información, la vinculación a un dato distinto de la identificación directa del alumno o la limitación de los protocolos de acceso a los datos.

Situación familiar

Los centros educativos pueden recabar la información sobre la situación familiar de los alumnos.

Entre los datos que se recogen en las escuelas está la situación familiar de los estudiantes.

Por tanto, se tratarán datos tanto de padres como de alumnos. Estos últimos datos son relevantes, por ejemplo, en caso de divorcios, pues el colegio debe saber quién ostenta la patria potestad.

Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación.

En caso de que los padres estén separados, debe solicitarse información sobre quién tiene la patria potestad y sobre los autorizados para recoger al alumno.

Datos para fines distintos de la función educativa

Los centros educativos pueden recabar datos para otras finalidades legítimas, como puede ser la gestión de la relación jurídica derivada de la matriculación de los alumnos, o dar a conocer la oferta académica, participar con los alumnos en concursos educativos u ofrecer servicios deportivos, de ocio o culturales.

En estos casos, se podrán solicitar los datos necesarios, bien como consecuencia de la relación jurídica establecida con la matrícula, o si media el consentimiento previo de los alumnos o de sus padres o tutores.

Servicios escolares como enfermería, comedor, transporte o seguridad

El centro educativo tendrá que firmar un contrato con las empresas de los servicios prestados, en el que se defina que dichas empresas, aunque no son las responsables de los datos personales, ostentan la condición de encargadas de los datos y por consiguiente tienen el mismo deber de guardar secreto, deber que perdurará incluso más allá de finalizar la relación entre el colegio y la empresa.

Cámaras de vigilancia en patios de recreo y comedores

Se pueden instalar siempre y cuando la instalación responda a la protección del interés superior del menor, toda vez que, sin perjuicio de otras actuaciones como el control presencial por adultos, se trata de espacios en los que se pueden producir acciones que pongan en riesgo su integridad física, psicológica y emocional.

Las cámaras serán señalizadas y bajo ninguna circunstancia, ni aunque haya riesgo de conflictividad, podrán instalarse en las aulas, vestuarios y aseos de estudiantes o profesorado, puesto que sería una invasión de la intimidad.

Teléfono móvil

Los maestros habrán de respetar también la privacidad de los estudiantes de cara a sus dispositivos de telefonía móvil.

Si son requisados durante la clase, no podrán permanecer en poder del profesor una vez finalizada ésta, ni mucho menos accederse a la información que almacenan. 

A excepción, eso sí, de que haya fundadas sospechas de que peligra la integridad de un alumno (situaciones de ciberacoso, sexting, grooming o de violencia de género) en cuyo caso, previa ponderación y siguiendo el protocolo establecido por el centro, podrá accederse a dichos contenidos, así como a cualquier otra información que pudiera resultar esencial.

La entrada PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS se publicó primero en Gestiona Abogados.

Nos siguen preguntando con bastante frecuencia eso de “¿puedo coger direcciones de e-mail publicadas en internet para enviar a la gente, comunicaciones publicitarias?”.

Por supuesto que NO.

Comprendemos perfectamente que el correo electrónico es un medio cómodo –y encima gratuito- para hacerte publicidad y dar a conocer tu negocio. De hecho, tal y como están las cosas, es el único medio que muchos pueden permitirse.

Pero ten muy claro que si recopilas, sin más, e-mails de páginas webs, o de fuentes accesibles al público como los listados de colegios profesionales o repertorios telefónicos, para enviar publicidad, estás infringiendo la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), y puedes ser sancionado.

RGPD y LSSICE

En este punto, la mayoría de la gente confunde algunos preceptos del RGPD con la LSSICE. Pero son dos normas distintas que protegen también cosas distintas.

La LSSICE, en lo que aquí nos interesa, lo que pretende es poner freno al SPAM, es decir, a la publicidad no deseada que se realiza por medios electrónicos y en particular, por e-mail.

Y no hay excepciones en función del destinatario, porque sea persona jurídica, un profesional o porque tenga publicado su e-mail en internet.

Y la LSSICE es muy clara en su artículo 21.1, en el que SE PROHÍBE:

“…el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

Salvo que (artículo 21.2 LSSICE):

“…exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”

Fuera de esos supuestos, el envío de e-mails publicitarios no procede y podrá ser sancionado.

Sanciones AEPD

Puedes comprobar lo que estamos diciendo en la siguiente Resolución (y hay muchas en el mismo sentido) de la Agencia Española de Protección de Datos, pinchando aquí:

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00681-2013_Resolucion-de-fecha-18-03-2014_Art-ii-culo-21-LSSI.pdf

En ella se dice justo lo que estamos comentando, y se multa a una empresa con 1.800 euros por infracción leve.

La empresa multada lo que hizo fue enviar un e-mail a otra entidad ofertando unos cursos, cuando esta última había manifestado expresamente que no quería seguir recibiendo publicidad.

La denunciada alegó:

• que se trató de un error informático
• que, en todo caso, la dirección de e-mail se encontraba publicada en internet,
• y además dicha dirección empezaba con “info”, lo que se podía entender como una invitación a recibir publicidad.

Son muchos los errores que se cometen en este tema, y si eres uno de ellos, deberías saber que estás asumiendo un riego bastante alto de ser sancionado por la Agencia Española de Protección de Datos.

Así que los envíos de boletines de noticias, recopilación de noticias, comunicaciones comerciales, circulares informativas o como prefieras llamarlos según tu caso (piensa que una felicitación navideña también está dentro de estos supuestos), puedes encontrarte con no pocos problemas si actúas con desconocimiento de la normativa que regula esta materia y que es la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).

También puedes ver la Resolución nº 2307/2013, de 30 de septiembre de 2013, dictada en el Procedimiento Sancionador nº 322/2013.

En ella un particular denunció a la empresa DIRECTO A CASA VENTA DIRECTA, SL porque recibía de la misma una “newsletter”, a pesar de haber pedido la baja de su e-mail para que no le enviaran más comunicaciones.

La empresa denunciada, tras recibir la solicitud de baja, respondió al solicitante diciéndole que se accedía a tal baja a través de una lista de distribución donde la dirección de e-mail del denunciante era visible para el resto de miembros.

Hay un par de párrafos de los fundamentos jurídicos de la Resolución de la AEPD, que resumen muy bien el mensaje que todos los que envían comunicaciones comerciales electrónicas deben tener en cuenta:

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Os aconsejamos que antes de iniciar cualquier campaña por vía electrónica destinada a colectivos de clientes, solicitantes u otros, os asesoreis debidamente.

Publicidad no deseada

La Agencia Española de Protección de Datos publicó en la web un artículo sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares, como a empresas, y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

Sugerencias de la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online):

Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían:

Marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios:

Muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el RGPD es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar:

El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición:

Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación:

Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas:

Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos:

Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.

La entrada SPAM Y FUENTES ACCESIBLES AL PUBLICO se publicó primero en Gestiona Abogados.

No se debe confundir el objeto de una patente con el de un contrato de confidencialidad, aunque son muy útiles para proteger la información relativa a esa potencial patente que una parte quiera compartir con otra.

Primero, debes saber que contratos de confidencialidad hay de muchos tipos:

• dos empresas que suscriben un acuerdo
• entre socios, entre responsables y empleados
• Pyme e inversor, etc.;

Y que con ellos podrás proteger información y documentación sensible que vayas a compartir y que tenga que ver con datos financieros, métricas, propiedad industrial, KPIs, modelo de negocio, etc.

Razones para firmar un acuerdo de confidencialidad

El principal beneficio de un contrato de esta clase es la protección que aportará a tu Pyme en posibles productos o desarrollos propios, pero además, es muy útil para:

• Salvaguardar toda aquella información comercial (estrategias, resultados, estado financiero, bases de datos, análisis de mercado, etc.) o técnica (conocimientos, procedimientos, prototipos, contraseñas, software, etc.) que no se desee hacer pública a terceros.
• En el caso de que no se cumpla, se puede reclamar contractual o judicialmente un incumplimiento de contrato y solicitar daños y perjuicios.
• Evitar las pérdidas económicas, de derechos, bases de datos o patentes ocasionadas por la divulgación a terceros.

Es la forma de compartir una información secreta

A veces puede ser necesario que una empresa deba compartir información confidencial con otra.

Por ejemplo, si quiere contratar un proveedor para fabricar un producto con unas características determinadas que proporcionará mayor valor a la empresa.

La empresa informará al proveedor de las características que no desea que de esa información se divulgue.

Para ello la empresa que reciba esa información confidencial debe firmar un acuerdo de confidencialidad para no divulgar los secretos empresariales confiados.

Acuerdo de no divulgación

El acuerdo de no divulgación de información confidencial contendrá:

• Datos de la empresa que comunica la información y los de la empresa que la recibe.
• Finalidad de esa comunicación
• Descripción de la información comunicada y su carácter confidencial
• Cláusulas con excepciones a la confidencialidad (supuestos en los que el destinatario de la información ya no está obligado a guardar secreto puesto que esa información pasa a ser pública).
• Especificar cómo debe el receptor proteger esa información, lo que puede hacer con ella y lo que no.
• Plazo durante el cual la información debe permanecer en secreto.
• En ocasiones ambas empresas se comunican entre sí información confidencial. En esos casos deben introducirse las modificaciones oportunas en el acuerdo de no divulgación.

Consejos para redactar un acuerdo de confidencialidad

Como hemos comentado anteriormente, acuerdos de confidencialidad hay de diferentes tipos y cada empresa suele adaptarlos a sus necesidades y situación particular.

En este sentido, hay una serie de consejos que son aplicables a prácticamente la mayoría de estos contratos de confidencialidad y que debes tener en cuenta antes de comenzar una relación:

• Incluye qué información no puede ser divulgada, pero también la que sí puede serlo a fin de evitar malentendidos.
• Añade a quién pertenece la titularidad de la información.
• Especifica el límite de uso que cada parte podrá hacer de la información confidencial. Por ejemplo, si compartes la base de datos con un tercero, explica que será para análisis y no para utilización comercial, o solo para uso en negocios propios y compartidos entre ambas partes.
• Si es necesario, diferencia entre información confidencial y reservada. En ocasiones se suelen utilizar indistintamente, y no son exactamente lo mismo. La información confidencial suele relacionarse con datos personales o empresariales, mientras que la reservada se vincula con una restricción por razones de interés.
• Establece tanto los períodos de tiempo durante los cuales se realizará la revelación de información entre las partes como el período durante el que se mantendrá la confidencialidad.
• Indica qué departamentos, personas o aspectos de la empresa se encuentran afectados.

¿Y si alguna de las partes incumple el acuerdo de confidencialidad?

Las consecuencias del incumplimiento del contrato de confidencialidad por alguna de las partes pueden ser varias:

• cese del contrato comercial o de trabajo
• reclamación por daños y perjuicios
• proceso judicial en el que el contrato puede ser presentado como prueba.

¿Cuándo usar ese acuerdo de no divulgación?

No es conveniente abusar de este tipo de acuerdos. Si es imprescindible comunicar esa información confidencial, deberá ser la menos posible para conseguir el objetivo comercial.

También es importante elegir al destinatario de esa información adecuadamente y asegurarnos que podrá cumplir esa promesa de guardar secreto.

Una vez que se publica esa información secreta deja de serlo.

Y, aunque la empresa titular de la información reclame daños y perjuicios ante los tribunales, no conseguirá que la situación vuelva a su estado inicial.

Por eso, lo principal será asegurarnos de a quién escogemos para compartir esa información secreta, y que ese secreto será mantenido como tal.

La entrada ACUERDO DE CONFIDENCIALIDAD se publicó primero en Gestiona Abogados.

¿Cómo deben cumplir los Administradores de fincas el RGPD?

La administración de fincas forma parte de ese tipo de actividades que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la normativa sobre protección de datos.

Cada vez que la Comunidad de vecinos contrata tus servicios como administrador de fincas,  estás manejando datos de carácter personal de terceros.

Las principales actuaciones que debes realizar como administrador de fincas para adaptarte al RGPD son:

• Realizar un Registro de actividades de tratamiento, que debes mantener actualizado.
• Elaborar un análisis de riesgos
• Firmar los contratos con terceros
• Incluir los textos legales en la página web
• Solicitar el consentimiento a los clientes
• Facilitar los derechos de los usuarios
• Firmar los contratos con los empleados

Consentimiento de clientes del Administrador de Fincas

Este consentimiento puede solicitarse de dos formas:

1.Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar la política de privacidad.

2. En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

• el responsable del tratamiento,
• finalidad para la que se van a usar los datos,
• si se van a ceder a terceros y
• el medio por el que puede ejercer sus derechos.

Derechos de los usuarios (Comunidades de Propietarios)

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

• acceso a los propios datos personales;
• rectificación si los datos son inexactos;
• supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
• limitación del tratamiento;
• portabilidad de los datos;
• oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
• a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

¿Se pueden ceder los datos?

Normalmente no, pero en determinados casos puede ser necesario comunicar datos de contacto de propietarios a un servicio externo, en situaciones de emergencia, o en caso de siniestros, sin el consentimiento de los interesados.

En un un supuesto de este tipo se puede entender que existe un interés legítimo por parte de la comunidad, en resolver el siniestro lo más rápido posible, con el objeto de evitar daños.

¿Cómo puede usar los datos el Administrador de Fincas?

Se puede usar el dato del correo electrónico, teléfono u otro medio de contacto, de un propietario, por ejemplo, para comunicar una avería, o también usarlo para sus relaciones derivadas de la gestión de la comunidad

Cualquier otro uso, como publicidad o marketing, no estaría legitimado.

¿Se pueden realizar comunicaciones a los propietarios a través de WhatsApp?

Si lo ha facilitado el propietario se podría utilizar en el marco de la gestión de la comunidad con su consentimiento.

Ahora bien, no se puede utilizar para incluir al propietario en un grupo sin su consentimiento expreso, informado y explícito.

¿Se pueden publicar datos de carácter personal en el tablón de avisos de la comunidad de propietarios?

Solo se autoriza a la exposición de datos de carácter personal relacionados con asuntos derivados de la gestión de la comunidad en el caso de que no pueda contactarse con un propietario en el domicilio indicado a efectos de notificaciones.

El tablón de avisos no deberá colocarse en un lugar de tránsito fácilmente accesible por cualquier persona.

Instalar cámaras de videovigilancia

Cabe indicar que las cámaras instaladas por empresas de seguridad privada con la finalidad de control, por motivos de seguridad, no pueden afectar al derecho a la intimidad de los propietarios del complejo en sus actividades de carácter lúdico.

Las cámaras instaladas no pueden obtener imágenes de espacios reservados a la intimidad de las personas (zona de gimnasio, zona de piscina, o zona de hamacas, a modo de ejemplo), salvo que se justifique motivadamente la procedencia de la instalación, o las mismas sólo estén operativas en horario nocturno con fines de seguridad. 

¿Es necesario un mantenimiento de protección de datos para cumplir con la normativa?  

¡NO!. La ley en ningún caso establece la necesidad de contratar a un tercero para un mantenimiento anual.

Parece ser que existen supuestas empresas que llaman con objeto de “coaccionar” al administrador avisándoles que han de contratar de forma obligatoria el mantenimiento en protección de datos, ya que de lo contrario, pueden ser denunciados a la Agencia Española de Protección de datos y que se impongan sanciones muy cuantiosas.

Si bien es cierto que la Ley establece algunas obligaciones en materia de actualización de documentación y de supervisión del cumplimiento de medidas de seguridad, en ningún caso requiere la contratación obligatoria de terceros.

Obviamente, en el caso de que el Administrador no tenga tiempo, conocimientos adecuados o recursos suficientes puede plantearse contratar dicho servicio con un profesional. 

Pero repito, NO ES OBLIGATORIO.

¿El Administrador de fincas es responsable?

Existe la creencia errónea de que el administrador ostenta la posición de responsable de los datos de las Comunidades que administra.

Generalmente dicha creencia viene dada  por varios motivos, primero por ser él quien posee materialmente los datos, y segundo porque  se relaciona de forma directa y administrativa con los vecinos.

Pero lo cierto, es que en una comunidad de propietarios, el tratamiento de los datos lo asume el propio presidente.

Los administradores están legitimados, por el contrato de prestación de servicios, para tratar y disponer de la información de los propietarios necesaria, para la gestión ordinaria de los asuntos de la comunidad.

El Administrador de fincas, por tanto, será responsable de los datos personales tratados en su propio despacho y queda relegado a la figura de encargado del tratamiento con respecto a los datos de la propia comunidad que administra, haciendo uso de la información de carácter personal  de ésta para los fines que  le hayan encomendado.

Conclusiones

En definitiva, el Administrador de fincas:

• ha de  conocer bien los derechos de los titulares
• debe aplicar los principios de calidad, información, consentimiento, seguridad, etc.,
• tendrá un proceso claro y documentado de los flujos de información: origen de la misma, tratamiento lógico y físico, accesos de empleados y terceros colaboradores. 
• tratará los datos, según las instrucciones de la comunidad de propietarios, y no los aplicará o utilizará con fin distinto al establecido en el contrato, ni los comunicará o cederá a terceras personas.
• al término de la relación contractual, el administrador deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que aparezcan datos personales objeto de tratamiento.
• podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento, de los que puedan derivarse responsabilidades en relación al servicio prestado a la comunidad de propietarios.
• Las medidas de seguridad adoptadas por el administrador de fincas deben ser las mismas exigidas al responsable del tratamiento.

La entrada ADMINISTRADOR DE FINCAS Y RGPD se publicó primero en Gestiona Abogados.

La Ley Orgánica de Protección de DatosEnlace añadido por la extensión vLex reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman cuando así lo soliciten.

Borrar tus datos de redes sociales es un derecho.

El ejercicio del derecho de cancelación solo puede solicitarlo el afectado o, en caso de tratarse de menores de 14 años, sus padres o tutores legales.

Para borrarlos, es imprescindible dirigirse a la empresa u organismo que está tratando/difundiendo esos datos, en este caso, a la red social o página web en la que se han publicado esas imágenes o vídeos, acreditando la identidad e indicando qué enlaces son los que contienen los datos que quieres cancelar.

La empresa debe resolver sobre la solicitud de cancelación en el plazo máximo de diez días a contar desde la recepción de la misma.

Transcurrido ese plazo sin que de forma expresa respondan a la petición o si la respuesta es insatisfactoria, se puede interponer la correspondiente reclamación de tutela ante la  AEPD, acompañando la documentación acreditativa de haber solicitado la cancelación ante la entidad de que se trate.

Este punto es muy importante, ya que se debe acreditar que se ha ejercido en primer lugar el derecho de cancelación ante quien está tratando/difundiendo esas imágenes o videos.

Es decir, que para borrar tus datos de redes sociales, primero debes dirigirte a la empresa o red social que lo haya publicado.

Las redes sociales más populares, por su parte, disponen de mecanismos establecidos para comunicarles vulneraciones de la privacidad o contenidos inapropiados mediante sus propios formularios:

Facebook

La red social ofrece un servicio de ayuda para avisar de fotos o vídeos que puedan infringir el derecho fundamental a la protección de datos.

Facebook ofrece varias opciones en función de las circunstancias de cada caso concreto.

También permite denunciar una conducta abusiva mediante el enlace Denunciar, que aparece situado junto a la mayoría de los contenidos publicados en Facebook.

 Google

La compañía dispone de una página desde la que se puede solicitar la retirada de contenido de sus diferentes servicios.

https://support.google.com/webmasters/answer/6332384?hl=es

A partir de tu solicitud, el buscador decide si las peticiones cumplen con los requisitos:

¿Es información obsoleta?

¿No existe un interés público?

Youtube

En el caso del servicio de vídeos YouTube, se ofrecen diferentes opciones en caso de abuso o acoso, vulneraciones de la privacidad, denuncia de contenidos sexuales, contenidos violentos u otros problemas.

Por otro lado, si un vídeo colgado en YouTube incluye un contenido inapropiado se puede utilizar el icono con forma de bandera (Denunciar) para avisar del contenido y que la empresa lo revise.

Twitter

La red aglutina en esta página diferentes formas de informar sobre diversos incumplimientos, entre los que se encuentran la publicación de información privada en Twitter, la usurpación de identidad, el acoso o la publicación de vídeos ofensivos.

 Instagram

La red social Instagram cuenta con una página desde la que se puede reportar contenido publicado por terceros sin el consentimiento que incluya información personal, así como informar de conductas abusivas o de casos de hostigamiento o acoso.

Para finalizar…

Si mediante estos procedimientos no obtuviéramos respuesta a nuestra petición o no estuviéramos conformes con ella, debemos dirigirnos ante la Agencia Española de Protección de Datos.

La Agencia estudiará en profundidad las características de la solicitud y si se da el cumplimiento de requisitos que hemos reseñado,  estimará la solicitud.

Si no estamos conformes con la resolución, nos quedaría recurrir a la vía judicial.

La entrada BORRAR TUS DATOS EN REDES SOCIALES se publicó primero en Gestiona Abogados.

Ha pasado ya un año y medio desde aquel aluvión de emails a resultas del RGPD, y aun hoy siguen preguntándonos sobre la misma cuestión. Las comunicaciones comerciales y su implicación con el RGPD.

Debemos partir de la definición de comunicación comercial, que es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona, que realice una actividad comercial, industrial, artesanal o profesional.

¿Necesito el consentimiento de los destinatarios para envío de publicidad?

Como norma general, sí se requiere el consentimiento de los destinatarios para remitirles publicidad.

No obstante, de acuerdo con el RGPD, y la Ley 34/2002Enlace añadido por la extensión vLex, de Servicios de la Sociedad de la Información (“LSSI”), existen causas que legitiman el envío de publicidad sin necesidad de consentimiento.

Concretamente, una empresa puede remitir publicidad cuando sus destinatarios se hayan convertido previamente en clientes, ya que se considera que existe un interés legítimo de la empresa en el tratamiento de datos de sus clientes con fines de marketing y publicidad.

En todo caso, la publicidad remitida debe estar relacionada con productos o servicios similares a los que inicialmente fueron contratados por el cliente.

¿Cuándo debo incluir en las comunicaciones comerciales la opción de darse de baja?

Debe incluirse la posibilidad de revocar el consentimiento u oponerse a la publicidad, tanto en las cláusulas de información y consentimiento, como en todas las comunicaciones que se remitan.

Los medios ofrecidos para ello deben ser especialmente sencillos, y si la publicidad se remite por medios electrónicos, es necesario que se facilite un email a este efecto.

¿A qué riesgos me expongo si la publicidad que envío no es legal?

Las consecuencias por envío de publicidad pueden consistir en cuantiosas multas y graves impactos reputacionales.

Así, por ejemplo, una infracción por realizar SPAM (envío de publicidad no solicitada) puede suponer la imposición de una sanción de hasta 150.000 euros de acuerdo con la LSSI, y de acuerdo con el RGPD las sanciones podrían ser de cuantía superior, pudiendo llegar hasta el 4% de la facturación anual del ejercicio anterior o a los 20 millones de euros.

¿Qué deben hacer las empresas de publicidad para cumplir con la normativa en materia de protección de datos?

Con el fin de cumplir las normas mencionadas, y garantizar el principio de transparencia en el tratamiento de datos, recomendamos que en la cláusula de recogida de consentimiento del cliente (ya sea para actividad de fidelización, registro de datos en el programa informático u otros servicios), se incluya una casilla de autorización para recibir publicidad sobre los servicios de la empresa.

De esta forma, el consentimiento se prestará por el cliente de forma específica, y será la causa de legitimación inequívoca para realizar publicidad.

En los casos en los que no resulte necesario solicitar consentimiento expreso, por existir otras causas que legitimen el tratamiento, recomendamos colocar cartel informativo u otra vía para hacer llegar al cliente la información sobre el tratamiento de sus datos, en el que se haga alusión al fin comercial.

De igual manera, recomendamos crear un canal de comunicación específico para gestionar de forma diligente las solicitudes de baja de clientes y excluirlos de toda acción comercial.

En cualquier caso, lo fundamental será siempre contar con la consulta de un profesional experto en esta materia antes de lanzar cualquier campaña publicitaria que pueda comprometer la seguridad jurídica y reputacional de la empresa.

Reglamento

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define el consentimiento en su artículo 4.1. como 

“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa. El tratamiento de datos personales que le conciernen”.

Es decir, no cabe el consentimiento tácito.

Y el considerando 32 del RGPD establece lo siguiente: 

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado».

Debe aceptar el tratamiento de datos de carácter personal que le conciernen, con una declaración por escrito, inclusive por medios electrónicos. 

Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.

Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines.

Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Comunicación

Por otro lado, al tratarse de comunicaciones electrónicas debe tomarse en consideración la aplicación de la Ley 34/2002, de 11 de julio. De Servicios de la sociedad de la información y de comercio electrónico (LSSICE), por ser norma especial. Y por tanto, no podrá acudirse en este punto a las previsiones del RGPD.

La LSSICE en su artículo 21 establece: 

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario, y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa,  que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

Por tanto, en estos supuestos, la regla general es el consentimiento expreso del interesado, a menos que dichas acciones se refieran a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Sin carácter comercial

Por otro lado, si los correos electrónicos que se envíen no tienen el carácter de comerciales, igualmente el tratamiento de los datos de las personas físicas (y no jurídicas), se encontrará sujeto a lo previsto en el RGPD.

El responsable del tratamiento debe encontrarse legitimado para llevar a cabo dichos tratamientos, encontrando dichas causas legitimadoras, y entre ellas cabe destacar el interés legítimo.

La determinación de si existe un interés legítimo requiere ponderar por el responsable, si dicho interés prevalece sobre los derechos y libertades fundamentales del interesado.

En el caso de que el mismo prevaleciese, podría llevar a cabo tales tratamientos, pero en todo caso, el interesado podrá oponerse a dichos tratamientos conforme a lo dispuesto en el artículo 21 del RGPD.

La entrada COMUNICACIONES COMERCIALES se publicó primero en Gestiona Abogados.

Tendrás que revisar tu aviso legal,  tu política de privacidad y la política de cookies, así como añadir los elementos informativos necesarios.

La redacción debe ser muy clara, fácil de entender y accesible.

Esta obligación  recae sobre el Responsable del Tratamiento.

Esta  información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.

Deberás incluir una primera capa informativa que resuma los aspectos más relevantes relativos a ese tratamiento, y una segunda capa que complete esa información:

• La identidad del responsable de la gestión y si procede, del delegado de protección de datos.
• La identidad de los destinatarios o las categorías de destinatarios de los datos personales,  que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
• Advertir sobre qué tipo de datos se  están recogiendo, utilizando o consultando, la medida en que dichos datos son, o serán tratados, y de las posibles consecuencias de no facilitar tales datos.
• Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos (que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita).
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación, por ejemplo, cuando esta elaboración tenga consecuencias jurídicas para el afectado.

¿Dónde deben aparecer los elementos informativos?

En el pie de página de la web debes incluir los textos legales completos.

Estos deben ser accesibles en todas las páginas de la web.

Como mínimo deben aparecer: el aviso legal, política de privacidad y política de cookies.

En todos los formularios de captura de datos, siempre deberás requerir el consentimiento del usuario de forma expresa  y permitir la aceptación de la política de privacidad antes de validar sus datos.  

Los datos que requieras siempre deben ser  pertinentes y adecuados a la finalidad, es decir, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Confirmar la suscripción a través de un sistema de validación de usuarios: para autentificar al usuario mediante un mensaje de correo electrónico confirmando el alta con una coletilla legal que acredite el deber de información, a través de un proceso doble opt in, lo que sí acreditaría un consentimiento expreso.

E-Commerce

Condiciones de contratación: 

En el caso de un e-commerce o página donde existan mecanismos de pago para contratación de productos o servicios de forma online, deberás añadir las  Condiciones de contratación.

Tu web debe poner a disposición de los usuarios las condiciones generales de contratación de forma que puedan ser almacenadas y reproducidas por los usuarios.

La LSSIEnlace añadido por la extensión vLex establece que el prestador, antes de iniciar la contratación, debe informar al usuario, pudiendo hacerlo a través de su web, de forma «clara, comprensible e inequívoca» sobre:

• Los trámites o pasos a seguir para celebrar el contrato.
• Si el documento generado, el contrato, va a ser almacenado por el prestador.
• Los medios técnicos que pondrás a disposición del usuario/consumidor para identificar y corregir errores en los datos.
• La lengua o lenguas en que se podrá formalizar el contrato.
• Creación de mecanismos de aceptación de términos y condiciones de uso, tras haberle facilitado información clara y completa sobre la identidad del prestador de servicios, así como información relativa a las condiciones de contratación.
• Por último, debes crear un procedimiento para establecer comunicaciones comerciales con clientes y con usuarios de internet para adecuarlas a la normativa vigente.

Requiere siempre el consentimiento

Este consentimiento debe tener 3 características fundamentales para que sea legal:

Expreso: no vale el consentimiento tácito.

Específico: ligado a una finalidad concreta y no genérico.

Verificable: debes poder acreditar que lo has obtenido.

Debes desterrar por tanto,  los formularios de suscripción, contacto, registro etc., que no incluyan mecanismos informativos claros, y no requieran el consentimiento de los usuarios.

El silencio, las casillas pre marcadas o la inacción del usuario, al requerir datos personales, no serán válidos.

Cualquier caja de suscripción tipo banner o caja flotante que no incluya un checkbox para expresar el consentimiento, y una cláusula informativa visible y expuesta, no será legal.

 ¿Qué ocurre con los suscriptores de los que no hayamos obtenido el consentimiento?

No basta solo con modificar todos los formularios de contacto y añadirles un check box:  Debes convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos,  si quieres seguir trabajando con ellos.

Podrías regularizarlo enviando un boletín en donde les invites a confirmar su suscripción y otorgarte un consentimiento expreso.

Para eso, deberás conducirlos hacia tu nuevo formulario de suscripción y pedirles que marquen la casilla de consentimiento siguiendo las recomendaciones anteriores.

De esta manera, podrás acreditar ese consentimiento expreso y estar cubierto ante cualquier requerimiento.

La entrada Tu página web y el RGPD se publicó primero en Gestiona Abogados.

La entrada FICHEROS DE MOROSOS-DUDAS FRECUENTES se publicó primero en Gestiona Abogados.

En el próximo post, resolveremos algunas consultas frecuentes que te pueden interesar respecto a la inclusión de tus datos en un fichero de morosos.

La entrada FICHEROS DE MOROSOS se publicó primero en Gestiona Abogados.