MARKETING, INTERNET & COPYRIGHT

Newsletter

Riestra Abogados. 24 de Febrero de 2017

Reglamento (UE) 2016/679

Hay una novedad importante en el nuevo Reglamento Europeo de Protección de datos respecto a la acciones de Marketing, y esta es la obligación de obtener el consentimiento expreso cuando captamos datos.

Veamos la definición del artículo 4.11:

«consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

Contundente la inclusión de “una declaración o una clara acción afirmativa”, es decir, una “acción”, y ésta se define en el diccionario de la RAE, segunda acepción, como el “resultado de hacer”, lo que significa que se necesita el consentimiento expreso, también conocido como opt-in, como por ejemplo, marcar una casilla, y ya no nos vale el consentimiento tácito u opt-out.

Veamos el considerando (32) del Reglamento:

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”

Añadiendo, además, que el consentimiento debe darse para cada una de las finalidades previstas, y recordemos que cuando captamos datos, tenemos finalidades de prospección comercial, cesión a terceros, elaboración de perfiles, etc.

“El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”.

Recordemos que en la definición de consentimiento se incluyen los siguientes términos, libre, específica, informada, e inequívoca, que tantas veces han sido definidos por la Agencia Española de Protección de Datos, y por ejemplo en el considerando (43), se presume que el consentimiento no se ha dado libremente:

“cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento”.

En el artículo 7 del Reglamento Europeo, se establecen las condiciones para el consentimiento:

“1.Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”.

Y en cuanto a los menores, en el Real Decreto 1720/2007 de la Ley Orgánica de Protección de Datos, actualmente mantenemos la edad de 14 años para captar datos directamente del menor. Habrá que estar atentos a la reforma prevista de nuestra ley, y ver cómo lo adaptamos al Reglamento Europeo, porque independientemente de la edad (13 o 14), lo importante es pensar cómo obtendremos online el consentimiento expreso de los padres o tutores de los menores de 14 años.

En el artículo 8 del Reglamento Europeo se establecen las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información:

“1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño”.

Y en cuanto a los datos sensibles, como los ideológicos, raciales, orientación sexual, salud… quedan más o menos como lo tenemos regulado en nuestra Ley en cuanto a la necesidad de obtener el consentimiento expreso.

Artículo 9 del Reglamento Europeo, Tratamiento de categorías especiales de datos personales:

“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.

“2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado”;

Conclusión

Es un cambio importante al establecer el consentimiento expreso como la base de obtención del consentimiento. En cualquier caso estaremos pendientes de las actualizaciones en nuestra Ley Orgánica de Protección de Datos (15/1999) y normas de desarrollo, y de Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (34/2002), pero lo que es indudable que esto afecta a todos, ya que habrá que adaptar las cláusulas de protección de datos y dotarlas de las casillas necesarias, pero especialmente afecta a las empresas que comercializan bases de datos online, porque tendrán que cambiar sus estrategias de captación de datos e indudablemente perderán en cantidad, aunque no en calidad.

El consentimiento y tratamiento de datos con el nuevo Reglamento Europeo de Protección de Datos.

Suscribase a nuestro Newsletter y reciba periódicamente novedades de marketing legal.

De interés

Nuevo Reglamento Europeo de Protección de Datos