El nuevo Reglamento de Protección de Datos entra en vigor el 25 de Mayo de 2018. Infórmate sobre los cambios importantes que supone.

En Mateas Abogados, como despacho referente y especializado en economía digital y comercio electrónico, asesoramos e indicamos a nuestros clientes cómo adaptarse al nuevo Reglamento General de Protección de Datos que entra en vigor el próximo 25 de Mayo de 2018. También medios de comunicación recurren a nosotros para poder ofrecer una información veraz y fiel, y en este artículo se recogen las consultas de algunos de estos medios, y que sirven de buen acercamiento al RGPD así como a otras iniciativas en curso en materia de privacidad y cookies.

1- A nivel general, ¿cómo se puede valorar el nuevo reglamento europeo de protección de datos?

Si lo comparamos con la anterior normativa, el nuevo Reglamento:

  1. Refuerza la armonización en la Unión Europea(UE) en materia de protección de datos, pues remplaza el mosaico a veces inconsistente de leyes nacionales que transponían la anterior Directiva con una única norma de aplicación directa en todos los Estados Miembros. En este sentido, aquellos responsables del tratamiento que operen en varias jurisdicciones dentro de la UE tendrán una mayor seguridad jurídica y, además, se beneficiarán de un mecanismo de ventanilla única en sus relaciones con las autoridades de protección de datos en el caso de tratamientos transfronterizos.
  2. Establece requisitos más estrictos para el consentimiento al tratamiento de datos personales y nuevas obligaciones, cuyo incumplimiento puede dar lugar a multas muy importantes.  La norma se adapta así al contexto tecnológico de una creciente utilización y monetización de los datos personales, desde el objetivo de la protección de los derechos fundamentales de las personas físicas en relación con esos datos.
  3. Amplía su aplicación territorial a las empresas no establecidas en la UE cuando el tratamiento esté relacionado con la oferta de bienes o servicios o el seguimiento del comportamiento de individuos en la UE (con independencia de dónde se produzca el tratamiento).

2- En particular, ¿qué implicaciones puede tener para las empresas que principalmente venden a través de Internet?

Deseamos destacar en especial las nuevas obligaciones impuestas de protección de datos “desde el diseño y por defecto”. Es decir, que desde el mismo momento en que se determinan los medios del tratamiento, el responsable debe adoptar medidas técnicas y organizativas para asegurar el cumplimiento del Reglamento, y poder, además, demostrarlo. También debe garantizar técnica y organizativamente que, por defecto, sólo se traten los datos personales necesarios para el fin específico para el que se obtuvo el consentimiento.  Por tanto, el propio diseño de las tiendas de venta online deberá garantizar el cumplimiento del Reglamento. En el caso de existir un encargado del tratamiento, se elegirá al que ofrezca garantías suficientes de aplicar estas mismas medidas técnicas y organizativas de forma que el tratamiento sea conforme con el Reglamento.
Se fomentan mecanismos de auto-regulación, bajo la forma de adhesión a códigos de conducta previamente aprobados por la autoridad de protección, y mecanismos de certificación para facilitar la prueba del cumplimiento con el Reglamento.

3- ¿Y para las agencias de marketing online? Por ejemplo, ¿afectará a las campañas de publicidad en las redes sociales y en los buscadores?

Para que el tratamiento de datos sea lícito, este debe basarse en el consentimiento del interesado o en otra razón legítima admitida por el Reglamento.

En cuanto al consentimiento, éste debe ser informado, expreso e inequívoco para cada una de las finalidades concretas para las que vayan a usarse esos datos. La información debe facilitarse de forma fácilmente visible, clara y sencilla. Se necesita una “clara acción afirmativa” del interesado para consentir al tratamiento, no constituyendo consentimiento las casillas ya marcadas (las debe marcar el propio interesado de forma libre), el silencio o la inacción. 

Cuando no exista consentimiento expreso, el tratamiento de datos puede considerarse lícito si es necesario, por ejemplo, para ejecutar un contrato o “para la satisfacción de intereses legítimos” del responsable o de un tercero. No obstante, el uso de datos personales para una finalidad distinta de la original (por ejemplo, datos facilitados para ejecutar un contrato que después se usan para otra finalidad) sólo está admitida si la nueva finalidad es compatible con la inicial teniendo en cuenta determinados principios. Siempre se debe informar previamente al interesado de esta posibilidad.

En todo caso, el interesado debe poder oponerse, sin coste alguno y en cualquier momento, al tratamiento de sus datos (incluyendo a la elaboración de perfiles) con fines de mercadotecnia directa. Dicho derecho debe comunicársele explicita y claramente, al margen de cualquier otra información.

Por otra parte, hay que tener en cuenta la propuesta de Reglamento de la Unión Europea sobre e-Privacy, que complementará al Reglamento General de Protección de Datos y que aún no ha entrado en vigor. Ese reglamento, cuando se apruebe, seguramente impondrá nuevas obligaciones a prestadores de servicios de comunicaciones interpersonales sobre el uso de metadatos para big data marketing.

4- Una de las claves del éxito de la publicidad online es la capacidad de atribuir correctamente la conversión. Pero ello se basa en cookies y otros elementos que podrían verse restringidos por el nuevo reglamento. ¿Cuál es su visión de esta cuestión?

En primer lugar, hacer notar que las disposiciones en materia de cookies (y tecnologías similares) se aplican con independencia de que conlleven el procesamiento de datos personales, y afectan a cualquier servicio online, incluyendo aplicaciones, webs y buscadores. Esta cuestión se regula de forma más específica en la Directiva de la UE sobre e-Privacy que será sustituida en el futuro cercano por un Reglamento de aplicación directa en la Unión.

Hay cookies más intrusivas para la privacidad que otras. Diferentes tipologías de cookies llevan asociado un distinto nivel de protección para el usuario.

La propuesta de Reglamento e-Privacy prevé expresamente que para ‘first party web-audience measuring cookies’ no se requiere el consentimiento del usuario. La normativa propuesta es, por tanto, más permisiva con este tipo de cookies que, bajo la actual directiva e-Privacy, sí requieren de ese consentimiento.

Se mantiene la exención de consentimiento para las ‘shopping cart cookies’ (que guardan información sobre los productos añadidos al carrito de la compra en una tienda online) y otras cookies que se consideran necesarias para prestar un servicio de la sociedad de la información (o funcionalidad de un servicio) expresamente requerido por el usuario.

Sin embargo, la propuesta de reglamento es restrictiva con las cookies de terceros para targeted advertising. Estas no podrán utilizarse salvo consentimiento expreso e informado del interesado mediante una clara acción afirmativa. Hay que entender que el racional de la normativa propuesta no es prohibir estas cookies, pero sí establecer un sistema restrictivo de opt-in.

Se establece que el software que permita recuperar y obtener información de internet (por ejemplo, los navegadores) debe ofrecer al usuario, para proceder a su instalación (o de la primera actualización) la posibilidad de bloquear el uso de cookies de terceros desde la configuración de privacidad, opción que deberá ser presentada de forma inteligible y fácilmente visible. La elección del usuario será vinculante frente a terceros. La información facilitada no debe desincentivar la selección de la opción de privacidad más restrictiva y debe incluir toda la información relevante sobre los riesgos asociados a estas cookies. Aunque es posible seguir utilizando cookie banners para obtener el consentimiento del usuario, se espera que muchas de las decisiones sobre cookies se hagan desde la configuración el navegador.

 

Las distintas normas de la UE que inciden sobre esta materia son complejas, y eminentemente técnicas. Es importante analizar el caso concreto contando con la ayuda de abogados expertos en regulación de entornos digitales. En Mateas Abogados te ofrecemos asesoramiento especializado, flexible y a medida, no dudes en consultarnos.


Nuestra web utiliza cookies propias y de terceros para mejorar su experiencia de usuario y ofrecerle contenido adaptado a sus intereses. Si continúa navegando sin cambiar la configuración, consideraremos que acepta su uso.  Política de cookies.