Innovación Legal
21 septiembre 2016
Nuestros datos personales, fuente de negocio y actividades de profiling
Una de las preocupaciones que tenemos la mayor parte de los usuarios de Internet es conocer de antemano y de forma veraz qué tratamientos van a hacer las empresas con nuestros datos personales y a quién se van a ceder.
Los datos personales son una “fuente de negocio” como pueden constatar los gigantes de Internet. La realidad es que muchas de las prestaciones que ofrecen aquellos (Google, Facebook) son gratuitas porque la fuente de ingresos la obtienen mediante el mercadeo de nuestros datos personales. En definitiva y a nuestro modo de ver “somos producto y mercancía”.
Aquí, es importante apuntar que recientemente ha sido publicada una noticia que afirmaba que Telefonica tiene previsto ofrecer a sus clientes durante el año 2017 como ventaja competitiva frente al resto de operadores, una información clara, veraz, transparente sobre el tratamiento de los datos personales que realizan las grandes compañías de Internet, de forma que sea el usuario después de un obtener una información clara quien decida finalmente si consiente dicho tratamiento o no.
Nadie duda que cuando nos bajamos una aplicación y/o nos conectamos a Internet existen una serie de términos y condiciones que regulan el tratamiento de nuestros datos personales. No obstante, en muchas ocasiones estos textos tienen un lenguaje muy técnico, son poco claros y demasiado extensos para mantener y centrar la atención del usuario.
-
¿Qué actividades regula el Reglamento Europeo de Protección de Datos en relación con el marketing digital y el tratamiento de datos personales?
Las principales actividades que regula el Reglamento[i] relacionadas con “el marketing digital y los usuarios” son el control de comportamiento, la mercadotecnia directa, las decisiones individuales automatizadas, incluyendo aquí la elaboración de perfiles que producen efectos jurídicos en los usuarios o que les afecten significativamente de modo similar.
A estos efectos, se considera que existe “un control del comportamiento de las personas físicas” asociado al tratamiento de los datos personales cuando se cumplen los siguientes requisitos:
- Seguimiento de la persona física en Internet.
- Uso de técnicas de tratamiento de datos personales que permiten la elaboración de un perfil de una persona física.
- finalidad del perfil: analizar o predecir sus preferencias personales, comportamientos y actitudes.
“La mercadotecnia directa”: concebida como una forma de comunicación con independencia de la vía de comunicación usada (mail, teléfono, SMS) dirigida a un público objetivo, medible y que genera una reacción y/o comportamiento en el usuario.
“Las decisiones individuales automatizadas”: se asocian a decisiones individuales basadas en el tratamiento automatizado de datos que producen efectos jurídicos en el afectado y/o que le afecte sustancialmente de un modo similar. A modo de ejemplo, el Considerando 71 del Reglamento lo relaciona con la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red donde no media intervención humana.
“La elaboración de perfiles”: supone el uso y tratamiento automatizado de datos personales con la finalidad de evaluar determinados aspectos personales de una persona física, y en particular para analizar y/o predecir aspectos relacionados con el rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos. Para la elaboración de perfiles se pueden usar cookies u otros identificadores como etiquetas de identificación por radiofrecuencia que pueden ser combinados con identificadores únicos y otro tipo de datos recibidos por los servidores.
-
¿Qué mecanismos habilitan a las empresas para el tratamiento de los datos personales con finalidades publicitarias?
En general y de acuerdo con las previsiones del Reglamento, todo usuario tiene derecho a conocer los fines del tratamiento de los datos personales, el plazo de tratamiento, los destinatarios de sus datos personales, las decisiones basadas en el tratamiento automatizado de datos personales y la posible elaboración de perfiles, así como, las consecuencias de dicho tratamiento.
Como norma para poder tratar “los datos con finalidades publicitarias y de marketing directo” es necesario una habilitación a través del consentimiento del interesado y no embebido en otras finalidades. Consentimiento que requiere una acción positiva por el usuario y concebido como una manifestación de voluntad libre, específica, informada e inequívoca mediante declaración escrita o verbal incluso consentimiento otorgado mediante la aceptación de iconos, identificando cada uno de los tratamientos con imágenes fácilmente reconocibles por el usuario.
Sin embargo, el Reglamento ha contemplado una posibilidad mucho más amplia de consentimiento basado en “interés legítimo del responsable con finalidades de marketing directo” que generará a nuestro modo de ver numerosos conflictos debido a la inseguridad jurídica que provoca la indefinición del interés legítimo. De acuerdo con el Considerando 47, el tratamiento de datos personales con fines de mercadotecnia directa puede ser realizado por interés legítimo.
-
¿Cuáles son los derechos reconocidos al usuario en el marketing directo?
Cuando los datos personales son tratados con finalidades de mercadotecnia directa el interesado tiene derecho a oponerse a dicho tratamiento, incluida la elaboración de perfiles cuando dicho tratamiento esté relacionado con aquella actividad, ya sea con respecto a un tratamiento inicial o ulterior, en cualquier momento y sin coste. Este derecho se ha informar al usuario de forma expresa y clara y diferenciada de cualquier otra información.
Cuando los datos personales sean tratados lícitamente basados en un interés legítimo del responsable o de un tercero el interesado tiene derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. En caso de conflicto, entre el derecho del interesado a que no se traten datos personales relativos a su situación particular y el interés legítimo del responsable, será el responsable el que deberá demostrar que su interés legítimo prevalece sobre los derechos de los usuarios. En este punto será de importancia capital seguir de cerca los pronunciamientos judiciales.
Cuando los datos personales sean tratados de forma automatizada para adoptar decisiones automatizadas que puedan afectar al usuario, el interesado tiene derecho como norma general a no ser objeto de decisiones individuales automatizadas. No obstante, no podrá oponerse cuando: i) la decisión es necesaria para la celebración de un contrato entre interesado y responsable de tratamiento: ii) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento; iii) está basada en el consentimiento explícito del interesado. El principal inconveniente que detectamos es que el marketing basado en el comportamiento del usuario se puede incluir dentro del concepto jurídico indeterminado de “interés legítimo”.
[i] Reglamento Europeo relativo a la protección de datos personales y a la libre circulación de estos UE 2016/679 de 27 de abril de 2016
Rocío de Rosselló Moreno
Abogado Responsable Departamento TIC
CR CONSULTORES LEGALES
Miembro ENATIC