El 25 de mayo de 2018 está a la vuelta de la esquina y es un día muy importante para la publicidad online. Es la fecha en que entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD) en toda la Unión Europea. Además, la Comisión quiere unir su implantación a la de un nuevo reglamento de privacidad electrónica (e-privacy), en proceso de aprobación.
El blog de Súmate Marketing Online va a ofrecer diversas entrevistas y artículos sobre esta materia. Comenzamos hoy entrevistando a la abogada Carmen Mateas, fundadora del reconocido bufete madrileño Mateas Abogados, especializado en derecho digital y tecnológico. Mateas ejerció responsabilidades directivas en el ámbito jurídico en operadores como Belgacom, Retevisión y Orange, y presidió el Comité Andaluz para la Sociedad del Conocimiento. En la última década, desde su despacho especializado ha asesorado en materia de compliance digital a clientes de varios países, y respecto al marco regulatorio europeo y los de Francia, Polonia o el Reino Unido.
A nivel general, ¿cuáles son las características de este nuevo reglamento europeo de protección de datos?
Si lo comparamos con la anterior normativa, el RGPD:
- Refuerza la armonización en la Unión Europea (UE) en materia de protección de datos, pues remplaza el mosaico a veces inconsistente de leyes nacionales que transponían la anterior Directiva con una única norma de aplicación directa en todos los Estados Miembros. En este sentido, aquellos responsables del tratamiento que operen en varias jurisdicciones dentro de la UE tendrán una mayor seguridad jurídica y, además, se beneficiarán de un mecanismo de ventanilla única en sus relaciones con las autoridades de protección de datos en el caso de tratamientos transfronterizos.
- Establece requisitos más estrictos para el consentimiento al tratamiento de datos personales y nuevas obligaciones, cuyo incumplimiento puede dar lugar a multas muy importantes. La norma se adapta así al contexto tecnológico de una creciente utilización y monetización de los datos personales, desde el objetivo de la protección de los derechos fundamentales de las personas físicas en relación con esos datos.
- Amplía su aplicación territorial a las empresas no establecidas en la UE cuando el tratamiento esté relacionado con la oferta de bienes o servicios o el seguimiento del comportamiento de individuos en la UE (con independencia de dónde se produzca el tratamiento).
En particular, ¿qué implicaciones va a tener para las empresas que principalmente venden a través de Internet?
Destacan las nuevas obligaciones de protección de datos “desde el diseño y por defecto”. Es decir, que desde el mismo momento en que se determinan los medios del tratamiento, el responsable debe adoptar medidas técnicas y organizativas para asegurar el cumplimiento del RGPD, y poder, además, demostrarlo. También debe garantizar técnicamente que sólo se traten los datos personales necesarios para el fin específico para el que se obtuvo el consentimiento.
Esto afectará entonces a la propias tiendas online…
Sí, el propio diseño de las tiendas de venta online deberá garantizar el cumplimiento del Reglamento. En el caso de existir un encargado del tratamiento, se elegirá al que ofrezca garantías suficientes de aplicar estas mismas medidas técnicas y organizativas de forma que el tratamiento sea conforme con el Reglamento.
¿Y todo esto pasa a ser obligatorio?
También se fomentan mecanismos de auto-regulación, bajo la forma de adhesión a códigos de conducta previamente aprobados por la autoridad de protección, y mecanismos de certificación para facilitar la prueba del cumplimiento con el RGPD.
¿Qué pasará con las campañas de publicidad en las redes sociales y en los buscadores?
Para que el tratamiento de los datos sea lícito, deberá basarse en el consentimiento del interesado o en otra razón legítima admitida por el RGPD. Ese consentimiento debe ser informado, expreso e inequívoco para cada una de las finalidades concretas para las que vayan a usarse esos datos. La información debe facilitarse de forma fácilmente visible, clara y sencilla. Se necesita una “clara acción afirmativa” del interesado para consentir el tratamiento, no constituyendo consentimiento las casillas premarcadas (las debe marcar el propio interesado de forma libre), el silencio o la inacción.
Y sin consentimiento expreso, ¿qué se puede hacer con esta nueva normativa?
Cuando no exista consentimiento expreso, el tratamiento de datos puede considerarse lícito si es necesario, por ejemplo, para ejecutar un contrato o “para la satisfacción de intereses legítimos” del responsable o de un tercero. No obstante, el uso de datos personales para una finalidad distinta de la original (por ejemplo, datos facilitados para ejecutar un contrato que después se usan para otra finalidad) sólo está admitida si la nueva finalidad es compatible con la inicial teniendo en cuenta determinados principios. Siempre se debe informar previamente al interesado de esta posibilidad.
En todo caso, el interesado debe poder oponerse, sin coste alguno y en cualquier momento, al tratamiento de sus datos (incluyendo a la elaboración de perfiles) con fines de mercadotecnia directa. Dicho derecho debe comunicársele explicita y claramente, al margen de cualquier otra información.
Y todo esto, sólo por el RGPD. Además viene el reglamento de e-privacy…
Sí, en efecto hay que tener en cuenta la propuesta de Reglamento de la Unión Europea sobre e-Privacy, que complementará al Reglamento General de Protección de Datos y cuya entrada en vigor se prevé conjunta en mayo. Este otro reglamento impondrá nuevas obligaciones a los prestadores de servicios de comunicaciones interpersonales sobre el uso de los metadatos para big data marketing.
En publicidad online es crucial atribuir correctamente la conversión, y se suele hacer mediante cookies. ¿Qué va a pasar?
En primer lugar, hay que tener en cuenta que las disposiciones en materia de cookies se aplican con independencia de que conlleven el procesamiento de datos personales, y afectan a cualquier servicio online, incluyendo aplicaciones, webs y buscadores. Esta cuestión se regula de forma más específica en la Directiva de la UE sobre e-Privacy que será sustituida por el reglamento de e-privacy antes mencionado, aún en trámites de aprobación.
¿Se diferenciará entre tipos de cookies?
Hay cookies más intrusivas para la privacidad que otras. Diferentes tipologías de cookies llevan asociado un distinto nivel de protección para el usuario. La propuesta del reglamento de e-privacy prevé expresamente que para ‘first party web-audience measuring cookies’ no se requiere el consentimiento del usuario. La normativa propuesta es, por tanto, más permisiva con este tipo de cookies (bajo la actual directiva actual, sí requieren de ese consentimiento).
Por otro lado, se mantiene la exención de consentimiento para las ‘shopping cart cookies’ (que guardan información sobre los productos añadidos al carrito de la compra en una tienda online) y sobre otras cookies necesarias para prestar un servicio expresamente requerido por el usuario.
¿Y para publicidad?
La propuesta de reglamento de e-privacy es restrictiva con las cookies de terceros para targeted advertising. No podrán utilizarse salvo por consentimiento expreso e informado del interesado mediante una clara acción afirmativa. Hay que entender que el racional de la normativa propuesta no es prohibir estas cookies, pero sí establecer un sistema restrictivo de opt-in.
Se establece que el software que permita recuperar y obtener información de internet (por ejemplo, los navegadores) debe ofrecer al usuario la posibilidad de bloquear el uso de cookies de terceros desde la configuración de privacidad, opción que deberá ser presentada de forma inteligible y fácilmente visible. La elección del usuario será vinculante frente a terceros. La información facilitada no debe desincentivar la selección de la opción de privacidad más restrictiva y debe incluir toda la información relevante sobre los riesgos asociados a estas cookies. Aunque es posible seguir utilizando cookie banners para obtener el consentimiento del usuario, se espera que muchas de las decisiones sobre cookies se hagan desde la configuración del navegador.
Como hemos visto, las distintas normas de la UE que inciden sobre esta materia son complejas, y eminentemente técnicas. Las agencias tenemos ante nosotros el reto de trazar para nuestros anunciantes estrategias adaptadas a la nueva normativa europea. Para ello es particularmente importante el asesoramiento de despachos jurídicos especializados. Muchas gracias a Carmen Mateas por contribuir a arrojar luz sobre esta cuestión.