Presentación de Miguel Geijo Castany de Rousaud Costas Duran para el taller de protección de datos y comunicación digital de adigital celebrado el pasado 5 de marzo de 2013.
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
Protección de datos y comunicación digital
1. Protección de datos y comunicación digital
Miguel Geijo Castany
Madrid, 5 de marzo 2013
2. Sumario
1) Marco normativo estatal básico.
2) Contenido Política de Privacidad: Información.
3) Contenido Política de Privacidad: Consentimiento.
4) Cumplimiento de la LOPD para la utilización de datos con “fines comerciales”.
5) Comunicaciones Comerciales por Vía Electrónica.
6) Marketing Viral.
7) Ficheros de exclusión (Listas Robinson).
8) Cookies.
1
3. 1. Marco Normativo Estatal Básico (i)
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(LOPD) y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento
de desarrollo de la LOPD (Reglamento).
• Derecho Fundamental
• Conceptos básicos: dato personal; tratamiento de datos; responsable del fichero y
encargado del Tratamiento; “acceso” vs “cesión” de datos.
• Principios: Información, Consentimiento, Calidad y Proporcionalidad.
• Derechos ARCO.
• Régimen sancionador.
Otras fuentes (no normativas)
a) Instrucciones de la Agencia Española de Protección de Datos (AEPD);
b) Resoluciones de expedientes sancionadores y de tutela de derechos de la AEPD;
c) Jurisprudencia revisora de la actuación de la AEPD;
d) Inspecciones Sectoriales de la AEPD;
e) Informes del Gabinete Jurídico de la AEPD;
f) Informes del denominado “Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE”
2
4. 1. Marco Normativo Estatal Básico (ii)
Normativa sectorial: por ejemplo, Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones (LGT) y su reglamento de desarrollo (Real Decreto 424/2005, de 15 de
abril (RSU)).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio
Electrónico (LSSI) y Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad
de la Información (entre otras).
• Objeto; servicios de la sociedad de la información, comercio electrónico.
• Prestadores de servicios de la SI y prestadores de servicios de intermediación:
• responsabilidad y,
• conocimiento efectivo.
• Deber de información general e información previa y posterior relativa a la
contratación.
Régimen distinto en función B2B o B2C.
Comunicaciones comerciales por vía electrónica: definición y régimen “OPT IN”.
Cookies: Consentimiento.
3
5. 2. Contenido Política de Privacidad. Información
1. Deber de informar a los titulares de los datos de su recogida y tratamiento, previamente a la
recogida de forma expresa precisa e inequívoca sobre:
a) La existencia de un fichero o tratamiento de datos de carácter personal.
b) La identidad y dirección del responsable del fichero.
c) La finalidad determinada, explícita y legítima del tratamiento.
d) Los cesionarios o categorías de cesionarios de los datos, delimitados, al menos, por el
tipo de actividad.
e) El carácter obligatorio o facultativo de la respuesta a las preguntas que sean
planteadas.
f) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
g) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Cuando se prevea que los datos sean utilizados de forma tal que los usuarios puedan ser
segmentados o categorizados con fines comerciales (profiling) debe informarse claramente de
esta circunstancia al usuario en el momento de recabar sus datos. Así mismo, debe concederse
la facultad de oponerse a esta modalidad de tratamiento.
Si se utilizan procedimientos automáticos invisibles de recogida de datos relativos a una
persona identificada o identificable (cookies, datos de navegación, información
proporcionada por los navegadores, contenidos activos...).
4
6. 2. Contenido Política de Privacidad. Información
Forma: medio que permita acreditar el cumplimiento de dicha obligación, siendo necesario su
conservación mientras persista el tratamiento de los datos de los afectados.
Es recomendable incluir la información claramente visible, pudiendo el usuario obtenerla con
facilidad y de forma directa y permanente (link permanente a la Política de Privacidad).
Asimismo, es recomendable que la información se presente como ineludible (y no optativa) en
el proceso de recogida de datos de los usuarios (casilla de aceptación de la Política de
Privacidad) en el momento del registro del usuario (previo o no a la contratación).
Importancia del principio de calidad y finalidad.
• Sólo podrán recogerse datos personales para el cumplimiento de finalidades
determinadas, explícitas y legítimas.
• No deben recabarse datos, cuyo conocimiento por parte del responsable no esté
justificado por la finalidad para la que se recaban y de la cual el usuario no haya
sido previamente informado.
• Sólo podrán tratarse los datos adecuados, pertinentes y no excesivos en relación
con las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
• Los datos tratados, no podrán usarse para finalidades incompatibles con aquellas
para las que hubieran sido recogidos.
5
7. 2. Contenido Política de Privacidad. Consentimiento
2. Deber de recabar el consentimiento para el tratamiento y/o cesión de sus datos.
• Excepciones:
⁻ Reserva legal
⁻ Existencia de un contrato o precontrato de una relación negocial, laboral y
administrativa y sea necesario para su mantenimiento o cumplimiento.
⁻ La comunicación de datos sea necesaria para el cumplimiento y control de una
relación jurídica aceptada por el afectado (conexión necesaria con ficheros de
terceros).
⁻ La comunicación tenga por destinatarios al Defensor del Pueblo, Ministerio Fiscal,
Jueces o Tribunales o el Tribunal de Cuentas.
El consentimiento debe ser libre, inequívoco e informado, y es revocable.
Si se solicita el consentimiento durante el proceso de formación de un contrato para
finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la
relación contractual (i.e. publicidad), debe permitirse al usuario que manifieste expresamente
su negativa al tratamiento o comunicación de datos (opt in).
Estructuras:
a) Política de privacidad+ leyendas específica de aceptación
b) Cláusulas específicas: “Registro de usuarios“; ”contacta con nosotros”; “sugerencias”;
“atención cliente”; “trabaja con nosotros”
6
8. 3. Cumplimiento de la LOPD: tratamiento de datos con fines
comerciales
Régimen general LOPD para tratamiento de datos con “fines comerciales”.
Requisitos:
a) Información, Consentimiento, y Calidad.
b) Datos recabados de fuentes accesibles al público (exclusivamente, el censo
promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos
de profesionales, los diarios y boletines oficiales y los medios de comunicación).
Incidencia de la reciente Sentencia del Tribunal Supremo (STS de 8 de febrero de 2012),
sobre el “interés legítimo”.
7
9. 4. Comunicaciones Comerciales por vía electrónica (LSSI)
Comunicación comercial: toda forma de comunicación dirigida a la promoción, directa o
indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que
realice una actividad comercial, industrial, artesanal o profesional.
Prohibición de enviar comunicaciones publicitarias o promocionales por correo electrónico, u
otro medio de comunicación electrónica equivalente (correo electrónico, sms, mms) no
solicitadas o expresamente autorizadas por el destinatario.
₋ Excepción: (i) existencia de una relación contractual previa, (ii) que los datos hayan
sido obtenidos de forma lícita (incluido el cumplimiento de los principios de la LOPD
mencionados anteriormente), y (iii) las comunicaciones comerciales se refieran a
productos o servicios del remitente similares a los que inicialmente fueron objeto de
contratación con el destinatario
Requisitos:
a) Identificar claramente la comunicación comercial como tal, así como a la persona física
o jurídica en nombre de la cual se realiza. Inclusión al comienzo del mensaje la palabra
“publicidad” o la abreviatura “publi”.
b) Ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines
promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de
recogida de los datos como en cada una de las comunicaciones comerciales que le
dirija.
c) Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho
medio deberá consistir necesariamente en la inclusión de una dirección electrónica
válida donde pueda ejercitarse este derecho, quedando prohibido el envío de
comunicaciones que no incluyan dicha dirección.
Régimen sancionador: leve (multa de hasta 30.000 euros) o grave (multa de 30.001 hasta
8
150.000 euros).
10. 5. Marketing Viral
“Pásalo”.
“Viral incentivado”
“Recomienda a un amigo”:
9
11. 6. Ficheros de exclusión (Listas Robinson)
Si un afectado ha manifestado su derecho a oponerse a la remisión de publicidad (off line – on
line) la compañía deberá abstenerse de utilizar los datos personales del mismo afectado para
dicha finalidad, debiendo adoptar medidas para impedir posteriores envíos publicitarios.
Además, la compañía informará de la existencia de los ficheros comunes (Listas Robinson
“internas”)
Sin perjuicio de lo anterior el Reglamento prevé la creación de ficheros comunes, de carácter
general o sectorial, para evitar el envío de comunicaciones comerciales a los interesados que
manifiesten su negativa u oposición a recibir publicidad (Listas Robinson “comunes”)
Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o
prospección comercial deberán previamente consultar los ficheros comunes que pudieran
afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados
que hubieran manifestado su oposición o negativa a ese tratamiento.
Status Quo actual y aplicación práctica.
Supuesto específico: Deduplicación
10
12. 7. Cookies
Marco jurídico:
• Directiva 2002/58/CE tratamiento datos personales y protección de la intimidad en el sector
de las comunicaciones electrónicas.
• Directiva 2009/136/CE, por la que se modifican la Directiva 2002/22/CE relativa al servicio
universal y los derechos de los usuarios en relación con las redes y los servicios de
comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y
el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los
consumidores.
• Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio
Electrónico (LSSI).
• Modificación del régimen relativo a las cookies, mediante el Real Decreto-ley 13/2012,
de 30 de marzo, por el que se transponen directivas en materia de mercados interiores
de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se
adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e
ingresos de los sectores eléctrico y gasista
• Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal
(LOPD).
• Otros: “Propuesta de Guía sobre las normas de uso de las Cookies” (Adigital; AutoControl;
Interactive Advertising Bureau (iab)) 11
13. 7. Cookies
Definición WP 17 año 1999:
Se entiende por cookie, una ficha de información informatizada que se envía desde un
servidor web al ordenador de un usuario, con objeto de identificar en el futuro ese ordenador
en sucesivas visitas al mismo sitio web. (Recomendación 1/99 sobre el tratamiento invisible y
automático de datos personales en Internet efectuado por Software y Hardware).
La cookie es un texto breve alfanumérico almacenado (y recuperado posteriormente), en el
terminal del usuario por el proveedor de la red.
De conformidad con la LSSI se puede entender por cookie:
Cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario,
con la finalidad de almacenar y recuperar datos que se encuentran en el equipo desde el que
el usuario accede el usuario al servicio.
12
14. 7. Cookies
Clasificación de las cookies:
1. Según la finalidad para la que se traten los datos obtenidos:
• Cookies técnicas: son aquéllas que permiten al usuario la navegación a través de una página
web, plataforma o aplicación, y la utilización de las diferentes opciones o servicios que en ella
existan como, por ejemplo, acceder a partes de acceso restringido.
• Cookies de análisis: son aquéllas que permiten al editor de una página web, plataforma o
aplicación, ser más eficaz e introducir en las mismas mejoras en función del análisis de los
datos de uso que hacen los usuarios.
• Cookies de medición: son aquellas que permiten contar las acciones que realizan los usuarios
cuando usan el servicio solicitado.
• Cookies de funcionalidad: son aquéllas que permiten al usuario la navegación con algunas
características predefinidas, en función de una serie de criterios como por ejemplo seria el
idioma.
• Cookies publicitarias: son aquéllas que permiten la gestión de los espacios publicitarios que, en
su caso, el editor haya incluido en una página web desde la que presta el servicio solicitado.
• Cookies de seguimiento: son aquellas que permiten tratar los datos almacenados, en los
equipos terminales de los usuarios, como consecuencia de la utilización por parte de los
mismos de diferentes servicios prestados por diferentes editores.
13
15. 7. Cookies
2. Según quien sea la entidad que gestione el equipo desde donde se envían las cookies:
• Cookies propias: son aquéllas que se envían al equipo terminal desde un equipo gestionado
por el propio editor que presta el servicio solicitado por el usuario.
• Cookies de tercero: son aquéllas que se envían al equipo terminal desde un equipo que no es
gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de cookies
con alguna de las finalidades expuestas en el apartado anterior.
3. Según el plazo de tiempo que permanecen activadas en el equipo terminal:
• Cookies de sesión: son un tipo de cookies que recaban datos únicamente durante el tiempo
que el usuario accede al servicio; de forma que caducan una vez que el servicio ha sido
prestado. Se suelen emplear para recordar los productos que el usuario ha incluido en su
pedido mientras navega por el resto de la página web, también por razones de seguridad en
el envío de datos cuando se accede a servicios financieros, servicios de correo electrónico,
servicios de álbumes de fotos, etc.
• Cookies permanentes: son un tipo de cookies que recaban datos más allá cookies se utilizan,
por ejemplo, para almacenar y recordar las preferencias de la navegación del usuario.
14
16. 7. Cookies
Artículo 22 LSSI, tras la transposición de la Directiva 2009/136/CE:
• Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación
de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan
dado su consentimiento después de que se les haya facilitado información clara y completa
sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a
lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
• Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el
tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del
navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración
durante su instalación o actualización mediante una acción expresa a tal efecto.
• Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de
efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o,
en la medida que resulte estrictamente necesario, para la prestación de un servicio de la
sociedad de la información expresamente solicitado por el destinatario.
El anteproyecto de la Ley General de Telecomunicaciones, elimina en relación al
consentimiento obtenido a través de los parámetros del navegador u otras aplicaciones, la
necesidad de que el destinatario deba proceder a su configuración durante su instalación o
actualización mediante una acción expresa a tal efecto.
15
17. 7. Cookies
Para que el consentimiento sea válido, debe ser informado. En este sentido, el artículo 5 de la
LOPD, requiere que la información contenga :
• La identidad y dirección entidad o entidades responsables del tratamiento de las cookies
o de su representante.
• La existencia de un fichero o tratamiento de datos.
• La finalidad del tratamiento de datos.
• Los destinatarios de la información o beneficiarios del tratamiento.
• El carácter obligatorio o no de permitir el tratamiento.
• Las consecuencias de permitir o no el tratamiento.
• La posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición
en tanto en cuanto se pueda tratar de datos de carácter personal.
La información sobre las cookies facilitada a los usuarios debe ser suficientemente completa
para permitir a los usuarios entender claramente las consecuencias potenciales de dar su
consentimiento para permitir la instalación de las cookies.
Dictamen 15/2011 del Grupo de Trabajo del artículo 29 señala que para garantizar una
información adecuada de cara a la obtención del consentimiento, se requieren dos requisitos:
a. Calidad de la información: forma en que se presenta la información.
b. Accesibilidad y visibilidad de la información: la información debe comunicarse de
forma directa .
16
18. 7. Cookies
Dictamen 2/2010 del Grupo 29 sobre publicidad comportamental en línea; Dictamen 4/2012 del Grupo
29; Guidance on the rules of cookies and similar technologies del Information Comissioner Office.
El consentimiento expreso es el que más seguridad jurídica tiene si bien, parece que es
admisible el consentimiento tácito. Este último, en la medida en que dicho consentimiento sea
libre, específico e informado. Ello comporta que:
a. El usuario haya realizado algún tipo de acción de la cual pueda inferirse dicho
consentimiento (ej. continua navegando en la web tras haber sido informado).
b. El usuario haya sido informado con claridad y precisión qué concretas acciones suyas
serán interpretadas en el sentido de que acepta la instalación y utilización de las
cookies.
c. Se dé la oportunidad al usuario de negarse a aceptar las cookies, incluso en el
supuesto en el que su negativa suponga que la funcionalidad de la web quede
limitada o no sea posible.
17
19. 7. Cookies
Obtención del consentimiento:
• A través de la configuración del navegador.
• A través de la utilización de un pop up de una barra en el encabezamiento o pie de
página.
• A través de la aceptación de los T&C, la Política de Privacidad, en la medida en que
pueda demostrarse que dicha acción expresa.
• Durante el proceso de especificación o elección de alguna característica de
funcionamiento de la página web (settings-led consent).
• Antes del momento en que se vaya a descargar un concreto servicio o aplicación de la
página web (feature-led consent) y, finalmente.
• A través del formato denominado “por capas”.
18
20. 7. Cookies
Sistema de información por capas :
• Opinión favorable del Grupo de Trabajo del artículo 29 en su Dictamen 10/2004.
La primera capa de información podría mostrarse en la cabecera o pie de página, mediante un
letrero o ventana emergente y que ésta dirigiera a una información más completa. La primera
capa de información debería contener la siguiente información:
a. Qué son las cookies.
b. Función y finalidad de las mismas.
c. Petición del consentimiento para instalarlas en el terminal, advirtiendo que si sigue
navegando se considerará que consiente.
d. Link a una segunda capa de información más detallada.
La segunda capa, incluiría más información y la opción de desactivar las cookies,
distinguiendo las modalidades de las mismas.
a. Tipos de cookies que se utilizan (breve descripción).
b. Opción de deshabilitar las cookies.
c. Opcional: Link a una tercera página con información más detallada.
La tercera capa, optativa, en la que se describen todas las cookies que se utilizan,
dependiendo de su finalidad, y a la que se accede mediante un link situado en cada una de las
descripciones, indicando que se obtendrá más información.
19
24. 7. Cookies
Excepciones al deber de obtener el consentimiento:
El tipo de cookies o las finalidades para las cuales se pueden tratar los datos sin necesidad de
obtener el consentimiento (Dictamen 4/2012 del Grupo de Trabajo del Articulo 29), son
aquellas que permiten:
• Controlar el tráfico y la comunicación correcta de datos.
• El correcto funcionamiento del servicio solicitado por el usuario.
• La identificación de sesión.
• La autenticación de usuario.
• La realización de un pedido.
• La adopción de medidas de seguridad.
• La utilización de elementos multimedia.
• El redireccionamiento del tráfico.
• La personalización del servicio.
• Las cookies de medición.
Por el contrario las cookies para las que es necesario obtener el consentimiento serían aquellas
que se utilizan para:
• La utilización de plugins de redes sociales.
• La publicidad.
• La realización de analítica web.
23
25. 7. Cookies
Responsabilidad en la utilización de cookies:
El artículo 22 de la LSSI no define quién es el responsable de cumplir con la obligación de
obtener el consentimiento informado.
En aquellos casos en que un prestador de servicios ofrezca a los usuarios un servicio en línea
y todas las cookies de su página web se utilicen para la prestación de dicho servicio, se
entenderá que ese prestador de servicios será responsable del cumplimiento del citado
precepto.
Por otra parte, cuando se instalan cookies de terceros, ambas partes tendrán la
responsabilidad de garantizar que los usuarios están claramente informados acerca de las
cookies y de obtener su preceptivo consentimiento.
En estos casos, se recomienda a las terceras partes que instalen cookies de terceros incluir en
sus contratos con los editores una cláusula en la que se aseguren de que se ofrecerá a los
usuarios la información requerida y se obtendrá un consentimiento válido para su utilización.
24
26. GRACIAS POR SU ATENCIÓN.
Miguel Geijo Castany
MGeijo@rcdslp.com
Barcelona Madrid
Escoles Pies 102 (P.º Bonanova), Zurbarán 20, 3º
08017 Barcelona 28010 Madrid
www.rcd-bcn.com