Presentación de Rousaud Costas Durán para el ciclo de Legal Tracks 2012 de adigital

1. Comunicación digital y política de
privacidad
Miguel Geijo Castany
Madrid, 28 de febrero 2012

2. Sumario
1) Marco normativo estatal básico.
1) LOPD
1) Política de Privacidad
2) LSSI
1) Aviso Legal
2) Condiciones Generales de Contratación
2) Contenido Política de Privacidad. Información.
2) Contenido Política de Privacidad. Consentimiento.
3) Cumplimiento de la LOPD para la utilización de datos con fines comerciales
4) Comunicaciones Comerciales por vía electrónica.
5) Ficheros de exclusión.
6) Marketing Viral.
1

3. 1. Marco Normativo Estatal Básico (i)
 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(LOPD) y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la LOPD.
• Derecho fundamental
• Concepto de datos personales, Responsable del fichero y Encargado del Tratamiento
• “Cesión” vs “Acceso” a datos. Transferencias internacionales de datos
• Principios: Información, Consentimiento, Calidad, y Proporcionalidad
• Derechos ARCO
• Régimen sancionador
 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio
Electrónico (LSSI) y Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad
de la Información.
• Objeto; servicios de la sociedad de la información, comercio electrónico….
• Prestadores de servicios de la SI y prestadores de servicios de intermediación:
responsabilidad y “conocimiento efectivo”
• Deber de información general (identificación plena, RM, CIF, autoridad
administrativa…) e información previa y posterior relativa a la contratación (“pantallas
2
de formato reducido”

4. 1. Marco Normativo Estatal Básico (ii)
 Régimen distinto en función B2B o B2C (CGC, TRLGDCU…)
 Comunicaciones comerciales por vía electrónica: definición y régimen “OPT IN”
 Cookies: ¿consentimiento? Pendiente la transposición del Artículo 5.3 de la Directiva
2009/136/EC.
 Otras fuentes (no normativas)
a) Instrucciones de la Agencia Española de Protección de Datos (AEPD);
b) Resoluciones de expedientes sancionadores y de tutela de derechos de la AEPD;
c) Jurisprudencia revisora de la actuación de la AEPD;
d) Inspecciones Sectoriales de la AEPD;
e) Informes del Gabinete Jurídico de la AEPD;
f) Informes del denominado “Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE .
 Normativa sectorial: por ejemplo,
a) Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT).
b) Reglamento de desarrollo (Real Decreto 424/2005, de 15 de abril (RSU)).
• Utilización con fines comerciales de datos de tráfico (CI) y localización (CE)
• Régimen sobre guías de servicios de abonados y consulta telefónica
3

5. 2. Contenido Política de Privacidad. Información
1. Deber de informar a los titulares de los datos de su recogida y tratamiento previamente a la
recogida de forma expresa precisa e inequívoca sobre:
a) La existencia de un fichero o tratamiento de datos de carácter personal.
b) La identidad y dirección del responsable del fichero.
c) La finalidad determinada, explícita y legítima del tratamiento.
d) Los cesionarios o categorías de cesionarios de los datos, delimitados, al menos, por el
tipo de actividad.
e) El carácter obligatorio o facultativo de la respuesta a las preguntas que sean
planteadas.
f) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
g) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 Cuando se prevea que los datos sean utilizados de forma tal que los usuarios puedan ser
segmentados o categorizados con fines comerciales (profiling) debe informarse claramente de
esta circunstancia al usuario en el momento de recabar sus datos. Así mismo, debe concederse
la facultad de oponerse a esta modalidad de tratamiento.
 Si se utilizan procedimientos automáticos invisibles de recogida de datos relativos a una
persona identificada o identificable (cookies, datos de navegación, información
proporcionada por los navegadores, contenidos activos,...) debe informarse claramente de
esta circunstancia al usuario, antes de comenzar la recogida de datos a través de ellos o de
desencadenar la conexión del ordenador del usuario con otro sitio web.
4

6. 2. Contenido Política de Privacidad. Información
 Forma: medio que permita acreditar el cumplimiento de dicha obligación, siendo necesario su
conservación mientras persista el tratamiento de los datos de los afectados.
 Es recomendable incluir la información claramente visible, pudiendo el usuario obtenerla con
facilidad y de forma directa y permanente (link permanente a la Política de Privacidad).
 Asimismo, es recomendable que la información se presente como ineludible (y no optativa) en
el proceso de recogida de datos de los usuarios (casilla de aceptación de la Política de
Privacidad).
 Importancia del principio de finalidad.
• Sólo podrán recogerse datos personales para el cumplimiento de finalidades
determinadas, explícitas y legítimas.
• No deben recabarse datos cuyo conocimiento por parte del responsable no esté
justificado por la finalidad para la que se recaban y de la cual el usuario no haya
sido previamente informado.
• Sólo podrán tratarse los datos adecuados, pertinentes y no excesivos en relación
con las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
• Los datos tratados no podrán usarse para finalidades incompatibles con aquellas
para las que hubieran sido recogidos.
5

7. 2. Contenido Política de Privacidad. Consentimiento
2. Deber de recabar el consentimiento para el tratamiento y/o cesión de sus datos.
• Excepciones:
⁻ Reserva legal: el tratamiento o la cesión estén amparados por una norma con rango de
Ley o por una norma de derecho comunitario de aplicación directa.
⁻ El tratamiento se refiera a las partes de un contrato o precontrato de una relación
negocial, laboral y administrativa y sea necesario para su mantenimiento o
cumplimiento.
⁻ La comunicación de datos sea necesaria para el cumplimiento y control de una relación
jurídica aceptada por el afectado (conexión necesaria con ficheros de terceros).
⁻ La comunicación tenga por destinatarios al Defensor del Pueblo, Ministerio Fiscal,
Jueces o Tribunales o el Tribunal de Cuentas.
 El consentimiento debe ser libre, inequívoco e informado, y es revocable.
 Si se solicita el consentimiento durante el proceso de formación de un contrato para
finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la
relación contractual (i.e. publicidad), debe permitirse al usuario que manifieste expresamente
su negativa al tratamiento o comunicación de datos (opt in).
 Estructuras:
a) Política de privacidad+ leyendas específica de aceptación
b) Cláusulas específicas: “Registro de usuarios“; ”contacta con nosotros”; “sugerencias”;
“atención cliente”; “trabaja con nosotros”
6

8. 3. Cumplimiento de la LOPD: tratamiento de datos con fines
comerciales
Régimen general LOPD para tratamiento de datos con fines comerciales.
 Requisitos:
a) Información, Consentimiento, y Calidad.
b) Datos recabados de fuentes accesibles al público (exclusivamente, el censo
promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos
de profesionales, los diarios y boletines oficiales y los medios de comunicación).
• Consentimiento de los abonados para ser incluidos en las guías
• Derecho de los abonados a que los datos publicados no sean utilizados con fines
comerciales.
a) Habilitar procedimientos sencillos para facilitar al interesado el ejercicio gratuito de su
derecho de oposición a la recepción de este tipo de llamadas o al tratamiento en
general de sus datos con fines publicitarios y de prospección comercial.
 La reciente Sentencia del Tribunal Supremo, sobre el “interés legítimo” y la posibilidad de
“comercializar” bases de datos no provenientes de fuentes accesibles al público.
7

9. 4. Comunicaciones Comerciales por vía electrónica (LSSI)
Comunicación comercial: toda forma de comunicación dirigida a la promoción, directa o
indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que
realice una actividad comercial, industrial, artesanal o profesional.
 Prohibición de enviar comunicaciones publicitarias o promocionales por correo electrónico u
otro medio de comunicación electrónica equivalente (correo electrónico, sms, mms) no
solicitadas o expresamente autorizadas por el destinatario.
₋ Excepción: (i) existencia de una relación contractual previa, (ii) que los datos hayan
sido obtenidos de forma lícita, y (iii) las comunicaciones comerciales se refieran a
productos o servicios del remitente similares a los que inicialmente fueron objeto de
contratación con el destinatario.
 Requisitos:
a) Identificar claramente la comunicación comercial como tal, así como a la persona física
o jurídica en nombre de la cual se realiza. Inclusión al comienzo del mensaje la palabra
publicidad o la abreviatura publi.
b) Ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines
promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de
recogida de los datos como en cada una de las comunicaciones comerciales que le
dirija.
c) Habilitar dichos procedimientos sencillos y gratuitos para revocar el consentimiento
prestado y facilitar, por medios electrónicos, información sobre dichos procedimientos.
 Régimen sancionador: leve o grave. Multa aparejada
8

10. 5. Marketing Viral
 “Pásalo”: Las comunicaciones remitidas por la empresa son comunicaciones comerciales
(LOPD+LSSI), los reenvíos de los usuarios podrían considerarse como excepción doméstica.
 “Viral incentivado”: recompensas por facilitar direcciones de correos electrónicos de terceros.
₋ Necesidad de consentimiento inequívoco de los receptores
 “Recomienda a un amigo”:
₋ La AEPD ha sancionado en diversas ocasiones esta actividad, sobre la base de que
existe un tratamiento de datos por la compañía que pone a disposición del “remitente”
un sistema para su envío a los “receptores”, al considerar que concurre un tratamiento
de datos de carácter personal no consentido por estos últimos.
₋ Consentimiento inequívoco, o
₋ Exclusión del concepto de comunicación comercial: no tienen consideración de
comunicación comercial los datos que permitan acceder directamente a la actividad de
una persona, empresa u organización, tales como el nombre de dominio o la dirección
de correo electrónico, entre otros
9

11. 6. Ficheros de exclusión (Listas Robinson)
 El Reglamento prevé la creación de ficheros comunes, de carácter general o sectorial, para
evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u
oposición a recibir publicidad.
 Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o
prospección comercial deberán previamente consultar los ficheros comunes que pudieran
afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados
que hubieran manifestado su oposición o negativa a ese tratamiento.
 Status Quo actual y aplicación práctica.
10

12. GRACIAS POR SU ATENCIÓN.
Miguel Geijo Castany
MGeijo@rcdslp.com
Barcelona Madrid
Escoles Pies 102 (P.º Bonanova), Zurbarán 20, 3º
08017 Barcelona 28010 Madrid
www.rcd-bcn.com