Libro el presente legal del Marketing Digital (Edición sin corregir).

Informes de Management DigitalEl Presente legal del Marketing Digital
EL PRESENTE LEGAL DEL
MARKETING DIGITAL
MATEO RODRIGO GUERRERO ESTEBANEZ
Pag 1

Pag 2
BA&SConsulting
CRM Desarrollo Y Fidelización
INFORMES DE MANAGEMENT DIGITAL

EL PRESENTE LEGAL
DEL MARKETING
DIGITAL
BA&SConsulting 2020
Pag 3

Dedicado a mis padres y hermana
por su apoyo a mi actividad editorial, docente y empresarial.
© Mateo Rodrigo Guerrero Estébanez
Es un libro de
la serie Informes de Management Digital
publicado por CRM Desarrollo Y Fidelización
Paseo de la Castellana 95, Torre Europa. Planta 15
Madrid
—
Toda forma de reproducción, distribución, comunicación pública
o transformación de esta obra solo puede ser realizada con la autorización
de sus titulares, salvo la excepción prevista por la ley. Diríjase al editor
si necesita fotocopiar o digitalizar algún fragmento de esta obra.
Pag 4

El Presente legal del Marketing Digital Informes de Management Digital
Indice
Indice .................................................................................................................. 5
Introducción ....................................................................................................... 7
Ley Orgánica 3/2018 ......................................................................................... 17
Ley 4/2020 "Tasa Google" ................................................................................ 41
Ley 2/2019 ........................................................................................................ 43
Reglamento UE 2019/1150 ............................................................................... 45
Jurisprudencia .................................................................................................... 47
Código de Conducta .......................................................................................... 55
Bibliografía ........................................................................................................ 57
BA&SConsulting 2020
© Mateo Rodrigo Guerrero Estébanez
—
Esta obra ha sido realizada para determinar la viabilidad de un
proceso de reactivación de la actividad mercantil de CRM Desarrollo Y Fidelización
y forma parte del catálogo editorial de su CEO, Mateo Rodrigo Guerrero Estébanez.
Pag 5

“Las redes sociales son la adaptación evolutiva de los sistemas de CRM al entorno
digital, habiéndose dotado para ello, de identidad jurídica, carácter mercantil y
estructura empresarial”.
( ... Y mira que lo veníamos diciendo!)
Matt Guerrero Estébanez.
“El mayor error de las empresas al hacer su primer tweet es pensar que Twitter se
trata de un canal para canalizar información”
Tom O’Reilly y Sarah Milstein.
“Necesitas el tipo de objetividad que hace que te olvides de todo lo que has oído
antes para hacer un estudio del mismo modo que lo haría un científico”
Steve Wozniak.
“El objetivo del marketing estratégico, es el análisis continuo y sistemático de las
necesidades del mercado”.
JEAN JACQUES LAMBIN.
Pag 6

Introducción
Todo comienza para mi (Matt) hace más de 15 años, cuando, trabajando en Through The Line (TTL) como
responsable del área de consultoría de marketing, fui convocado por AGEMDI, actual DIG de ADIGITAL,
a las sesiones de la “Comisión Interactiva” para tratar de analizar, junto a otros expertos del sector de las
agencias de marketing directo e interactivo, el impacto de la antigua directiva europea de protección de
datos, sobre el sector, y tratar de definir cuál sería la posición de la asociación, ante el proyecto de ley
orgánica que preparaba el gobierno.
La dirección de AGEMDI (DIG) estaba a cargo de José Manuel Mas, y la comisión interactiva, era dirigida
por un joven Antonio Traugott.
En aquella época, yo trataba de cerrar los flecos de mi primer acuerdo de distribución y venta, en modelo de
partnership, del catálogo de aplicaciones especializadas de la editora europea de software GeoConcept, y de
crear la cartera de clientes del departamento de consultoría de marketing de la agencia (Through the line),
algo al pairo, tras la salida del equipo de Javier Suso, la verdadera apuesta de la dirección, en su proceso de
start up, tras nuestra salida conjunta de Draftworldwide (IPG).
En la actualidad, son tres los acuerdos de partnership que he firmado con la editora, en diferentes agencias y
consultoras internacionales, con los que se ha podido ofrecer servicio de asesoría y consultoría en estrategia
de marketing y geomarketing a clientes como ING, Carrefour, PwC, L´Oreal, Advent Capital, Corpfin
Capital, 3i o ComunicarT entre otros. Y tres también los libros que he escrito, a fecha de hoy.
La que en aquella época era la ley que definiría la forma y manera en la que los distintos agentes
operáramos en el sector, y que generó en el seno de la CEOE equipos de investigación como el de
AGEMDI, la LOPDCP, es hoy una legislación derogada y superada. Sin embargo la realidad es que ha
definido el modo de interactuar mercantilmente, on line, durante dos décadas.
Actualmente, el trabajo de creación de contenidos digitales para BA&SConsulting, y para IMR, como
proyectos ligados a mi propio catálogo personal de interacción con el medio on line, que fundamentalmente
operan en LinkedIn y Facebook, pero que tienen su extensión en modelo de comunidad virtual, con piezas
de muy distinta calidad en SoundCloud, Blogger, Twitter, Tuenti, Foursquare o Google entre otras redes
sociales, me obligan a una revisión técnica de la nueva LOPDPGDD.
Pag 7

Mateo Rodrigo Guerrero Estébanez
Téngase presente, hecho el paralelismo temporal, que BA&SConsulting es un modelo de portal web
indexador de insight de consultoría, y que sin llegar a integrar un verdadero motor de indexación artificial,
gran parte del trabajo de selección de los informes, y de creación de los artículos de presentación de los
mismo, se realiza con recurso humano especializado. De hecho, la asistencia a los eventos de presentación,
con que los principales operadores y agentes promocionan sus estudios y publicaciones, lo realizaba yo
personalmente.
Por ello, además de la información profesional para medios que se suele entregar en forma de dossier de
prensa, y del propio insight en si, de gran cantidad de estudios, poseo información de valor añadido sobre la
percepción de estos, de sus propios creadores.
Ello me ha permitido realizar un ingente trabajo bibliográfico en mis tres obras anteriores de la serie
"Informes de Management Digital", y utilizar todas ellas, en este libro, aportando un valor añadido en
forma de criterio y conocimiento, de muy alta calidad.
Además, personalmente, me formé según he explicado en ICEMD mientras fui miembro de AGEMDI, en
por lo menos un curso superior al año, y algunos años complementé con un Summer Curse, como el de la
Florida Atlantic University en CRM.
Por ello, cuando en 2009 afronté mi proceso de formación Master en marketing digital, en ESIC (Master
MICEMD), tenía una base teórica previa, de interacción con el know how de ICEMD (ESIC) bastante alta,
y amplia experiencia profesional en data management.
Y sin embargo, los contenidos relativos a la protección de datos de carácter personal, impartidos por Rafael
García del Poyo, que resultaron bastante adecuados e interesantes, y que como en cada ocasión que tengo
que afrontar este tipo de contenidos, además resultaron sensiblemente amenazadores a mi propia actividad
laboral y mercantil, lo cierto es que en la actualidad son contenidos desactualizados, lo cual es también
motivo para una revisión técnica a la nueva ley orgánica (LOPDPGDD).
Dicho lo cual, y sabiendo que todo acercamiento teórico a una ley, implica un cierto sentimiento de
amenaza implícita, pues las consecuencias en forma de multa u otra pena, asociadas a su transgresión, son
siempre percibidas por aquellos que si respetamos el imperio de la justicia, como una puerta hacia el
infierno civil, trataré de exponer la nueva realidad de negocio, operativa a efectos legales, desde parámetros
no ofensivos. Con este espíritu docente, divulgativo, científico, y en modo alguno amenazador, quisiera
comenzar por exponer que la protección de los datos de tipo personal, se desarrolla en forma de ley
orgánica, por ser un derecho reconocido en la propia Constitución Española de 1978 y además desarrollo y
transposición de directivas europeas en dicha materia.
El Presente legal del Marketing Digital
Pag 8

Informes de Management Digital
Garantizar la convivencia democrática dentro de la Constitución y de las leyes conforme a un orden
económico y social justo.
Consolidar un Estado de Derecho que asegure el imperio de la ley como expresión de la voluntad
popular.
Proteger a todos los españoles y pueblos de España en el ejercicio de los derechos humanos, sus
culturas y tradiciones, lenguas e instituciones.
Promover el progreso de la cultura y de la economía para asegurar a todos una digna calidad de vida.
Establecer una sociedad democrática avanzada, y colaborar en el fortalecimiento de unas relaciones
pacíficas y de eficaz cooperación entre todos los pueblos de la Tierra.
Toda persona tiene derecho a la protección de datos de carácter personal que le concierne.
Estos datos se tratan de modo leal, para fines concretos y sobre la base del consentimiento de la persona
afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a
acceder a los datos recogidos que le conciernan y a su rectificación.
El respeto de estas normas quedará sujeto al control de una autoridad independiente.
La Constitución Española, determina en su preámbulo, que la Nación española, deseando establecer la
justicia, la libertad y la seguridad y promover el bien de cuantos la integran, en uso de su soberanía,
proclama su voluntad de:
Además establece el texto constitucional, en su artículo 10, que la dignidad de la persona, los derechos
inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos
de los demás, son fundamento del orden político y de la paz social.
Las normas relativas a los derechos fundamentales y a las libertades que la Constitución reconoce, se
interpretarán de conformidad con la Declaración Universal de Derechos Humanos, y los tratados y acuerdos
internacionales sobre las mismas materias, ratificados por España.
En este sentido, se expresa la Declaración Universal de los Derechos Humanos, estableciendo en su artículo
12, “que nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su reputación”.
Por otra parte, los tratados de la Unión Europea establecen que La Unión reconoce los derechos, libertades
y principios enunciados en la Carta de los Derechos Fundamentales de la Unión Europea de 7 de diciembre
de 2000, tal como fue adaptada el 12 de diciembre de 2007 en Estrasburgo, la cual tendrá el mismo valor
jurídico que los Tratados, y esta, a su vez, establece en su artículo 8, sobre la protección de datos de
carácter personal que:
Pag 9

A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o
cualquier otro medio de reproducción.
A la producción y creación literaria, artística, científica y técnica.
A la libertad de cátedra.
A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el
derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.
La autoridad independiente a la que se encarga el cumplimiento del respeto de estas normas en España, se
llama "Agencia Española de Protección de Datos", tanto en la actual como en la derogada ley orgánica,
función que realiza de forma eficiente y eficaz, desde hace más de dos décadas.
Este proceso de análisis, de la justificación jurídica, en el que a principios de milenio me vi inmerso, al
colaborar con la Asociación de Agencias de Marketing Directo e Interactivo (AGEMDI), me convenció a
nivel personal, de la necesidad cierta de una ley orgánica que desarrollase todos estos preceptos, y los
adaptara al marco legal nacional.
El actual proceso de análisis que afronto con la publicación de este libro, el cuarto de mi carrera como
escritor, empresario, y agente de marketing, libre, es fruto también, de mi propia creencia en que el
adecuado conocimiento de las regulaciones en materia de protección de datos, es fundamental para el
desarrollo de una cerrera profesional, en el ámbito de la asesoría de negocio digital, y de producción de
marketing, con garantías de éxito.
En este sentido, exponer que siendo el desarrollo de la protección de datos, el de un derecho reconocido
entre los de máximo nivel de protección jurídica, y su desarrollo, obligatoriamente, por la vía de la ley
orgánica, el texto de la antigua ley, generó al publicarse ciertas controversias, con los derechos relativos a la
libertad de publicación y cátedra.
El artículo 18 de La Constitución establece también que, se garantiza el secreto de las comunicaciones y, en
especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
Además determina que la ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos, y el pleno ejercicio de sus derechos.
El artículo 20 de La Constitución, reconoce y protege los derechos:
La Constitución Española, a su vez, en el artículo 48, estipula que los poderes públicos promoverán y
tutelarán el acceso a la cultura, a la que todos tienen derecho. Y que los poderes públicos promoverán la
ciencia y la investigación científica y técnica en beneficio del interés general.
El Presente legal del Marketing Digital Mateo Rodrigo Guerrero Estébanez
Pag 10

Consecuencia de todo este articulado de nivel superior, fue la antigua Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPDCP), que definía en relación con la calidad
de los datos, que estos, sólo se podían recoger para su tratamiento, así como someterlos a tratamiento,
cuando fueran adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hubieran obtenido.
Además determinaba, que los datos de carácter personal objeto de tratamiento, no podían usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se consideraba
incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
También consecuencia del articulado de La Constitución Española, del articulado de los tratados de La
Unión Europea, y sobre todo de la actual situación evolutiva del mercado digital, que como se expuso en
mis tres libros precedentes, ha incluso mutado a nivel macroeconómico estructural, es, la más reciente
promulgación y aprobación, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (LOPDPGDD).
Recordemos además que el Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos
encontramos ante un derecho fundamental a la protección de datos, por el que se garantiza a la persona el
control sobre sus datos (cualesquiera datos personales), y sobre su uso y destino, para evitar el tráfico ilícito
de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la
protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos
personales sean usados para fines distintos de aquel que justificó su obtención.
Por su parte, la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e
independiente, que consiste en un poder de disposición y de control sobre los datos personales que faculta a
la persona para decidir, cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o
cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos
personales y para qué, pudiendo oponerse a esa posesión o uso.
A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de las personas
físicas, en relación con el tratamiento de datos personales, tuvo lugar en sus orígenes mediante la
aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos
personales, conocida como LORTAD.
Según lo anteriormente expuesto, la LORTAD fue la ley que quedaba derogada cuando en AGEMDI
estuvimos estudiando el proceso de transposición a ley orgánica de la directiva europea en materia de
protección de datos, y que fue fuente de ingente polémica en el sector del marketing directo e interactivo.
Pag 11

Pese a tanta polémica y no poca presión sectorial, La Ley Orgánica 5/1992 fue reemplazada por la Ley
Orgánica 15/1999, de protección de datos personales, a fin de trasponer a nuestro derecho, la Directiva
95/46/ CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas, en lo que respecta al tratamiento de datos personales, y a la libre circulación de estos datos,
el 5 de diciembre de 1999. Esta ley orgánica supuso un segundo hito en la evolución de la regulación del
derecho fundamental a la protección de datos en España, y se complementó con una cada vez más
abundante, jurisprudencia procedente de los órganos de la jurisdicción contencioso-administrativa.
Anteriormente, a nivel europeo, se había adoptado la Directiva 95/46/CE, cuyo objeto era procurar que la
garantía del derecho a la protección de datos personales no supusiese un obstáculo a la libre circulación de
los datos en el seno de la Unión, estableciendo así un espacio común de garantía del derecho que, al propio
tiempo, asegurase que en caso de transferencia internacional de los datos, su tratamiento en destino fuera
adecuado.
Ya en aquella época en la agencia de marketing de la que era responsable del departamento de consultoría
(TTL) y consultor de marketing, trabajábamos a nivel internacional con varias cuentas con orientación big
data a CRM, así por ejemplo LV, desde los primeros meses de trabajo estipuló que toda la gestión de su
estrategia de fidelización y captación habría de solidificarse en un sistema CRM nacional, que además
habría de integrarse en el propio CRM mundial del grupo. Por ello, no nos resultó chocante que al
integrarnos en Adigital se nos requiriese para entrar en el grupo de estudio del proceso de transposición de
la directiva europea, y derogación de la LORTAD, y lo más importante, siendo yo un jovencísimo ejecutivo
en pleno proceso de formación en ESIC y CEU, y con nuevas responsabilidades en materia de gestión CRM
internacional, personalmente, me pareció una magnifica oportunidad de formación business en derecho
digital. He de decir, que quizá hubiera deseado algo menos de confrontación con un proceso de desarrollo
legal, y una institución jurídica, la Agencia Española de Protección de Datos, que sinceramente ha quedado
demostrado, árbitro necesario en la dinámica mercantil del sector, y que hoy en día protege más a
profesionales cualificados, como agencias y consultoras, que lo contrario, ya que diseña una línea clara y
nítida entre aquellos que somos profesionales del marketing, operando en un nuevo canal, y aquellos otros
que son delincuentes comunes, en delito flagrante.
Y lo que es más importante, es fruto de gran cantidad de inercia laboral, al dotar a despachos como GA&P,
Landwell, Bird&Bird u Osborne Clarke, de una línea de negocio de creciente importancia en sus balances y
cuentas de resultados, hecho este que ya se adelantó en su día, en una de las reuniones de la comisión
interactiva de AGEMDI, en las oficinas de Cuatrecasas, junto a ESADE en Madrid.
Pag 12

En los últimos años de la pasada década, se intensificaron los impulsos tendentes a lograr una regulación
más uniforme, del derecho fundamental a la protección de datos, en el marco de una sociedad cada vez más
globalizada. Así, se fueron adoptando en distintas instancias internacionales, propuestas para la reforma del
marco vigente, coincidiendo por ejemplo, con el momento de presentación ante la Agencia Española de
Protección de Datos, y siendo yo Consejero Delegado de CRM Desarrollo, del informe sobre el fichero de
datos de la Editora de Software Internacional GeoConcept (Iberica), a la que como consultores ofrecíamos
consultoría especializada, y que al abrir una oficina radica en España, para su propia actividad comercial
necesitó generar una base de datos de contactos, y legalizarla ante la AEPD.
Esta fue una de las líneas de trabajo que desde CRM Desarrollo realizamos en aquella época, ya algo más
presente, para empresas internacionales como la previamente citada GeoConcept Iberica, y que son
desarrollo lógico de mi propio proceso de formación como consultor y experto en CRM, tras años de
trabajo y formación, según estoy exponiendo, para cuentas internacionales, despachos y consultoras.
En este marco histórico y legal, la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titulada
«Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el
germen de la posterior reforma del marco de la Unión Europea.
Al propio tiempo, el Tribunal de Justicia de la Unión ha venido adoptando a lo largo de los últimos años
una jurisprudencia que resulta fundamental en su interpretación.
El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales, y a la libre circulación de estos datos, y por el que se deroga
la Directiva 95/46/CE (Reglamento general de protección de datos), así como con la adopción de la
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la
protección de las personas físicas, en lo que respecta al tratamiento de datos personales, por parte de las
autoridades competentes para fines de prevención, investigación,...
El Reglamento general de protección de datos pretende, con su eficacia directa, superar los obstáculos que
impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de
24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales, y a la libre circulación de esos datos.
La transposición de la directiva por los Estados miembros se ha plasmado en un mosaico normativo con
perfiles irregulares en el conjunto de la Unión Europea lo que, en último extremo, ha conducido a que
existan diferencias apreciables en la protección de los derechos de los ciudadanos.
Pag 13

Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos transfronterizos de
datos personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la
rápida evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recurso
fundamental de la sociedad de la información.
El carácter central de la información personal tiene aspectos positivos, porque permite nuevos y mejores
servicios, productos o hallazgos científicos. Pero tiene también riesgos, pues las informaciones sobre los
individuos se multiplican exponencialmente, son más accesibles, por más actores, y cada vez son más
fáciles de procesar mientras que es más difícil el control de su destino y uso.
El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de
protección de datos, más allá de una mera actualización de la vigente normativa.
Procede a reforzar la seguridad jurídica y transparencia, a la vez que permite que sus normas sean
especificadas o restringidas, por el Derecho de los Estados miembros en la medida en que sea necesario por
razones de coherencia, y para que las disposiciones nacionales sean comprensibles para sus destinatarios.
El Reglamento general de protección de datos contiene un buen número de habilitaciones, cuando no
imposiciones, a los estados miembros, a fin de regular determinadas materias, permitiendo incluso en su
“considerando”, y a diferencia de lo que constituye principio general del Derecho de la Unión Europea que:
Cuando sus normas deban ser especificadas, interpretadas o, excepcionalmente, restringidas por el Derecho
de los estados miembros, estos tengan la posibilidad de incorporar al derecho nacional previsiones
contenidas específicamente en el reglamento, en la medida en que sea necesario por razones de coherencia
y comprensión.
En este punto hay que subrayar que no se excluye toda intervención del derecho interno en los ámbitos
concernidos por los reglamentos europeos. Al contrario, tal intervención puede ser procedente, incluso
necesaria, tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento del
reglamento de que se trate.
Atender adecuadamente el aumento de los flujos transfronterizos de datos personales como consecuencia
del funcionamiento del mercado interior, es a todas luces uno de los principales aciertos del desarrollo
normativo en cuestión, y una de las principales demandas de profesionales y agentes digitales, muchos de
ellos relacionados mercantilmente con redes y agencias internacionales, y en atención de cuentas de cliente
de empresas internacionales también, como los previamente citados de mi propia cartera personal,
GeoConcept, ING, LV o LÓreal, todos ellos con necesidades de gestión CRM, asesoría en geomarketing y
en estrategia de marketing, de tipo transnacional.
Pag 14

Así, el principio de seguridad jurídica, en su vertiente positiva, obliga a los estados miembros a integrar, el
ordenamiento europeo, en el interno, de una manera lo suficientemente clara y pública, como para permitir
su pleno conocimiento, tanto por los operadores jurídicos como por los propios ciudadanos, en tanto que, en
su vertiente negativa, implica la obligación para tales estados, de eliminar situaciones de incertidumbre
derivadas de la existencia de normas en el derecho nacional incompatibles con el europeo. De esta segunda
vertiente se colige la consiguiente obligación de depurar el ordenamiento jurídico.
En definitiva, el principio de seguridad jurídica obliga a que la normativa interna que resulte incompatible
con el Derecho de la Unión Europea quede definitivamente eliminada «mediante disposiciones internas de
carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban
modificarse». Por último, los reglamentos, pese a su característica de aplicabilidad directa, en la práctica
pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación. En este
sentido, más que de incorporación cabría hablar de «desarrollo» o complemento del Derecho de la Unión
Europea.
La adaptación al Reglamento general de protección de datos, que será aplicable a partir del 25 de mayo de
2018, según establece su artículo 99, requiere, en suma, la elaboración de una nueva ley orgánica que
sustituya a la precedente. En esta labor se han preservado los principios de buena regulación, al tratarse de
una norma necesaria para la adaptación del ordenamiento español a la citada disposición europea y
proporcional a este objetivo, siendo su razón última procurar seguridad jurídica.
Internet, se ha convertido en una realidad omnipresente tanto en nuestra vida personal, como colectiva,
según exponía yo en mi libro "Pasado, Presente y Futuro del Marketing Digital", generando un nuevo
modelo de libre mercantilismo y promulgando la globalización. La gran mayoría de nosotros nos hemos
visto afectados por esta realidad transformativa, y no únicamente quienes trabajamos en la vanguardia de la
economía, como expertos y consultores, tal y como desde BA&SConsulting hemos argumentado
acertadamente, estos últimos años, al indexar y publicar ficha de los principales estudios digitales. Cierto
es, que este no ha sido un proceso repentino, y así, a nivel local nacional, son tres ya las leyes que, sobre
protección de datos, se han promulgado, sancionado y publicado.
Yo como consultor y data scientist, he tenido que legalizar ante la AEPD por lo menos cinco ficheros, entre
los de cliente, y los propios de mis proyectos empresariales, motivo por el que aparezco como responsable
de ellos, en los ficheros de este organismo, y además (tal y como se publicó en su día en los boletines
mensuales de información de CRM Desarrollo, mi propia agencia de marketing), asistido a numerosas
ponencias y charlas con los responsables de la AEPD, por ejemplo, en las oficinas de la CEOE.
Pag 15

No es la única forma de contrastar a nivel oficial, mi participación como profesional en este proceso de
desarrollo de mercado desde el ámbito legal. así por ejemplo, a nivel jurídico, figura en el Registro
Mercantil, y en sus archivos, mi participación en el proceso de constitución de Through The Line, DataCom
(Carat), y CRM Desarrollo, pues en todos estos casos fui el responsable de realizar el registro del nombre,
ante esta institución, y en consecuencia, en las escrituras de constitución de las tres agencias de marketing,
aparezco además de como socio fundador, como “motor de su fundación”, que es como legalmente se
califica notarialmente, a quien posea la propiedad del nombre legal de una empresa, en el momento de su
constitución, si es socio fundador de la misma.
Una gran parte de nuestra actividad profesional, económica y privada se desarrolla en la red y adquiere una
importancia fundamental tanto para la comunicación humana como para el desarrollo de nuestra vida en
sociedad. Ya en los años noventa, y conscientes del impacto que iba a producir internet en nuestras vidas,
los pioneros de la red propusieron elaborar una Declaración de los Derechos del Hombre y del Ciudadano
en Internet.
Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de las redes ofrece a la
ciudadanía, así como aquellas que son las formas legales de proteger a la misma, ante asociales, ilegales y
delincuentes.
Corresponde a los poderes públicos impulsar políticas que hagan efectivos los derechos de la ciudadanía en
Internet, promoviendo la igualdad de los ciudadanos, y de los grupos en los que se integran, para hacer
posible el pleno ejercicio de los derechos fundamentales en la realidad digital.
La transformación digital de nuestra sociedad es ya una realidad en nuestro desarrollo presente y futuro,
tanto a nivel social como económico. En este contexto, países de nuestro entorno ya han aprobado
normativa que refuerza los derechos digitales de la ciudadanía. Los constituyentes de 1978 ya intuyeron el
enorme impacto que los avances tecnológicos provocarían en nuestra sociedad y, en particular, en el
disfrute de los derechos fundamentales.
A este espíritu obedece la publicación de la actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección
de Datos Personales y garantía de los derechos digitales, que consta de noventa y siete artículos,
estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una
disposición derogatoria y dieciséis disposiciones finales.
Es esta Ley Orgánica 3/2018 (LOPDPGDD), de transposición de legislación europea, la que en este libro
estudiaremos más en profundidad, para tratar de reflejar la realidad jurídica que opera en la actualidad en el
ámbito de la protección de datos, en un proceso comparado, evolutivo y detallado.
Pag 16

La Ley Orgánica 3/2018
El Título I, de la Ley Orgánica 3/ 2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (LOPDPGDD), relativo a las disposiciones generales, comienza regulando el objeto
de la ley orgánica, que es, conforme a lo que se ha indicado, doble.
Así, en primer lugar, se pretende lograr la adaptación del ordenamiento jurídico español al Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, Reglamento general de
protección de datos, y completar sus disposiciones. A su vez, se establece que, el derecho fundamental de
las personas físicas a la protección datos personales, amparado por el artículo 18.4 de la Constitución, se
ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica. Las
comunidades autónomas ostentan competencias de desarrollo normativo y ejecución del derecho
fundamental a la protección de datos personales en su ámbito de actividad, y a las autoridades autonómicas
de protección de datos, que se creen, les corresponde contribuir a garantizar este derecho fundamental de la
ciudadanía.
En segundo lugar, es también objeto de la ley garantizar los derechos digitales de la ciudadanía, al amparo
de lo dispuesto en el artículo 18.4 de la Constitución. Destaca en la actual Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales, lo dispuesto en su
artículo 2, cuando establece que sus preceptos, se aplican a cualquier tratamiento total o parcialmente
automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos
o destinados a ser incluidos en un fichero. Se excluyen del ámbito de aplicación, los tratamientos que se
rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada
Directiva (UE) 2016/680, previéndose en la disposición transitoria cuarta, la aplicación a estos tratamientos
de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que se apruebe la citada normativa. Exponía sin
embargo como objeto la Ley Orgánica 15/1999, el garantizar y proteger, en lo que concierne al tratamiento
de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar. Además se determinaba en la derogada ley, que
fuera de aplicación, a los datos de carácter personal registrados en soporte físico, susceptibles de
tratamiento, y a toda modalidad de uso posterior de estos datos, por los sectores público y privado.
Pag 17

En el Título II de la actual Ley Orgánica 3/2018 PDPGDD, «Principios de protección de datos», se
establece que a efectos del Reglamento (UE) 2016/679 no será imputable, al responsable del tratamiento,
siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin
dilación, la inexactitud de los datos obtenidos directamente del afectado. Este es sin duda un gran avance
cualitativo de la norma, en relación a la precedente, tanto en el tenor de su interpretación literal, como en el
más interesante si cabe, tenor implícito del principio enunciado, pues tiene en consideración, la existencia
en el ámbito digital, de la misma casuística que afecta a todo mercado, dada su madurez como tal, es decir,
la existencia de variables exógenas que pueden condicionar el intento del responsable de un fichero, por
realizar su tarea en base, por ejemplo, a criterios de legalidad, cuando dicho trabajo se vea interferido por
elementos informáticos delictivos o mal funcionamiento de servicios imprescindibles, ajenos a su propia
capacidad de interacción (malfuncionamiento del suministro de red, imposibilidad técnica operativa,...). Por
ello, la ley especifica que esta imposibilidad de imputación de responsabilidad, se dará, cuando hubiera
recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o
cuando el responsable los obtuviese del mediador o intermediario cuando las normas aplicables al sector de
actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un
intermediario o mediador o cuando los datos hubiesen sido obtenidos de un registro público.
También se recoge expresamente el deber de confidencialidad, el tratamiento de datos amparado por la ley,
las categorías especiales de datos, y el tratamiento de datos de naturaleza penal. Se alude específicamente al
consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado,
excluyendo lo que se conocía como «consentimiento tácito», se indica que en el consentimiento del
afectado para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que
se otorga para todas ellas, y se mantiene en catorce años la edad a partir de la cual el menor puede prestar su
consentimiento. Habrá de plantearse, el chiste profesional, que exponía que si, la legalización del fichero de
BA&SConsulting, esta además cubierta por la del de CRM Desarrollo, esto se pueda considerar a efectos
prácticos, un método de doble “Opt In”.
En este sentido, reseñar lo muy extrañas y novedosas que nos parecieron en su día las presentaciones de los
despachos legales de Adigital, cuando en ESIC, en las reuniones técnicas, se presentaba el concepto de
necesidad de requerir "el permiso" para comunicar de forma directa con un prospecto, en internet, hecho
que hoy en día es de tan general aplicación, que todo proceso de alta en una red social comienza con un
formulario legal de aceptación y otorgamiento de permisos de comunicación entre miembros. Hoy en día es
practicamente un formalismo, pero al implantarse la LSSI sobre la LORTAD, fue una gran novedad.
Pag 18

Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en
cualquier fase de este, estarán sujetas al deber de confidencialidad.
La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto
profesional de conformidad con su normativa aplicable.
Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado
la relación del obligado con el responsable o encargado del tratamiento.
Concretamente, los artículos 4 y 6 de la Ley Orgánica 3/2018, de 5 de diciembre, Protección de Datos
Personales y garantía de los derechos digitales (LOPDPGDD), recogen expresamente en su definición de
deber de confidencialidad y consentimiento del afectado los siguientes extremos:
Se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e
inequívoca por la que este acepta, ya sea mediante una declaración, o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen.
Cuando se pretenda fundar el tratamiento de los datos, en el consentimiento del afectado para una
pluralidad de finalidades, será preciso que conste de manera específica e inequívoca, que dicho
consentimiento se otorga para todas ellas. No podrá supeditarse la ejecución de un contrato, a que el
afectado consienta el tratamiento de los datos personales para finalidades, que no guarden relación con el
mantenimiento, desarrollo o control de la relación contractual.
El artículo 9 establece varias categorías especiales de datos, matizando que a fin de evitar situaciones
discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento
de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación
sexual, creencias u origen racial o étnico.
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes
supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.
Se regulan asimismo, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales, las posibles habilitaciones legales para el tratamiento, fundadas en el
cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el Reglamento
(UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá
determinar las condiciones generales del tratamiento, y los tipos de datos objeto del mismo así como las
cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Este es el caso, por
ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades públicas que responden a
objetivos específicos de control de riesgos y solvencia, supervisión e inspección.
Pag 19

Así por ejemplo, será de aplicación a la Central de Información de Riesgos del Banco de España regulada
por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos,
documentos e informaciones de carácter reservado que obren en poder de la Dirección General de Seguros
y Fondos de Pensiones de conformidad con lo previsto en la Ley 20/2015, de 14 de julio, de ordenación,
supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas
adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas, o del cumplimiento
de una obligación legal y solo podrá considerarse fundado en el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en
el reglamento europeo, cuando derive de una competencia atribuida por la ley.
Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información
identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los
mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el Reglamento (UE)
2016/679.
La prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien
los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los
derechos de los trabajadores, o por los propios sindicatos.
Sin embargo los datos de carácter personal, según la antigua Ley Orgánica 15/1999, Protección de Datos de
Carácter Personal (LOPDCP), debían ser exactos y puestos al día de forma que respondieran con veracidad
a la situación del afectado.
Exponía el artículo 6 de la norma derogada, sobre el consentimiento del afectado, que el tratamiento de los
datos de carácter personal requeriría el consentimiento inequívoco del afectado, salvo que la ley dispusiese
otra cosa.
No sería preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las
funciones propias de las Administraciones públicas, en el ámbito de sus competencias; cuando se refieran a
las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios
para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un
interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del
tercero a quien se comuniquen los datos, siempre que no se vulnerasen los derechos y libertades
fundamentales del interesado.
Pag 20

Este consentimiento podía ser revocado cuando existiera causa justificada para ello y no se le atribuyan
efectos retroactivos. Se establecía también que los datos de carácter personal serían cancelados cuando
hubieran dejado de ser necesarios, o pertinentes, para la finalidad para la cual hubieran sido recabados o
registrados. No serían conservados, en forma que permitiera la identificación del interesado, durante un
período superior al necesario, para los fines en base a los cuales hubieran sido recabados o registrados.
Además los datos de carácter personal serían almacenados, de forma que permitieran el ejercicio del
derecho de acceso, salvo que fueran legalmente cancelados. Prohibiéndose la recogida de datos por medios
fraudulentos, desleales o ilícitos.
De esta forma, a principios del nuevo milenio, ya se había puesto la primera piedra del proceso, por el cual
los tratamientos de datos de calidad, serían la base sobre la que se desarrollaría el mercado digital, y que
hoy se reflejan en lo muy sofisticada que resulta la disciplina del "Data Management". Pude contrastar el
modelo que, tras la promulgación de la ley, fue el propio Estado, al trabajar con los datos, anonimizados y
asignados al nivel de sección censal, de las encuestas de población y censos del INE, para integrarlos en
mis modelos de análisis geográfico de datos para TTL, DataCom Carat y PwC.
Es un hecho, que como parte del catálogo big data de la editora GeoConcept, se comercializaba a nivel
mundial, con éxito, la información estadística de EUROSTAT y de los distintos Institutos de Estadística
Europeos. Por ello, al definir nuestros modelos de relación comercial con CRM Desarrollo, mi propia
agencia, en 2006, se acordó el suministro, en doble dirección, entre otras capas de información, de las
informaciones estadísticas INE, así como la colaboración en la creación y comercialización, de productos
legalmente adaptados a las distintas regulaciones que operaban en el mercado mundial. Este hecho propició
la adquisición y posterior venta de capas de información geográfica y estadística al nivel de código postal
hacia el mercado europeo, y la importación de capas de información geográfica y estadística al nivel de
sección censal, al nivel municipal y provincial e incluso al nivel nacional, desde distintos países europeos.
Todo ello, ya en 2006, me posiciono como data scientist, ante el reto de adaptar mi proceso de producción
de información estadística, utilizable en modelos de marketing estratégico y predictivo, a los requerimientos
de la administración estatal, ya que el proveedor principal de este tipo de información, anonimizada, es el
propio Instituto Nacional de Estadística. Esta producción se integro, sin embargo, dentro del propio
catálogo big data de GeoConcept, al abrir su propia consultora GeoConcept Iberica, en Madrid, como forma
de evitar el riesgo laboral personal que para mi, como CEO CRM Desarrollo, suponía esta actividad, ya que
al vender mi participación en DataCom Carat a AEGIS, en 2004, se firmaron acuerdos y pactos de no
competencia draconianos, y claramente orientados a expulsarme del sector, que fue mejor tratar de cumplir.
Pag 21

De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida
de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Definía la antigua ley orgánica, de Protección de Datos de Carácter Persona (LOPDCP), en relación con el
derecho de información en la recogida de datos, que los interesados, a los que se solicitasen datos
personales, deberían ser previamente informados de modo expreso, preciso e inequívoco:
El artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, en relación a la
seguridad de los datos, establecía que el responsable del fichero, y en su caso, el encargado del tratamiento,
deberían adoptar las medidas de índole técnica y organizativas, necesarias, que garantizasen la seguridad de
los datos de carácter personal y evitasen su alteración, pérdida, tratamiento o acceso no autorizado, habida
cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
Determinaba también la precedente Ley Orgánica 15/1999, que cuando el responsable del tratamiento no
estuviera establecido en el territorio de la Unión Europea y utilizase, en el tratamiento de datos, medios
situados en territorio español, debería designar, salvo que tales medios se utilizasen con fines de trámite, un
representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio
responsable del tratamiento.
Además, cuando se utilizasen cuestionarios u otros impresos para la recogida, figurarían en los mismos, en
forma claramente legible, las advertencias pertinentes.
Se establecía que cuando los datos de carácter personal no hubieran sido recabados del interesado, éste
debería ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero, o su
representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera
sido informado con anterioridad, del contenido del tratamiento, o de la procedencia de los datos, entre otros
aspectos.
No serían de aplicación estos preceptos, cuando los datos procedieran de fuentes accesibles al público, y se
destinasen a la actividad de publicidad, o prospección comercial, entendiéndose también libre, su uso
científico, en el ámbito docente, hecho este que se utilizó como argucia legal, en no pocas campañas de
marketing directo, tratando y adaptando los listines telefónicos y registros publicos.
Pag 22

A este respecto, es importante señalar, que durante años, esta fue una forma de operar en el sector
totalmente legal, y que solo requería de la voluntad necesaria para adaptar a formato digital, el ingente
volumen de datos que supone un listin telefónico, o un registro colegial, por ejemplo, y los medios
empresariales necesarios para su comercialización. De hecho, empresas como Experian, DB o Schoober,
operaban de forma totalmente legal en el mercado de list broking hasta hace bien poco, con listas creadas
inicialmente antes de la derogación de la LORTAD.
En la actualidad sin embargo, para la producción y publicación de mi libro “Investigación Comercial de
Redes Sociales”, y para la producción y publicación de mi libro “Future CEO´s Digital Data Request”, se
han creado bases de datos y tablas, realizadas ad hoc para dichas investigaciones. En ambos casos se ha
excluido de forma consciente, toda información relativa al nombre y apellido, o dato de identificación del
alumno encuestado en UAH, de tal forma que en ambos casos se ha trabajado con datos totalmente
anonimizados, pues la definición de fuente de acceso publico ha quedado sumamente reducida a la mínima
expresión, y un listado de alumnos no se considera como tal. Esto ha permitido que su tratamiento como
información estadística, asociada a un proceso científico académico, se generase en todo momento sobre
información imposible de relacionar de forma única, con alumno ninguno, siendo pues en sentido estricto,
información de tipo no personal, evitando así toda posible controversia.
Se ha utilizado para ello el programa Dyane, por resultar de general aceptación su calidad analítica, y ser el
propuesto en la facultad de Ciencias Económicas Empresariales y Turismo de la Universidad de Alcalá,
siguiendo la metodología científica, analítica, del libro de Don Miguel Santesmases Mestre.
He de decir en cualquier caso, que si el trabajo de codificación, normalización y anonimización de una
encuesta universitaria, que forma parte de una investigación comercial con un universo no excesivamente
grande, resulta una tarea ingente, no quiero ni pensar en el trabajo que suponía hace más de 20 o 30 años la
creación de los repositorios de list broking con los que operaban libremente en el sector del marketing
directo las multinacionales del data management. Lo que si se, es lo mucho que en su día presionaron vía
Adigital para tratar de adaptar las leyes que sustituirían a la LORTAD y la LSSI, supongo que conscientes
de la gran inversión que supondría la creación de nuevas versiones de sus tablas de datos, o peor, temerosos
de no poder volver a actualizar aquellas que comercializaban.
Hoy en día disciplinas como el data scientist son de común aceptación, y las leyes de protección de datos de
carácter personal, un hecho, pero es importante tener presente que esto no siempre fue así, y que algunos de
los que hoy operamos en el sector, lo hacemos gracias al esfuerzo analítico, adaptativo y legislativo de
expertos en data management y en consultoría legal.
Pag 23

Se evita con ello la eterna discusión, sobre la idoneidad de la utilización de tal o cual sistema de análisis de
datos relacionales, pese a que mi formación especializada, de la Florida Atlantic University (FAU
Marketing Summer Curse), me dotara de un benchmarking a las distintas soluciones técnicas, hace ya más
de 15 años, entre las que se encontraban aplicaciones tan potentes como Siebel o People Soft, con módulos
de análisis de datos para marketing, y ya en aquella época, gran cantidad de casos de éxito con bases de
datos relacionales, de cliente.
Sin embargo, el hecho es que la producción de la investigación inicial, que dio pie a la publicación del libro
“Investigación Comercial de Redes Sociales”, es del 2016 y en consecuencia se ve afecta, por la antigua
regulación, y la segunda investigación, que dio pie a la publicación de mi segundo libro “Future CEO´s
igital Data Request”, se ve afecta, por la nueva regulación de protección de datos, motivo por el que los
formularios de captación de datos, de esta última, refieren expresamente, que se otorga el consentimiento al
tratamiento de datos, pese a que en ambos casos, se trata de encuestas y formularios totalmente anónimos,
para fines científicos y docentes.
Recordar eso si, en relación a la eterna discusión, las insufribles presiones, que el colectivo de Carat ejerció
sobre mi persona, cuando en el proceso de integración sobre AEGIS, de la agencia de la que era socio
fundador, DataCom Carat, y tras el oportuno benchmarking, opté por intentar complementar la oferta
analítica de mi departamento, el de consultoría de marketing, con la firma de un acuerdo de colaboración
con la editora de software internacional Alterian. En este repaso al pasado, presente y futuro del marketing
digital, que son mis obras, se ha optado por la solución simple: La que proponía la Universidad de Alcalá.
Sin embargo, los trabajos realizados para los clubs de fidelización de los centros comerciales pertenecientes
al grupo ING, es decir, para ING Real Estate, así como los realizados para Louis Vuitton, si se veían
afectados por la normativa que en 1999 definió la forma en que estos ficheros tenían que ser legalizados
ante la AEPD, motivo por el que en ambos casos, también figuro, en los registros de la institución, como el
responsable del tratamiento de estos datos, desde la época en la que fui consultor de marketing y de CRM
de DataCom Carat (AEGIS).
Según la LOPDCP 15/1999 sólo con el consentimiento expreso, y por escrito, del afectado, podían ser
objeto de tratamiento, los datos de carácter personal, que revelasen la ideología, afiliación sindical, religión
y creencias. Se exceptuaban los ficheros mantenidos por los partidos políticos, sindicatos, iglesias,
confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro,
cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o
miembros, sin perjuicio de que la cesión de dichos datos precisará siempre, el previo consentimiento.
Pag 24

Los datos de carácter personal que hicieran referencia al origen racial, a la salud y a la vida sexual sólo
podían ser recabados, tratados y cedidos cuando, por razones de interés general, y cuando el afectado
consintiere expresamente. Quedaban prohibidos los ficheros creados con la finalidad exclusiva de
almacenar datos de carácter personal, que revelasen la ideología, afiliación sindical, religión, creencias,
origen racial o étnico, o vida sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podían
ser incluidos en ficheros de las Administraciones públicas competentes, en los supuestos previstos en las
respectivas normas reguladoras.
No obstante lo dispuesto en los apartados anteriores, podían ser objeto de tratamiento ciertos datos de
carácter personal, cuando dicho tratamiento resultase necesario para la prevención, o para el diagnóstico
médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios,
siempre que dicho tratamiento de datos se realizara por un profesional sanitario, sujeto al secreto
profesional, o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También podían ser objeto de tratamiento, los datos a que se refiere el párrafo anterior cuando el
tratamiento fuera necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto
de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento. Las instituciones y
los centros sanitarios públicos y privados, y los profesionales correspondientes, podían proceder al
tratamiento, de los datos de carácter personal, relativos a la salud de las personas que a ellos acudieran, o
hubieran de ser tratados en los mismos.
A este respecto, exponer, lo muy ingente del trabajo realizado para Sanitas, desde PwC, en algunas de las
más intensas Due Diligences en las que yo tuviere el gusto de colaborar, y lo muy didáctico de dicho
trabajo, pues realmente la legislación en materia de protección de datos, era en aquella época, la
previamente mostrada, y tanto en el la farmacéutica, como en la consultora, se trabajaba con un cuidado
excelso de las normas de protección de datos de carácter personal, motivo por el que tuve que extremar mis
propias medidas de seguridad e higiene técnico jurídicas, a los efectos de realizar un trabajo eficiente y
legalmente adaptado.
Según lo expuesto anteriormente el responsable del fichero, y, en su caso, el encargado del tratamiento
debían adoptar las medidas de índole técnica, y organizativas, necesarias, que garantizaran la seguridad de
los datos de carácter personal, y evitaran su alteración, pérdida, tratamiento o acceso no autorizado.
Actualmente, este aspecto es si cabe de mayor trascendencia, pues los sistemas de almacenamiento de datos
también han sufrido un proceso disruptivo, y evolutivo, paralelo al que han realizado los sistemas de CRM.
Pag 25

Al igual que ha ocurrido con las Redes Sociales, que se han erigido en empresas, independizándose en su
labor de gestión “de las relaciones del cliente”, de producto ninguno, tal y como se expone en mi obra "El
Gran Libro del Pasado, Presente y Futuro del Marketing Digital", los sistemas de almacenamiento, también
se han desligado a su vez de productos ERP (incluso de motores CRM), para auto establecerse
empresarialmente, en unidades mercantiles autónomas, creando empresas que únicamente se dedican a
gestionar externalizadamente, datos de tipo personal.
Además, esta adaptación evolutiva, permite ofrecer hoy, ese servicio asociado al propio hosting del “front
end”, es decir, de la aplicación, web o portal, que ofrece el servicio que consume el almacenamiento de
datos, y por lo tanto se ha generado una increíble cantidad de vulnerabilidad potencial. Por ello, en la
actualidad resulta de especial trascendencia la calidad de la seguridad que se asocia a un proceso de
datawarehousing, que difícilmente puede protegerse simple y llanamente por efecto físico, de desconexión,
como en más de una ocasión escuche proponer a responsables de la gestión de servidores, en reuniones de
definición de tamaño, seguridad y estructura, de sistemas de almacenamiento de datos.
Es importante retrotraer este libro una vez más a sus fundamentos bibliográficos, y no únicamente para
recordar a todos aquellos que, en aras de no continuar con el baño de conceptos técnico teóricos en materia
de CRM que estaban soportando, rebuznaron algún exabrupto con el que poner fin a esta o aquella reunión
de presentación de servicios, sino con el propósito de exponer, que en mis libros anteriores se declinó la
teoría de que las redes sociales, son la adaptación evolutiva al medio digital de los sistemas CRM, que
desligados de sus departamentos de origen (ventas y marketing), se han constituido de forma mercantil y
autónoma, en personas jurídicas únicas, con su propio objeto social, la rentabilidad de la inversión de sus
socios, comercializando el valor añadido de su gestión, aplicado a la relación entre sus miembros. Y esto, es
importante, para comprender que ciertamente este mismo proceso que ha transmutado sistemas de data
management, en redes sociales, ha creado también empresas independientes, evolucionadas y adaptadas al
medio digital, para dar servicio al resto de tareas que componían una estrategia integral de CRM.
Yo mismo, en mi propia agencia CRM Desarrollo, he realizado ese proceso de adaptación al medio, y en la
actualidad ofrezco mi know how en consultoría de marketing digital e interactivo, de fuerte contenido
estratégico y de orientación big data, como data scientist, directamente a mis clientes y potenciales vía
Google Play, en formato eBook, gestiono mi CRM personal y mi imagen de escritor en LinkedIn, y pronto
me veré en la tesitura de crear mi propia plataforma de publicación de contenido video para interactuar con
universidades e instituciones, en un proceso evolutivo hacia un nuevo objeto social, el de mi orientación
docente totalmente digital.
Pag 26

En fín, supongo que todos en alguna ocasión nos hemos visto sobrepasados por la velocidad de cambio que
ha demostrado en sector digital, y la increíble dinámica evolutiva que han demostrado las empresas IT, en
su interacción con el marketing directo y relacional, empujados por la energía infinita que ha resultado ser
la búsqueda de resultados empresariales.
Por ello, supongo que todos mis lectores agradecerán retomemos con el seguro y balsámico ámbito legal, y
el esfuerzo comparativo entre las principales leyes orgánicas de protección de datos de la reciente historia
económica nacional.
La actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales, no expone un contenido categórico expreso, de cuyo tenor literal solo pueda extraerse
una definición de obligaciones técnico jurídicas, sino que al contrario ofrece una definición de principios y
derechos, en base a los cuales se articula con posterioridad en los capítulos relativos a los responsables del
tratamiento, aquellas que son las funciones y obligaciones de estos.
De tal forma que comienza el Título III, en relación a los derechos de las personas exponiendo, en su
artículo 11, el derecho de transparencia e información al afectado y determinando que cuando los datos
personales sean obtenidos del afectado, el responsable del tratamiento podrá dar cumplimiento al deber de
información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la
información básica pertinente, e indicándole una dirección electrónica, u otro medio que permita acceder de
forma sencilla e inmediata a la restante información.
Además el artículo 12 en relación a las disposiciones generales sobre ejercicio de los derechos, estipula que
podrán ejercerse directamente o por medio de representante legal o voluntario, y que el responsable del
tratamiento, estará obligado a informar al afectado sobre los medios a su disposición para ejercer los
derechos que le corresponden.
Los medios deberán ser fácilmente accesibles para el afectado, y el ejercicio del derecho no podrá ser
denegado por el solo motivo de optar el afectado por otro medio.
El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los
afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado
por el afectado recaerá sobre el responsable.
Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las
solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del
Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica.
Pag 27

Derecho de acceso: El derecho de acceso se entenderá otorgado si el responsable del tratamiento
facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice,
de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al
afectado, del modo en que este podrá acceder a dicho sistema, bastará para tener por atendida la
solicitud de ejercicio del derecho.
Derecho de rectificación: El afectado deberá indicar en su solicitud a qué datos se refiere y la
corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación
justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
Derecho de supresión: Cuando la supresión derive del ejercicio del derecho de oposición con arreglo
al artículo 21.2 del Reglamento (UE) 2016/679, el responsable podrá conservar los datos identificativos
del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
Derecho a la limitación del tratamiento: El hecho de que el tratamiento de los datos personales esté
limitado debe constar claramente en los sistemas de información del responsable.
Derecho a la portabilidad: El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el
artículo 20 del Reglamento (UE) 2016/679.
Derecho de oposición: El derecho de oposición, así como los derechos relacionados con las decisiones
individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo
establecido, respectivamente, en los artículos 21 y 22 del Reglamento (UE) 2016/679.
La gran novedad del libro, se expresa en la existencia de seis derechos fundamentales en la reciente
LOPDPGDD, que se ejercerán de acuerdo con lo establecido en el artículo 17 del Reglamento de la Unión
Europea (UE) 2016/679:
En la actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales, las especificaciones relativas al tratamiento, y las relativas al responsable y encargado
del tratamiento, se realizan en los Títulos IV y V de la ley.
La importancia de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales, reside en la inclusión del derecho a la portabilidad, y a la limitación del
tratamiento, en sus desarrollos normativos, ya que una vez contemplados adecuadamente, son
necesariamente tenidos en consideración tanto en la propia ley, como en los textos subsidiarios que la
complementen. Los derechos de acceso, rectificación, supresión y oposición, fueron adecuadamente
contemplados en la anterior LOPDCP, y consecuentemente, en las leyes y reglamentos que la
complementaron, y son sabiamente consideredos de nuevo por la actual LOPDPGDD 3/2018.
Pag 28

Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona
jurídica en la que el afectado preste sus servicios.
En el Título IV se recogen «Disposiciones aplicables a tratamientos concretos», incorporando una lista de
supuestos, que en ningún caso debe considerarse exhaustiva, de todos los tratamientos lícitos. Dentro de
ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una presunción
«iuris tantum» de prevalencia del interés legítimo del responsable, cuando se lleven a cabo con una serie de
requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las
condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación
legalmente exigible, al no presumirse la prevalencia de su interés legítimo. Así por ejemplo, el artículo 19
de la presente ley establece que el tratamiento de datos de contacto, de empresarios individuales y de
profesionales liberales determina que salvo prueba en contrario, se presumirá amparado, el tratamiento de
los datos de contacto, y en su caso, los relativos a la función o puesto desempeñado, de las personas físicas,
que presten servicios en una persona jurídica, siempre que se cumplan los siguientes requisitos:
La misma presunción operará para el tratamiento, de los datos relativos a los empresarios individuales, y a
los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición, y no se traten para
entablar una relación con los mismos como personas físicas. Los responsables o encargados del tratamiento
a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los
dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de
sus competencias.
Junto a estos supuestos se recogen otros, tales como la video vigilancia, los ficheros de exclusión
publicitaria o los sistemas de denuncias internas, en que la licitud del tratamiento proviene de la existencia
de un interés público.
Finalmente, se hace referencia en este Título a la licitud de otros tratamientos regulados en el Capítulo IX
del reglamento, como los relacionados con la función estadística o con fines de archivo de interés general.
El artículo 22 de la actual Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los
derechos digitales, dispone en lo relativo a los tratamientos con fines de video vigilancia, que las personas
físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas
de cámaras, o videocámaras, con la finalidad de preservar la seguridad de las personas y bienes, así como
de sus instalaciones. Solo podrán captarse imágenes de la vía pública, en la medida en que resulte
imprescindible para la finalidad mencionada en el apartado anterior.
Pag 29

No obstante, será posible la captación desde la vía pública, en una extensión superior, cuando fuese
necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas
al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio
privado. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando
hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de
personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad
competente en un plazo máximo de setenta y dos horas, desde que se tuviera conocimiento de la existencia
de la grabación.
El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido
mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al
menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos
previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta
información.
En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información
a la que se refiere el citado reglamento. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se
considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que
solamente capten el interior de su propio domicilio. Esta exclusión no abarca el tratamiento realizado por
una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese
acceso a las imágenes.
El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la
utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, y por los órganos
competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación,
vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE)
2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a
las amenazas contra la seguridad pública.
Esta información es trascendente, pues perfila un futuro en el que los datos personales no tienen por qué ser
necesariamente escritos, y los registros de voz y de imagen, pasan a ser también objeto de regulación.
A este respecto, decir, que ciertamente el futuro del tratamiento de datos, está en la gestión a tiempo real de
los mismos, resultado del reconocimiento, de imagen y sonido, asociable a un registro concreto.
Pag 30

El Título V se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor
novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado,
fundamentalmente, en el control del cumplimiento, a otro que descansa en el principio de responsabilidad
activa, lo que exige una previa valoración por el responsable, o por el encargado del tratamiento, del riesgo
que pudiera generar, el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las
medidas que procedan.
Como se puede apreciar con lo expuesto páginas atrás, se ha producido una evolución en la responsabilidad
asociada a la ejecución del tratamiento.
La figura del delegado de protección de datos adquiere una destacada importancia, que parte del principio
de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del
responsable o encargado, y ser tanto una persona física como una persona jurídica.
La nueva legislación en materia de protección de datos, resulta pues evolutiva, al igual que el ámbito que
regula, el mercado digital, y dota de flexibilidad al criterio del profesional, y refuerza su importancia con la
definición de una categoría adicional de especialista, para lo que muy acertadamente tiene en consideración
que este pueda no ser persona física, pues como hemos visto ya, se han erigido en el mercado, empresas con
capacidad de gestión externa de los servicios asociados al tratamiento de datos.
Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución
amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida
por el responsable o encargado del tratamiento.
Resulta necesario resaltar, como la evolución desde unidades de apoyo al proceso de data minning, y data
management, tanto legalmente, como mercantilmente, como técnicamente, es paralelo en el tiempo, y
define un cambio en la economía en su conjunto, en la que se ha generado un nuevo tipo de empresa, la
dedicada a la gestión de datos de carácter personal, en cualquiera de sus distintas facetas, especialidades y
modelos de negocio.
La principal evolución que presenta la ley orgánica 3/2018, no es pues un hecho reglamentario, sino de
mercado, es decir, económico digital, aquel que define a quienes operan en materia de protección de datos
de forma legal, como elementos de negocio o administrativos públicos, sujetos a un ámbito regulado por ley
orgánica al menos en tres ocasiones. Es importante señalar que este hecho no era así, al derogarse la
LORTAD, y presentar la distintas asociaciones profesionales opciones de modificación a la LSSI y la LO a
finales de milenio, y recordar que fueron tildadas en no pocas ocasiones de asociaciones constituidas por
elementos anti sistema, dado el exótico equipo de recursos humanos que presentan las agencias digitales.
Pag 31

El Título VI, relativo a las transferencias internacionales de datos, procede a la adaptación, de lo previsto en
el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a través
de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas
corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
El artículo 40 de la actual ley orgánica, en lo relativo al régimen de las transferencias internacionales de
datos concreta que estas, se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la ley orgánica y
sus normas de desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia Española de
Protección de Datos y de las autoridades autonómicas de protección de datos, en el ámbito de sus
respectivas competencias. En todo caso se aplicarán a los tratamientos en que consista la propia
transferencia, las disposiciones contenidas en dichas normas, en particular las que regulan los principios de
protección de datos.
El artículo 42 expone sobre los supuestos sometidos a autorización previa de las autoridades de protección
de datos que las transferencias internacionales de datos a países u organizaciones internacionales, que no
cuenten con decisión de adecuación aprobada por la Comisión, o que no se amparen en alguna de las
garantías previstas, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en
su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:
Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en
cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d),
del Reglamento (UE) 2016/679.
Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados y se funde en
disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos
públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los
memorandos de entendimiento.
Recuerdo haber estudiado en profundidad este hecho en AGEMDI, pues las agencias de marketing directo,
fuimos unas de las primeras empresas en integrar servicios de tratamiento de datos y asesoría técnica, y en
consecuencia, nos veíamos sujetos por este tipo de conceptos legales en nuestra propia actividad
publicitaria.
Afortunadamente, este deber de secreto no alcanzaba a la comunicación del establecimiento de una relación
comercial entre empresas (anunciante y agencia), incluso aunque se comunicará el tipo de actividad de
servicio empresarial que se estuviera realizando, siendo sin embargo necesario guardar secreto técnico, en
relación al propio fichero y los datos almacenados.
Pag 32

A este respecto, por ejemplo, exponer, que una casualidad como la establecida en la persona de La Infanta
de España, cuando utilice la información de su residencia en una ponencia sobre fidelización en los
Executive Open Programs de Instituto de Empresa, en el hipotético caso de que realmente sea cliente de
Louis Vuitton, necesitaría de que asociado a su nombre y ubicación, yo hubiera aportado información
única, de código de cliente, de La Infanta de España, y que este realmente coincidiera con el de cliente en la
base de datos de LV, y lo hubiera expuesto y tratado sobre el formato estructural propio del sistema de
Datawarehouse de la internacional del lujo.
Afortunadamente, esta presentación se preparó en las oficinas de París de mi partnership GeoConcept,
empresa editora de software de geomarketing, colaboradora de Galileo y Agile, entre otros proyectos
europeos, y tuvimos el buen criterio de crear un fichero “ejemplo”, propio, que nos permitiera exponer el
caso en el IE en Madrid.
No tan afortunados habíamos sido, años atrás en las propias oficinas de LV de París, cuando junto a un pull
de consultores y directivos de GeoConcept, le presentamos a la central de la empresa de lujo, una propuesta
adicional de servicio, que incluyese los servicios de la editora de software, como forma de internacionalizar
el servicio que desde DataCom Carat le ofrecíamos a LV en Madrid.
Pero la fortuna es de los audaces, y la suerte nos supo recompensar por nuestro esfuerzo, años más tarde, en
el Instituto de Empresa.
El hecho cierto, es que dicha ponencia en el Instituto de Empresa, suscitó el interés de PwC por el trabajo
que ya estábamos realizando de forma coordinada GeoConcept Iberica con CRM Desarrollo, y durante los
años 2007 y 2008 fue ingente la cantidad de trabajo que se produjo para la firma de auditoría, ya que entre
otras cosas, había caducado mi pacto de no competencia con el que rubrique la venta de mi participación en
DataCom Carat, a AEGIS. Hecho este, que sinceramente no me esperaba yo, fuera puesto en duda, durante
mi Master MICEMD en ESIC, por unos jovencísimos compañeros de Master, que no se querían creer que
yo ya hubiese sido ponente en IE y EOI, antes de decidirme por cursar el MICEMD, pero es que, desde que
yo soy profesional del medio, las agencias internacionales bonifican a sus directivos, precisamente con
dicho Master, motivo por el que cariñosamente lo llamamos "Top Gun". En cualquier caso, no fue la
primera vez que se me trató de ningunear este o aquel logro profesional, y actualmente se a ciencia cierta,
siempre en voz por corre ve y dile, de elementos muy ajenos a ninguna actividad profesional decente, y en
la mayoría de los casos ni siquiera legal. Años más tarde en la Universidad de Alcalá, realizando el proceso
de adaptación a grado de mi licenciatura CEU, afortunadamente no tuve que sufrir descredito ninguno, pese
a la gran diferencia de edad, aunque si un sabotaje flagrante de un notable, a manos de un exaltado!
Pag 33

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales, en el Título VI, relativo a las transferencias internacionales de datos, procede a la adaptación de lo
previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los
procedimientos, a través de los cuales, las autoridades de protección de datos pueden aprobar modelos
contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada
transferencia, o información previa.
Se determina que las transferencias internacionales de datos, se regirán por lo dispuesto en el Reglamento
(UE) 2016/679, en la presente ley orgánica y sus normas de desarrollo aprobadas por el Gobierno, y en las
circulares de la Agencia Española de Protección de Datos y de las autoridades autonómicas de protección
de datos, en el ámbito de sus respectivas competencias.
Se aplicarán en todo caso, a los tratamientos en que consista la propia transferencia las disposiciones
contenidas en dichas normas, en particular las que regulan los principios de protección de datos.
Establece el artículo 28 en lo relativo a las obligaciones generales del responsable y encargado del
tratamiento, que los responsables y encargados, teniendo en cuenta los elementos enumerados en los
artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas
apropiadas, que deben aplicar, a fin de garantizar y acreditar que el tratamiento es conforme, con el citado
reglamento, con la presente ley orgánica, sus normas de desarrollo, y la legislación sectorial aplicable.
Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del
tratamiento tendrán en cuenta, en particular, los mayores riesgos.
En el artículo 29 estipula, en los supuestos de corresponsabilidad en el tratamiento, que la determinación, de
las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará,
atendiendo a las actividades que efectivamente desarrolle, cada uno de los corresponsables del tratamiento.
Según la antigua ley Orgánica 15/1999, y en relación a la comunicación de datos de carácter personal,
objeto del tratamiento, estos sólo podían ser comunicados, a un tercero, para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado.
Exponía la ley orgánica, que sería nulo el consentimiento para la comunicación de los datos de carácter
personal a un tercero, cuando la información que se facilitara al interesado, no le permitiera conocer la
finalidad a que destinarían los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien
se pretendiera comunicar.
Pag 34

Cuando la cesión estuviese autorizada en una ley.
Cuando se tratase de datos recogidos de fuentes accesibles al público.
Cuando el tratamiento respondiera a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control, implicara necesariamente la conexión de dicho tratamiento, con
ficheros de terceros.
Cuando la comunicación que debiera efectuarse tuviera por destinatario al Defensor del Pueblo, el
Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones
que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tuviera como
destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de
Cuentas.
Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento
posterior de los datos con fines históricos, estadísticos o científicos.
Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una
urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos
establecidos en la legislación sobre sanidad estatal o autonómica.
El consentimiento exigido en el apartado anterior no resultaba preciso:
Por ello, desde que di de alta el fichero de contactos de mi propia agencia de publicidad, CRM Desarrollo
en 2005 y 2006, y puesto que además de formar parte de Adigital (AGEMDI actual DIG), sus ficheros de
asociados están disponibles en su página web on line, realizo mis propias acciones de marketing relacional
y CRM hacia el sector, concretamente hacia el resto de asociados de Adigital con sistemas directos de e
mail marketing. Motivo por el que la llegada de LinkedIn y las nuevas RRSS supusieron para mi la natural
puesta en solfa de la respuesta a una necesidad latente en la economía, la de la gestión de la imagen
personal y la cartera de contactos de ejecutivos y directivos, sin el extraño sentimiento de alegalidad que la
LSSI genera en aquellos que desde su publicación cumpliamos excrupulosamente la establecido en la LO.
A fecha de hoy, programas de fidelización como el Club VIP de BA&Sconsulting se gestionan de forma
inmejorable a través de las RRSS, y además el proceso de gestión de los ficheros de contacto e mail y
telefónico, cuentan siempre con el aval de su creación bajo contratos de consentimiento mutuo, expresado
durante los procesos de alta en cualquiera que sea, la RRSS social seria seleccionada.
Aún así, todo trabajo sobre canales de e mail marketing, requiere de un especial cuidado en su tratamiento y
gestión, hecho este que no expreso desde el punto de vista legal, sino profesional, ya que el sentimiento de
intrusismo que se genera en el receptor en ocasiones es muy potente.
Pag 35

El Título VII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales, se dedica a las autoridades de protección de datos, que siguiendo el mandato del
Reglamento (UE) 2016/679 se han de establecer por ley nacional.
Manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, la ley orgánica regula el
régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades
autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control.
Se determina que la Agencia Española de Protección de Datos se configura como una autoridad
administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
También se expone que la Agencia Española de Protección de Datos es una autoridad administrativa
independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico
del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena
independencia de los poderes públicos en el ejercicio de sus funciones.
Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de
octubre, de Régimen Jurídico del Sector Público, será «Agencia Española de Protección de Datos,
Autoridad Administrativa Independiente».
Se relaciona con el Gobierno a través del Ministerio de Justicia.
La ley enuncia, que la Agencia Española de Protección de Datos tendrá la condición de representante
común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección
de Datos.
La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán, en aras
del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 julio, del Poder
Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de
Justicia.
La ley enuncia, que la Agencia Española de Protección de Datos tendrá la condición de representante
común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección
de Datos.
La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán, en aras
del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 julio, del Poder
Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de
Justicia.
Pag 36

El Título VIII regula el «Procedimientos en caso de posible vulneración de la normativa de protección de
datos». El Reglamento (UE) 2016/679 establece un sistema novedoso y complejo, evolucionando hacia un
modelo de «ventanilla única» en el que existe una autoridad de control principal y otras autoridades
interesadas.
También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en
caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos.
En consecuencia, con carácter previo a la tramitación de cualquier procedimiento, será preciso determinar si
el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos
ha de considerarse principal.
La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos, siendo posible
que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o
a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo
establecido en un código de conducta; la inadmisión de las reclamaciones; las actuaciones previas de
investigación; las medidas provisionales, entre las que destaca la orden de bloqueo de los datos; y el plazo
de tramitación de los procedimientos y, en su caso, su suspensión.
Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá
evaluar su admisibilidad a trámite.
La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen
sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, sean
abusivas o no aporten indicios racionales de la existencia de una infracción.
Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el
responsable o encargado del tratamiento, previa advertencia formulada por la Agencia Española de
Protección de Datos, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible
incumplimiento de la legislación de protección de datos y concurran circunstancias especiales.
Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de
Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el
responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los
códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.
La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o
encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos.
Pag 37

La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de
la reclamación a la autoridad de control principal, que se estime competente, deberá notificarse al
reclamante en el plazo de tres meses.
Si transcurrido este plazo no se produjera dicha notificación, se entenderá que prosigue la tramitación de la
reclamación con arreglo a lo dispuesto en la ley, a partir de la fecha en que se cumpliesen tres meses desde
que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.
Durante la realización de las actuaciones previas de investigación, o iniciado un procedimiento para el
ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos, podrá acordar
motivadamente las medidas provisionales necesarias y proporcionadas, para salvaguardar el derecho
fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE)
2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
En los casos en que la Agencia Española de Protección de Datos considere que la continuación del
tratamiento de los datos personales, su comunicación o transferencia internacional comportara un
menoscabo grave del derecho a la protección de datos personales, podrá ordenar a los responsables o
encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de
incumplirse por estos dichos mandatos, proceder a su inmovilización.
Afortunadamente hasta la fecha, en CRM Desarrollo no hemos sufrido ninguna intervención de la Agencia
Española de Protección de Datos, ni para solicitar bloqueo o cesación ninguno, ni para inmovilización
ninguna. De hecho, no nos consta la apertura de ningún expediente sancionador, motivo por el que nos
ponemos a disposición de cualquier posible afectado ofreciéndole en todo momento el libre y adecuado
ejercicio de sus derechos.
Pag 38

Libro el presente legal del Marketing Digital (Edición sin corregir).

Libro el presente legal del Marketing Digital (Edición sin corregir).

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Similar a Libro el presente legal del Marketing Digital (Edición sin corregir).

Similar a Libro el presente legal del Marketing Digital (Edición sin corregir). (20)

Más de Mateo Rodrigo Guerrero Estebanez

Más de Mateo Rodrigo Guerrero Estebanez (20)

Último

Último (20)

Libro el presente legal del Marketing Digital (Edición sin corregir).