Seminario Publicidad Digital-Autocontorl-AEPD

En mayo de 2018 empezará a aplicarse en España el nuevo Reglamento europeo de protección de datos y privacidad, que va a cambiar las reglas de juego en la publicidad y el marketing digital  y a homogeneizar las normas y medidas de seguridad en todos los países del Viejo Continente.

Recientemente, la Agencia Española de Protección de Datos (AEPD) imponía la sanción más alta en su historia: 1.200.000 euros, a Facebook.  Una cifra que queda muy lejos, sin embargo, de los 20 millones de euros o el 4% de la facturación global mundial de una compañía, que constituyen las máximas sanciones previstas por el nuevo Reglamento.

El Reglamento General de Protección de Datos ha supuesto casi cinco años de negociaciones y tramitación en las instituciones europeas, y un periodo transitorio muy amplio: entraba en vigor en nuestro país el 25 de mayo de 2016 y comenzará a aplicarse en el 25 de mayo de 2018.

“Esto no es por casualidad, la nueva normativa implica un cambio fundamental en la privacidad y la protección de datos, ya que se pasa de un enfoque reactivo a otro proactivo”, manifestaba Mar España Martí, directora de la AEPD, durante la celebración del seminario “Regulación de la publicidad digital, protección de datos y privacidad”, organizado por Autocontrol y celebrado en la sede de Coca-Cola Iberia el pasado 27 de septiembre.

La AEPD, salvo en temas de especial gravedad, donde actúa de oficio, viene ejerciendo su capacidad sancionadora ante los alrededor de 12.000 expedientes de denuncias anuales procedentes en su mayoría de clientes en el ámbito privado.

En palabras de Jesús Rubí Navarrete, adjunto a la dirección de la AEPD,  “estamos en un momento crítico para tomar iniciativas en la adaptación al nuevo Reglamento de protección de datos, y en su caso, al de ePrivacy”.  (Actualmente, el anteproyecto de Ley Orgánica de protección de datos se encuentra en el Consejo de Estado).

PRIMA EL CONSENTIMIENTO EXPRESO

Rubí señalaba que, en términos generales, en el Reglamento ha primado el consentimiento expreso como base jurídica para el tratamiento de datos personales; es la norma general y lo demás excepciones. Frente al consentimiento tácito que ha venido funcionando hasta ahora, se exige una declaración o una clara acción afirmativa.

Si bien el propio Reglamento admite la validez del consentimiento expresado conforme a la legislación anterior si se cumplen los requisitos previstos, está prohibido obtenerlo por inactividad u omisión. “Esto plantea una gran preocupación al existir miles de millones de registros basados en este consentimiento tácito”, reconocía el adjunto a la dirección de la AEPD.

En todo caso, las reglas del RGPD van a estar condicionadas por las regulaciones especiales del Reglamento de ePrivacy, que está previsto entre en funcionamiento conjuntamente, o la Ley de Servicios de la Sociedad de la Información (LSSI).

La edad a partir de la que se podrá prestar el consentimiento baja de los 14 a los 13 años, por ser la más frecuente en otros sistemas jurídicos europeos y porque la mayor parte de los servicios masivos en internet están configurados a partir de ella. Además, en el caso de la publicidad, será necesario adoptar medidas para acreditar la comprobación de la edad y el consentimiento de los padres, lo cual en internet a veces no resulta sencillo.

El RGPD mantiene la exigencia de que solo se utilicen los datos estrictamente necesarios, lo cual puede ser relevante en actividades como las de las  redes sociales; e introduce un elemento novedoso: el de la responsabilidad proactiva. De hecho, la prevención es uno de los pilares del Reglamento, según el cual actuar una vez producida la infracción, que pude causar daños difíciles de reparar, es insuficiente como estrategia.

UN ENFOQUE DE RIESGO

“Hasta ahora muchos aspectos estaban perfectamente tasados: inscribir los ficheros, rellenar un formulario… Esta situación y sistema de trabajo de las propias autoridades de protección de datos, que en la mayoría de los casos estaban pendientes de las reclamaciones y de las denuncias producidas para actuar, cambia sustancialmente con el nuevo Reglamento”, decía Rubí.

A partir de mayo próximo habrá que mantener un registro de actividades de tratamiento, ya que no será necesaria una comunicación a un registro público al considerarse una traba administrativa. El punto de partida será un enfoque de riesgo. Cada uno deberá hacer un análisis del impacto que tienen los tratamientos de datos en los derechos y libertades de las personas.

El problema estriba en cómo se determinan los niveles de riesgo, ya que, según Rubí, estamos acostumbrados a evaluaciones si acaso desde el punto de vista de la seguridad de la información. (En estos momentos la AEPD trabaja en una metodología para el análisis de riesgos y en la adaptación de la existente al nuevo Reglamento, que se quiere esté disponible antes de final de año.)

La evaluación de riesgos no se exigirá con carácter general, pero es previsible que sea una práctica habitual en el sector publicitario, donde está generalizada la elaboración de perfiles del comportamiento de los usuarios.

Estas valoraciones habrá que hacerlas antes de desarrollar los productos o lo servicios, si bien también podrían requerirla los existentes por generar tratamientos más masivos de datos, nuevos desarrollos tecnológicos o formas de elaboración de perfiles o de comunicación publicitaria.

Además, en el sector de la publicidad, donde es común la externalización de servicios, el Reglamento es más exigente en las garantías que deben aportarse en los contratos con los encargados de tratamiento, por lo que habrá que firmar otros nuevos o incluir anexos complementarios.

MÁS INFORMACIÓN AL INTERESADO

El deber de información del responsable se configura ahora como un derecho del interesado, al que hay que facilitar una información considerablemente mayor: desde los datos de contacto del delegado de protección de datos (una figura nueva), hasta la base jurídica del tratamiento, que no existía hasta el momento. Y si los datos no se recaban del interesado habrá también que dar cuenta de la categoría de los que se van a tratar y de la fuente de procedencia.

La información que hay que ofrecer se amplía hasta el extremo de que las cláusulas establecidas para este cometido pueden ser disuasorias para su lectura. Al mismo tiempo, el Reglamento exige que esa información sea clara, sencilla y accesible, lo que ha llevado a la AEPD a elaborar, junto a las agencias vasca y catalana de protección de datos, unos criterios de información por capas, que se han recogido en el anteproyecto de ley de protección de datos. Existen algunos antecedentes en este sentido, como el caso de las cookies, donde se presenta una información breve cuando se accede al sitio web y luego enlaces a datos complementarios.

Asimismo, el RGPD introduce elementos como los derechos al olvido y la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El primero opera en los casos en que se revoque el consentimiento y no haya una base jurídica para el tratamiento de los datos, o cuando éstos ya no sean necesarios para los fines para los que se recogieron, o hayan sido recabados incumpliendo una norma. La novedad más importante es que el responsable que los ha hecho públicos, cuando proceda a su supresión, está obligado a informar a terceros que replican esta información, siempre con unos límites de proporcionalidad en función de la tecnología disponible y del coste de la aplicación.

Se fomenta el ejercicio por vía electrónica de los derechos a la limitación del tratamiento y a la portabilidad, lo que implicará articular mecanismos para garantizar la identidad de quienes los ejerzan. Y surge un derecho nuevo, el de la limitación al tratamiento, por el que se bloquean los datos de carácter personal con el fin de evitar su tratamiento al menos durante un tiempo.

Poli Sánchez