1. El nuevo marco regulatorio para Europa.
El 25 de mayo de 2018 entró en plena aplicación la regulación europea en protección de datos. Se encuentra contenida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos; RGPD). Publicado en el DOUE el 4 de mayo de 2016, desde entonces, 25 de mayo de 2016, está en vigor.
Esta norma es de directa aplicación en toda Europa. Al ser un reglamento, a diferencia de las directivas comunitarias, su aplicación es directa sin necesidad de incorporación por los Estados miembros mediante trasposición a su Ordenamiento interno. Sin embargo, debido a la trascendencia de las nuevas normas y derechos regulados, será aplicable a partir del 25 de mayo de 2018 tras un plazo suficiente de adaptación. Así, desde entonces, cada Estado y todas las empresas y Administraciones públicas deberán realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento.
Asimismo, el pasado 6 de diciembre de 2018 se publicó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD). Como reconoce su Exposición de Motivos, los reglamentos, pese a su característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación. En este sentido, más que de incorporación cabría hablar de «desarrollo» o complemento del Derecho de la Unión Europea.
Como compendio de la relevancia de esta Ley Orgánica, su artículo 1 destaca que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica. Por ello, esta regulación no solamente que tendrá por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y completar sus disposiciones, sino que además pretende garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Así, en España, ha quedado ya derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta norma se ha caracterizado por una perspectiva estática: se ha articulado mediante la consideración de los ficheros como algo poco variable y notificados para su inscripción a la Agencia Española de Protección de Datos (AEPD).
El Reglamento general de protección de datos, a escala europea, modifica sustancialmente la articulación de la protección de datos. En adelante, la perspectiva ya no será estática, sino principalmente dinámica, al atender más que a la estructura de los ficheros, sobre todo a los flujos de los datos personales que merecen protección.
2. Principales novedades de la protección de datos en el marketing online.
El marketing online también se verá afectado por esta nueva regulación europea y nacional. Quienes trabajan en estos sectores ya prestan atención a los importantes cambios que se plantean, pues algunos suponen importantes medidas no siempre fáciles de cumplir, como por ejemplo la supresión del consentimiento tácito (prestado por la simple omisión del interesado) para ciertos tratamientos de datos personales.
Así, sin ánimo exhaustivo, pueden destacarse algunas de las principales novedades de la regulación, tomando ya como definitivas las que incorpora la normativa española en proyecto tras su plena aprobación.
Entre las medidas de necesaria implementación, se prevé el establecimiento en cada empresa o entidad del denominado “registro de las actividades de tratamiento”. Hasta el momento no es habitual que las entidades dispongan de ese “mapa de datos” y del ahora indispensable “mapa de flujos de datos”. Este registro ha de ser cíclicamente revisado y actualizado en función del habitual desarrollo de las actividades de la persona física o jurídica que procese los datos personales. Además, debe incluir la información establecida en el RGPD (art. 30), desde el nombre y datos de contacto del responsable o encargados de tratamiento y del delegado de protección de datos, hasta los fines del tratamiento o la descripción de las categorías de interesados y de las categorías de datos personales, incluida la descripción general de las medidas técnicas y organizativas de seguridad.
Como hemos adelantado, la nueva regulación excluye el denominado “consentimiento tácito”, derivado de la manifestación de la negativa del afectado al tratamiento de sus datos, normalmente obtenido por la vía de no responder a una comunicación previa de la empresa o entidad responsable del tratamiento. Se prevé también la obligación de que el consentimiento del afectado para una pluralidad de finalidades de procesamiento de datos conste que se otorga de manera específica e inequívoca para cada una de ellas. Entendemos que ya no es posible obtener ni prestar un consentimiento genérico o difuso para múltiples finalidades.
En relación con la capacidad de obrar y de prestar el consentimiento explícito, aparece una novedad respecto de los menores: se fija en 14 años la edad en que los menores ya pueden prestar su consentimiento personal para el tratamiento de sus datos, en consonancia con la normativa de otros países de nuestro entorno. Sin embargo, conviene tenerlo en cuenta en relación para el marketing online, pues algunas redes sociales como Facebook o Instagram no siempre confirman fehacientemente que los usuarios tengan una edad mínima de 14 años para crear una cuenta y pueden surgir situaciones ilegales si no se respetan dichas normas.
Otras de las novedades destacadas en la nueva regulación es el tratamiento de datos de fallecidos, más si continúan siendo destinatarios de las acciones de marketing. La importancia de esta cuestión obedece a la natural proliferación de perfiles de personas difuntas, por ejemplo, en redes sociales, bases de datos digitales, etc., a medida que Internet y la tecnología han ido adquiriendo longevidad. Se colma así un vacío legal de creciente importancia social y que tiene consecuencias prácticas para las entidades que realizan acciones de marketing respecto de posibles fallecidos. En estos supuestos es oportuno saber que los herederos pueden solicitar el acceso a los datos del finado, así como su oportuna rectificación o supresión, con sujeción, en su caso, a las instrucciones del fallecido. El efecto jurídico se concreta en la obligación del responsable del servicio al que se le comunique la solicitud de eliminación del perfil de proceder y sin dilación a la supresión.
Se regula también el modo de procesar las denominadas “categorías especiales de datos”, que incluyen aquellos reveladores del origen étnico o racial, opiniones políticas, religión o creencias filosóficas, militancia en sindicatos, tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual y las condenas e infracciones penales o medidas de seguridad conexas. La normativa establece que, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de los datos especialmente sensibles.
En consecuencia, será necesaria una habilitación adicional para el procesamiento, por ejemplo, el cumplimiento de obligaciones legales, la protección de intereses vitales del interesado o en los demás supuestos previstos en el artículo 9.2 del RGPD. En todo caso, conviene tener presente que el consentimiento explícito obtenido debe ser verificable. La entidad que lo ha recogido ha de estar en condiciones de acreditar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
Entre las obligaciones del responsable de tratamiento de marketing digital destacan igualmente la confidencialidad, en cuento deber de guardar secreto, la supresión de la obligación de inscripción de ficheros en la AEPD, la comunicación en su caso a la AEPD de operaciones de tratamientos de datos, la posibilidad de consulta a la AEPD sobre operaciones de tratamientos de datos y la regulación de los corresponsables en el tratamiento de datos personales, como por ejemplo cuando una entidad inserta los botones de acceso a redes sociales y servicios similares, según ha reconocido la reciente jurisprudencia.
Finalmente, como aspecto particular del marketing online, las decisiones individuales automatizadas, incluida la elaboración de perfiles, se regulan en el RGPD (art. 22) en sentido prohibitivo, pues todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (“profiling”), que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Más en particular, los prestadores de servicios de la sociedad de la información que elaboren a gran escala perfiles de los usuarios del servicio tienen obligación de designar un delegado de protección de datos (art. 34.1.d de la LOPDyGDD).
Se excepcionan algunos supuestos concretos, previa adopción de las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como cuando es necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; si está autorizado por el Derecho de la Unión o de los Estados miembros, o si se basa en el consentimiento explícito del interesado.
3. Conclusiones.
Una de las principales ventajas del marketing digital es que resulta 100% medible, a diferencia de la publicidad tradicional, y permite medir con precisión el impacto de una campaña, pero con la nueva regulación de protección de datos será necesario cumplir ciertas garantías legales que así lo hagan posible.
La regulación de directa aplicación en toda Europa, recientemente adaptada en España, atiende a nuevas circunstancias del entorno digital, con crecientes flujos transfronterizos de datos personales, en atención a la rápida evolución tecnológica y la globalización, para garantizar la protección de los datos personales, así como como la libre circulación de estos datos debidamente protegidos, y los derechos digitales de la ciudadanía.