RGPD: las bases legales para recopilar datos personales

Si bien esto puede parecer un desarrollo excepcional para muchas empresas estadounidenses sujetas a la normativa, en muchos países de la Unión Europea ya está en ...
Actualizado: 17 de diciembre de 2018

El Reglamento General europeo de Protección de Datos (RGPD) entrará en vigor en mayo de 2018 y uno de los temas más controvertidos en el sector del marketing digital es si los identificadores técnicos como las cookies y los ID de publicidad móvil se consideran o no datos personales. Si bien esto puede parecer un desarrollo excepcional para muchas empresas estadounidenses sujetas a la normativa, en muchos países de la Unión Europea ya está en vigor. La única diferencia es que ahora todos los estados miembros de la UE deben tratar las cookies y otros identificadores técnicos como datos personales.

¿Qué significa esto y cómo se aplica a tu empresa?

El RGPD ofrece seis bases legales para la recopilación y el procesamiento de datos en Europa. Por lo tanto, para recopilar datos personales de cualquier tipo, debe haber una base legal:

  1. Interés vital del individuo
  2. Interés público
  3. Necesidad contractual
  4. Cumplimiento de obligaciones legales
  5. Consentimiento inequívoco del individuo
  6. Interés legítimo del responsable del tratamiento de datos

Es importante señalar que todas estas seis bases legales tienen el mismo valor legal, lo que significa que son autosuficientes y exclusivas entre sí. Para las empresas de marketing, de marketing digital o para aquellas que recopilan datos con fines de marketing, las dos bases legales que podrían aplicarse son: (1) consentimiento inequívoco del individuo y (2) interés legítimo del responsable del tratamiento de datos.

¿Cuál de estas bases permitiría a una empresa recopilar datos personales como identificadores técnicos (cookies, ID móvil, etc.)?

En Criteo, nuestra visión es que el consentimiento inequívoco es la base más aplicable para nuestros clientes y partners que recopilan datos personales, incluyendo los identificadores técnicos.

¿Qué significa tener el “consentimiento inequívoco del individuo”? ¿Cómo afecta esto al registro de datos de identificadores online como las cookies?

En primer lugar, debemos establecer una distinción entre el consentimiento inequívoco y el consentimiento explícito. El consentimiento explícito significa que el usuario debe dar su conformidad. Esto se aplica a datos personales sensibles como la etnia, religión, orientación sexual, afiliación política y estado de salud. Es importante destacar que los identificadores online (por ejemplo, cookies) se clasifican como datos personales no sensibles por lo que no se requiere una aceptación explícita.

Prevemos que la normativa de consentimiento inequívoco se basará en las posiciones existentes de los organismos locales de protección de datos. Por ejemplo, dicho organismos en España [1], uno de los más estrictos de Europa, publicó hace poco las directrices sobre el RGPD y declaró que el consentimiento puede ser inequívoco si se deduce de la acción del usuario – y el caso específico utilizado por el organismo español es el de un usuario que continúa navegando en un sitio web que usa cookies para monitorear su navegación.

Los clientes y los Publisher de Criteo no procesan datos sensibles, sino que trabajan con datos relacionados con la navegación web, la intención de compra y el historial de compra vinculado a identificadores técnicos seudonimizados.

(Más información sobre el tipo de datos que recopila Criteo y sobre cómo el RGPD afecta a nuestros métodos.)

Las condiciones requeridas por el RGPD para un consentimiento inequívoco válido son muy similares, sino idénticas, a las condiciones ya detalladas por el Grupo de Trabajo del Artículo 29 en un dictamen anterior [2]:

  • Información específica: “Para que sea válido, el consentimiento debe ser específico y estar basado en la información que se proporciona al individuo. En otras palabras, no se acepta el consentimiento general que no especifica la finalidad concreta del procesamiento de datos”.
  • Tiempo: “Como norma general, el consentimiento debe darse antes de que comience el procesamiento de datos”.
  • Elección activa: “El consentimiento debe ser inequívoco. Por lo tanto, el procedimiento para solicitar y dar consentimiento no debe dejar lugar a dudas sobre la intención del interesado. En principio, no hay límites en relación al modo en que se solicita el consentimiento. Sin embargo, para que el consentimiento sea válido, debe ser una indicación activa de los deseos del usuario. La expresión mínima de manifestación podría ser cualquier tipo de señal, suficientemente clara para poder indicar la voluntad del interesado y comprensible por el responsable del tratamiento de datos”.
  • Total libertad: “El consentimiento solo puede ser válido si el interesado puede ejercer una elección real, y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas significativas si no da su consentimiento”.

¿Cómo se aplica el “interés legítimo del responsable del tratamiento de datos”?

Para que el interés se considere legítimo, la finalidad del procesamiento de datos debe ser razonable con lo que esperan los usuarios. El procesamiento de datos personales con fines de marketing directo puede considerarse como una actividad considerada de un interés legítimo. Sin embargo, este interés legítimo no puede anular los derechos fundamentales de privacidad de los usuarios y deben implementarse medidas de seguridad adecuadas para mitigar potenciales riesgos para la privacidad de los usuarios. Las normas básicas que deben cumplirse para alegar un interés legítimo son:

  • Una explicación de qué datos se recopilan, la finalidad específica con la que se recopilan dichos datos y cómo afecta eso a la experiencia online:
    • Por ejemplo: “Nuestra [web/app] usa cookies/ID de publicidad con fines publicitarios. Esto nos permite mostrar nuestros anuncios a los consumidores que están interesados en nuestros productos en las web y apps de nuestros partners. Las tecnologías de retargeting utilizan cookies o ID de publicidad para mostrar anuncios basados en el comportamiento de navegación previo. Para leer más y/o rechazar estos servicios, consulta la política de privacidad que se indica a continuación”

¿Cuáles son las normas para establecer un interés legítimo?

Algunas preguntas clave que toda empresa debe poder responder para definir si hay un interés legítimo:

  • ¿Cuál es la finalidad de la operación?
  • ¿Es necesario cumplir uno o más objetivos organizacionales específicos?
  • ¿El RGPD o cualquier otra legislación nacional identifican específicamente la actividad de procesamiento como una actividad legítima, sujeta a la realización de una prueba comparativa y unos resultados positivos?
  • ¿Hay alguna otra manera de lograr este objetivo?
  • ¿El individuo espera que la actividad de procesamiento tenga lugar?
  • ¿Cuál es la naturaleza de los datos procesados? ¿Estos datos tienen protecciones especiales con la aplicación del RGPD?
  • ¿El procesamiento limitaría o influiría negativamente en los derechos de las personas?
  • ¿Se ofrece un aviso de procesamiento justo? Si es así, ¿cómo se hace? ¿Es lo suficientemente claro y directo con respecto a las finalidades del procesamiento?

A medida que las empresas del sector de marketing digital actualizan sus prácticas para cumplir con el RGPD, es importante recordar que los ciudadanos de le UE son muy conscientes de la publicidad personalizada, comprenden los identificadores con los que se lleva a cabo y esperan ver publicidad relevante para ellos. Criteo se asoció con IPSOS para llevar a cabo una encuesta dirigida a los consumidores para conocer las expectativas de los usuarios de la UE en relación a la publicidad online personalizada. En el estudio participaron 3.000 usuarios de internet con edades comprendidas entre 16 y 65 años de Francia, Reino Unido y España, estableciendo una muestra demográfica representativa en función al sexo, la edad, la región y el nivel de ingresos. El estudio puso de manifiesto que:

  • El 90% de los usuarios de internet conoce el retargeting basado en el comportamiento previo
  • El 68% sabe que las cookies permiten la personalización y el targeting en la publicidad
  • El 75% espera recibir anuncios que se ajusten a sus intereses
  • El 73% prefiere ver anuncios relevantes en lugar de pagar una tarifa adicional para evitar ver anuncios

Seguiremos de cerca las directrices y los consejos publicados por los organismos locales de protección de datos a medida que se acerque el cumplimiento del enfoque del RGPD. Hasta que entre en vigor, infórmate sobre lo que está haciendo Criteo para cumplir con el RGPD y sobre lo que debes saber sobre las dos categorías de datos personales en el RGPD.

[1] Guía del Reglamento General de Protección de Datos para responsables de tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf
[2] Grupo de Trabajo del artículo 29 – Orientación de 2013 sobre la obtención del consentimiento para la instalación de cookies:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf