Este documento trata sobre el marco normativo de la protección de datos en España y la Unión Europea y cómo se aplica a la actividad publicitaria. Explica que el tratamiento de datos con fines publicitarios requiere el consentimiento del interesado o puede justificarse por el interés legítimo de la empresa, siempre que se realice una ponderación de derechos y no prevalezcan los derechos fundamentales de los afectados. Asimismo, analiza los requisitos específicos para cada canal publicitario según la normativa aplicable.
Protección de datos y publicidad: el interés legítimo
1. JORNADA DE PROTECCIÓN DE DATOS
CEOE-ADIGITAL
MADRID, 8 MAYO 2012
JESÚS RUBÍ NAVARRETE
ADJUNTO AL DIRECTOR
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
1
Agencia Española de Protección de Datos
2. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
1. MARCO NORMATIVO
Europeo:
• Directiva 95/46/CE
• Directiva 2002/58/CE (modificada por Directiva
2009/136/UE)
Español:
• LOPD y RLOPD
• LGT y Real Decreto 425/2005 (RSU) (Modificada
por RD Ley 13/2012)
• LSSI (Modificada por RD Ley 13/2012)
2
Agencia Española de Protección de Datos
3. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
2. El marco normativo y los canales publicitarios:
• La Ley General y las leyes especiales
• LSSI
Comunicaciones comerciales por medio de
comunicaciones electrónicas (e-mail, SMS,
MMS,…)
• LGT
Canal telefónico
• LOPD
Canal postal
Canal telefónico con datos personales
3
Agencia Española de Protección de Datos
4. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
• La incidencia de la STJUE de 24/11/2011
Efecto directo del artículo 7.f) de la Directiva 95/46/
CE
4
Agencia Española de Protección de Datos
5. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
3.- La LSSI y la actividad publicitaria
• Comunicación comercial: f) «Comunicación comercial»: toda
forma de comunicación dirigida a la promoción, directa o
indirecta, de la imagen o de los bienes o servicios de una
empresa, organización o persona que realice una actividad
comercial, industrial, artesanal o profesional. A efectos de esta
Ley, no tendrán la consideración de comunicación comercial los
datos que permitan acceder directamente a la actividad de una
persona, empresa u organización, tales como el nombre de
dominio o la dirección de correo electrónico, ni las
comunicaciones relativas a los bienes, los servicios o la imagen
que se ofrezca cuando sean elaboradas por un tercero y sin
contraprestación económica.
• PS/00183/2009: Dos entradas VIP gratis para el concierto de Madonna
• E/00269/2009 Archivo de actuaciones (Inmobiliaria)
5
Agencia Española de Protección de Datos
6. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
• Consentimiento previo, expreso e informado
• Excepciones:
– Relación contractual previa
– Obtención lícita de los datos (información sectores objeto
de la publicidad según RLOPD)
– Promoción de productos o servicios de la propia empresa
– Similares a los contratados inicialmente
• Derecho de oposición
– Procedimiento sencillo y gratuito
– En el momento de la recogida y en cada comunicación
comercial
– Correo electrónico: inclusión de una dirección electrónica
(Prohibición de comunicaciones que no la incluyan)
6
Agencia Española de Protección de Datos
7. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
4.- La LSSI y la actividad publicitaria
– Dispositivos de almacenamiento y recuperación de la
información en equipos terminales de los destinatarios
(cookies):
• Información clara y completa sobre su utilización
(especialmente sobre la finalidad según LOPD)
• Consentimiento
– Uso de parámetros adecuados del navegador o de otras
aplicaciones
– Si es técnicamente posible y eficaz
– Acción expresa para configurar el navegador durante su
instalación o actualización
7
Agencia Española de Protección de Datos
8. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
5.- La LGT y la actividad publicitaria
– Tratamiento de datos de tráfico por los operadores
• Promoción de servicios de comunicaciones electrónicas
o prestación de servicios con valor añadido
• Consentimiento informado (admisible el consentimiento
tácito transcurrido un mes desde la solicitud)
– Tratamiento de datos de localización distintos de los de
tráfico (ubicación geográfica del equipo terminal)
• Prestación de servicios con valor añadido
• Consentimiento expreso de abonados y usuarios
• Dictamen 5/2005 (GT 29)
8
Agencia Española de Protección de Datos
9. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
6.- La LGT y la actividad publicitaria
• Llamadas no solicitadas con fines de venta directa:
– Llamadas automáticas sin intervención humana o por fax:
Consentimiento previo, expreso e informado
• Otras llamadas (operador)
– Sin datos personales:
• Derecho de oposición
• Consentimiento expreso: Excluidos de las guías
telefónicas o incluidos que opten por marcar no recibir
publicidad
9
Agencia Española de Protección de Datos
10. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
7.- La LOPD y la actividad publicitaria a través del canal
telefónico
– Llamadas no solicitadas con fines de venta directa con
datos personales (no automáticas):
• Consentimiento informado (admisible el tácito
conforme a LOPD)
• Interés legítimo (art. 7.f)
10
Agencia Española de Protección de Datos
11. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
• Balance entre el interés legítimo y el derecho del afectado
• Excepciones:
– Abonados excluidos de la guía
– Abonados incluidos que marcan no recibir publicidad
– Afectados incorporados a la Lista Robinson (ficheros
de exclusión)
11
Agencia Española de Protección de Datos
12. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
8.- La LOPD y la actividad publicitaria (canal postal y
medios no convencionales)
12
Agencia Española de Protección de Datos
13. Premisa: STJUE 24/11/2011
• Análisis efectuado por la sentencia
– El artículo 7 f):
• Establece dos requisitos acumulativos para que un
tratamiento de datos personales sea lícito:
– Por una parte, que ese tratamiento de datos personales sea
necesario para la satisfacción del interés legítimo perseguido
por el responsable del tratamiento o por el tercero o terceros
a los que se comuniquen los datos.
– Y, por otra parte, que no prevalezcan los derechos y
libertades fundamentales del interesado (apartado 38)
• Exige una ponderación de los derechos e intereses en
conflicto, que dependerá, en principio, de las
circunstancias concretas del caso particular de que se
trate y en cuyo marco la persona o institución que efectúe
la ponderación deberá tener en cuenta la importancia de
los derechos que los artículos 7 y 8 de la Carta de los
Derechos Fundamentales de la Unión Europea confieren
al interesado (apartado 40)
13
Agencia Española de Protección de Datos
14. • Análisis efectuado por la sentencia
– Medidas legislativas de los Estados Miembros
• No pueden (apartados 32, 35 y 46)
– Añadir al artículo 7 de la Directiva 95/46 nuevos
principios relativos a la legitimación de los
tratamientos de datos personales
– Imponer exigencias adicionales que vendrían a
modificar el alcance de alguno de los seis principios
establecidos en dicho artículo
• Si pueden
– Precisar alguno de esos principios
– Establecer los principios que rigen la ponderación
prevista en el artículo 7 f)
14
Agencia Española de Protección de Datos
15. • Análisis efectuado por la sentencia
– El artículo 5 de la Directiva otorga a los Estados miembros
un margen de maniobra en la aplicación de las
disposiciones de la misma que
• No permite a los Estados Miembros establecer principios
relativos a la legitimación de los tratamientos de datos
personales distintos a los enunciados en el artículo 7 ni
modificar, mediante exigencias adicionales, el alcance de
los esos principios (apartado 36),
• Pero nada se opone a que, en ejercicio del margen de
apreciación los Estados miembros establezcan los
principios que deben regir la misma (apartado 46)
• En particular, cabrá tomar en consideración para valorar
la gravedad de la lesión producida el hecho de que los
datos figuren o no en fuentes accesibles al público
(apartados 44 y 45)
15
Agencia Española de Protección de Datos
16. STS de 8/2/2012
• Consideraciones previas (pretensiones en los recursos)
– No cabe entrar a valorar la LOPD (pretensión de nulidad o
inaplicabilidad)
– No es preciso efectuar consideraciones sobre el efecto
directo del 7 f)
• Efectos jurídicos inmediatos sin necesidad de normas
nacionales para su aplicación
• En relación con el artículo 10.2 a) RLOPD
– El que la norma reglamentaria establezca como excepción a
la necesidad del consentimiento del interesado aquellos
supuestos en que el tratamiento o la cesión están
autorizados con una norma con rango de ley o una norma de
derecho comunitario, ninguna adición limitativa supone con
respecto a la regulación
– No existe una adición limitativa a las causas establecidas en
el artículo 7 de la Directiva
16
Agencia Española de Protección de Datos
17. • En relación con el artículo 10.2 b) RLOPD
– No cabe alegar que es un mero “desarrollo armónico” de la
LOPD
– Prevé una regla que no se contiene en la Directiva
• Irrelevancia del hecho de que la técnica normativa (de
excepciones al consentimiento) sea distinta a la de la
Directiva (de lista)
– Supone una extralimitación en relación con los criterios de
la Directiva, al introducir un requisito adicional
– No puede ser interpretado como mero elemento de
ponderación, habida cuenta de la redacción del precepto
(conjunción “y”)
• Podría haber sido válido en caso de haberse redactado de
forma tal que sí pudiera interpretarse como criterio de
ponderación
17
Agencia Española de Protección de Datos
18. Consecuencias
• En relación con el régimen de la LOPD y el RLOPD
– No es precisa una reforma legislativa
• El artículo 7 f) debe entenderse como añadido a los
supuestos legitimadores establecidos en los artículos 6 y
11 LOPD y 10 RLOPD desde la fecha de publicación de la
STJUE (efecto directo)
• El artículo 10.2 b) RLOPD ha sido anulado y no podrá
aplicarse
– El concepto de fuentes accesibles al público como categoría
jurídica sigue existiendo
• La STS no afecta a la definición del RLOPD ni a los
restantes supuestos en que se hace referencia a estos
ficheros
– Efecto de desplazamiento de la referencia a las fuentes
accesibles al público de los artículos 6 y 11 LOPD como
consecuencia de la STS (actos de aplicación)
18
Agencia Española de Protección de Datos
19. Efectos de las sentencias
sobre estos supuestos
• Fuentes accesibles al público
– Siguen existiendo como categoría jurídica
(definiciones 3 J) LOPD y 7 RLOPD)
– No pueden ser consideradas per se legitimadoras
en el sentido del artículo 10.2 b) anulado ni de sus
equivalentes de la LOPD (efecto desplazamiento)
– Sí pueden ser consideradas como criterio de
ponderación
• Referencia efectuada por la propia STJUE
• Alcanzará a cualquier categoría de datos
libremente accesibles
19
Agencia Española de Protección de Datos
20. • Fuentes accesibles al público y datos públicos:
necesidad de ponderación
Menor riesgo
Fuentes accesibles al público de lesión
(concepto legal)
En todo
caso
Datos en registros públicos ponderación
(Normativa específica)
Otros datos accesibles al público Mayor riesgo
de lesión
20
Agencia Española de Protección de Datos
21. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
• Tratamiento de datos de clientes por proveedores de
energía, agua o similares telecomunicaciones para la
promoción comercial de servicios o productor de terceros:
– Dictamen 12/2011 (GT 29) sobre la medición inteligente:
• Interés legítimo del responsable (prestación del
servicio con mayor eficiencia del suministro y
consumo de energía)
• Pese a ser un objetivo público razonable no
prevalece sobre los derechos e intereses de los
internados en todos los casos
• Tratamiento invasivos o desproporcionados:
– Elaboración de perfiles innecesarios para la finalidad del
servicio
21
Agencia Española de Protección de Datos
22. EL INTERÉS LEGÍTIMO EN LA ACTIVIDAD
PUBLICITARIA
– Transmisión de datos a terceros
– Conocimiento o consentimiento
– Derecho de oposición a la instalación del sistema
22
Agencia Española de Protección de Datos
23. MUCHAS GRACIAS
23
Agencia Española de Protección de Datos