MARKETING, INTERNET & COPYRIGHT

Newsletter

Riestra Abogados. 7 de Marzo de 2017

Reglamento (UE) 2016/679

1.-  Definiciones .

2.-  Regulación básica.

3.-  Comunicaciones comerciales y protección de datos.

4.-  Aspectos relevantes sobre la publicidad por vía telefónica.

5.-   Aspectos relevantes sobre la publicidad por vía electrónica.

6.-  Marketing viral.

7.-  El anonimato en internet.

8.-  Las cookies.

9.-  Publicidad online.

Los nuevos medios de publicidad online, personalizados y basados en la identificación del usuario, ha supuesto que la normativa de protección de datos se actualice, como por ejemplo con el Nuevo Reglamento Europeo de Protección de Datos 2016/679, que en su artículo 7 establece las condiciones para el consentimiento de la siguiente manera:

“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

El presente artículo, trata de aportar una visión general de las modalidades de publicidad y su implicación en la protección de datos personales.  

Definiciones  

Hemos de tener presentes dos definiciones que serán las piedras angulares a lo largo del presente artículo.

a. Se entiende por publicidad: “toda forma de comunicación realizada por una persona física o jurídica, pública o privada, en el ejercicio de una actividad comercial, industrial, artesanal o profesional con el fin de promover de forma directa o indirecta la contratación de bienes muebles o inmuebles, servicios, derechos y obligaciones.” (Art. 2 Ley 34/1988, 11 de noviembre, General de Publicidad)

b. Comunicación comercial: “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.” (Anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico)

Es interesante destacar de la definición de publicidad la alusión “con el fin de promover de forma directa o indirecta la contratación de bienes muebles o inmuebles, servicios…”, así como de Comunicación comercial, “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios…”. Es decir el término indirecto, prácticamente cubre toda forma de publicidad y comunicación comercial que podamos pensar que no está dentro del ámbito de la regulación, porque la simple comunicación de una marca estará dentro de la definición de publicidad o comunicación comercial, salvo que demostremos lo contrario. Por ejemplo, el envío de un correo electrónico solicitando a un cliente que se de alta en nuestro newsletter, es una comunicación comercial, y, salvo que tengamos su consentimiento, no se puede enviar.

Regulación básica

Cuando una empresa decide  lanzar al mercado un nuevo producto y/o servicio, lleva implícito la toma de decisiones respecto a qué tipo de publicidad es la más adecuada para la acción que pretenden llevar a cabo y, para ello es preciso conocer si dicha publicidad lleva asociado tratamiento de datos personales o no, pues de ello dependerá que en el supuesto de recabar datos de carácter personal, se tengan que establecer diferentes medidas de seguridad para proteger los derechos de los usuarios.

¿Qué tipo de publicidad implica tratamiento de protección de datos?

La Publicidad a través de la televisión NO implica tratamiento de protección de datos:

Si una empresa decide dar a conocer sus productos, promociones, etc a través de la TV, dicha publicidad no implicará la recabación directa de datos personales de los usuarios pues a través de dicho medio no es posible el feedback, entendido éste como la posibilidad de crear una base de datos personales, con el usuario o consumidor. Por tanto, la normativa básica que regulará dicha publicidad es:

o Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual.

o Ley 34/1988, de 11 de noviembre, General de Publicidad.

o Ley 3/1991, de 10 de enero, de Competencia Desleal.

o Normativa sectorial.

En cualquier caso, no olvidemos que si se trata de un concurso o sorteo televiso hay obligación de informar sobre el tratamiento de los datos, además del coste de la llamada y las características del servicio, entre otras obligaciones (art. 18 Orden PRE/361/2002, de 14 de febrero, de desarrollo, en lo relativo a los derechos de los usuarios y a los servicios de tarificación adicional, del título IV del Real Decreto 1736/1998, de 31 de julio, por el que se aprueba el Reglamento por el que se desarrolla el Título III de la Ley General de Telecomunicaciones; en connivencia con el art. 20 Ley General para la defensa de Consumidores y Usuarios).  

La publicidad a través del teléfono SÍ implica tratamiento datos personales:

¿Cuántas veces no hemos recibido una llamada para ofrecernos un producto? Pues bien, en esas situaciones en las que la llamada es grabada, y te piden determinados datos como: nombre, apellidos, correo electrónico… se está procediendo a la recabación de datos de carácter personal y, se tendrá que tener en consideración la normativa de protección de datos al respecto. Por tanto, la normativa de referencia en estos casos es:

o Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal y su normativa de desarrollo.

o Reglamento General de Protección de Datos 2016/679.

La publicidad a través de vía electrónica o por medio de los servicios de la sociedad de la información SÍ implica tratamiento de datos personales:

Con este tipo de publicidad, nos referimos a la transmitida a través de las páginas web, correos electrónicos, sms, etc. Por ejemplo, cuando se realiza la publicidad a través de páginas web (banners, pop ups, etc.) estamos utilizando la IP del usuario para a través de la misma colocar unas cookies que nos ayudan a generar una publicidad más certera y adecuada a las necesidades del usuario; por tanto, estamos tratando datos personales puesto que la IP del ordenador también es considerada un dato de carácter personal porque a través de ella podemos identificar al usuario de dicho terminal.

La normativa que debemos tener en consideración es:

o Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico.

o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal y su normativa de desarrollo.

o Reglamento General de Protección de Datos 2016/679.

Comunicaciones comerciales y protección de datos

a. ¿Qué hacer de forma previa al envío de comunicaciones comerciales?

De forma previa a la realización de cualquier envío de comunicaciones comerciales, debemos prestar atención a los siguientes aspectos:

Si no son clientes nuestros:

- Ficheros comunes de exclusión de envío de comunicaciones comerciales (art. 49.4 RLOPD); estos ficheros también son conocidos como Lista ROBINSON. Actualmente, la llamada Lista Robinson de la Asociación Española de Economía Digital es el único fichero de exclusión existente en España.

- Toda persona física inscrita en esta lista, manifiesta su oposición al envío de comunicaciones comerciales por medios digitales. Es decir, todas aquellas empresas que pretendan realizar envíos de comunicaciones comerciales deben consultar de forma previa esta lista, para excluir de sus envíos a todos aquellos usuarios que consten en sus bases de datos y se encuentren inscritos en dicha lista. En cualquier caso, recordemos que no podemos enviar comunicaciones comerciales  por vía electrónica sin consentimiento expreso de los usuarios.

Si son nuestros clientes:

- Revisión de la lista de exclusión propia. Es decir, el listado relativo a la base de datos de la empresa en cuestión y que hayan manifestado su oposición al tratamiento de datos. A aquellos usuarios que consten en esa lista, se les deberá excluir del envío de comunicaciones comerciales; no obstante se permite conservar los datos realmente imprescindibles para identificar a dicho usuario y no mandarle información comercial.

- También debemos verificar que se ha facilitado al usuario el derecho de oposición a recibir comunicaciones comerciales o, se ha recabado el consentimiento expreso para enviar comunicaciones comerciales (art. 15 Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos).

b. Tras el envío

- Tras el envío de las comunicaciones comerciales la empresa debe llevar un control de las solicitudes de oposición recibidas y proceder a la baja de dichos datos. Se debe ser diligente en cuanto a la gestión de los derechos ARCO y la elaboración y diseño de un procedimiento sencillo y gratuito para el ejercicio de los mismos y, cumplir taxativamente con la normativa   manteniendo de esta manera un fichero actualizado.

Aspectos relevantes sobre la publicidad por vía telefónica

La reforma de la normativa sobre consumidores y usuarios ha derivado en la limitación de la posibilidad de realizar publicidad por vía telefónica; para ello hemos de atender a los arts. 96 y ss. de la Ley General para la Defensa de Consumidores y Usuarios por la cual se establece lo siguiente:

- En ningún caso, las llamadas telefónicas deben hacerse al consumidor antes de las 9 horas ni más tarde de las 21 horas, tampoco podrán realizarse en festivos o en fines de semana.

- Si se van a utilizar técnicas de comunicación que empleen un sistema automatizado de llamadas sin que exista la intervención de una persona, o el telefax, será requisito imprescindible el consentimiento expreso de forma previa por parte del consumidor.

- Las llamadas de teléfono deberán llevarse a cabo desde un número de teléfono identificable; es decir; no se podrá emplear número oculto.

- Deberá informarse de forma clara, al inicio de cualquier conversación, la identidad de la empresa y el fin comercial de la llamada. Así mismo, deberá informarse sobre la identidad de la persona que está realizando la llamada y el vínculo que tiene con la empresa en nombre de la cual está llamando.

- Es muy importante saber que cuando el consumidor se pone en contacto con la empresa en relación a cualquier incidencia o reclamación, no debe ofrecérsele en la propia llamada nuevos servicios o productos.

Aspectos relevantes sobre la publicidad por vía electrónica

También hemos de tener presente los aspectos formales recogidos en la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI) relativos al contenido y el formato que debe cumplir la comunicación comercial por esta vía, entre los que destacamos los siguientes:

- Las comunicaciones comerciales deben ser perfectamente identificables, para ello se utilizará la palabra: “Publicidad”, “Publi”, “Newsletter”, etc. (art. 20.1 LSSI).

- La persona jurídica o física que realice el envío también debe ser claramente identificable en el mensaje (art. 20.1 LSSI).

- Es recomendable incluir el acceso directo a las condiciones de uso y la política de privacidad del sitio web (art. 20.1 LSSI).

- Se debe incluir la posibilidad de ejercitar los derechos ARCO de una forma sencilla y gratuita en cada envío (art. 21.2 LSSI).

Marketing viral

Cada vez es más común oír el término marketing viral, vídeos que se convierten en contenido viral, etc y todo ello porque se difunden muy rápido. Por ello, podemos definir el concepto de “marketing viral” como: aquel que consigue generar un interés y la disposición de realizar compras potenciales de una marca o producto a través de mensajes que se extienden como si de un virus se tratara; se realiza de forma sencilla y rápida de persona a persona; de ahí que las redes sociales sean el medio idóneo para realizar dicha publicidad.

Tomando como referencia el “Recomienda a un amigo” podemos observar:

i. Problemas: La Agencia Española de Protección de Datos (AEPD) ha sancionado en diversas ocasiones esta actividad, sobre la base de que existe un tratamiento de datos por la compañía que pone a disposición del “remitente” un sistema para su envío a los “receptores”, al considerar que concurre un tratamiento de datos de carácter personal no consentido por estos últimos. (Procedimiento Sancionador/00183 /2009 y Procedimiento Sancionador/00323/2007).

ii. Soluciones: El titular de la web no debe realizar un tratamiento de los datos personales (ni del emisor ni del receptor) y debe ser el usuario quien envíe la comunicación comercial por su cuenta y riesgo. Por ejemplo, técnicamente debe facilitarse un form-mail provisto por tercero que no recabe datos personales.

Sin embargo esta práctica sancionada por la Agencia Española de Protección de Datos, consecuencia del abuso en determinados sorteos online, no deja de ser incoherente con una de las razones de ser de Internet,  que es compartir noticias.

El anonimato en Internet

El objetivo que se persigue con el anonimato es más ambicioso que la simple ocultación del nombre de la persona o el usuario por el que se identifica. Más bien, lo que se persigue es la confidencialidad en las actividades que realizamos en la red y, sobretodo, lo que se pretende proteger es por un lado la protección del discurso anónimo (libertad de expresión) y la protección de datos personales; sin embargo, la realidad es algo más complicada si tenemos en consideración que la mayoría de las veces, las operaciones que realizamos son grabadas.

Por ejemplo, si usted mandan un correo electrónico a otra persona a través de un proveedor como Google o Yahoo revela que ambos estáis en contacto, y contiene una serie de metadatos como el lugar donde estuviste cuando se realizó el envío, la hora, el software utilizado, etc.

Lo mismo acontecería cuando visitamos una página web, pues ésta suele tener instalada unas cookies por las cuales el sitio web podrá conocer el lugar donde estabas cuando visitaste la página, la hora y, si de forma previa utilizaste el mismo dispositivo para acceder a la web. Por tanto, al acceder a una página cualquier habrás dado casi con toda probabilidad esta información, entre otra, al proveedor de servicio de internet, al motor de búsqueda y a terceros que permiten nuestro uso diario de internet.

Por ello, es importante que los usuarios (personas físicas o jurídicas) sean conscientes que las direcciones IP permiten identificar al terminal desde el que estás realizando las operaciones y, por tanto, son consideradas como datos personales (Informe 327/2003 AEPD).

Por último, para generar una mayor confianza en los proveedores de servicios y en los intermediarios, se debe fomentar que por su parte exista una diligencia suficiente con respecto a los datos de carácter personal que manejan para salvaguardar los derechos de los usuarios.

Las Cookies

En primer lugar, hemos de definir lo que se entiende por Cookies: “Son archivos permiten el almacenamiento en el terminal del usuario de cantidades de datos que van de unos pocos kilobytes a varios Megabytes” (definición dada por la Guía de Cookies de la AEPD accesible en esta guía).

En otras palabras, son archivos que contienen pequeñas cantidades de información que se descargan en el dispositivo del usuario cuando visita una página web. Su finalidad principal es reconocer al usuario cada vez que accede a la página web.

a. Tipo de cookies

1. Cookies técnicas. Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan.

2. Cookies de personalización. Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario.

3. Cookies de análisis. Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas.

4. Cookies publicitarias y de publicidad comportamental. Gestionan el espacio publicitario y las segundas además analizan la información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación.

b. Regulación legal

Debe aplicarse el artículo 22.2 de la Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI) (trasposición de la Directiva 2009/136/CE) conforme a la Guía de Cookies de la Agencia Española de Protección de Datos  (AEPD) y en resumen:

• Debe informarse a través de una primera capa (mediante “pop-up”, ventana emergente, etc.) sobre:

- El uso que se da de las cookies y si son propias o de terceros. Sólo hace falta informar sobre aquellas cookies que no están exceptuadas, tal y como dispone el artículo 22.2 de la LSSI (cookies técnicas).

- Son propias: aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por titular del sitio web y desde el que se presta el servicio solicitado por el usuario.

- Son de terceros: aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el titular del sitio web, sino por otra entidad que trata los datos obtenidos través de las cookies. Del mismo modo, las cookies que sean instaladas desde un equipo o dominio gestionado por el titular del sitio web pero la información que se recoja mediante éstas, sea gestionada por un tercero, no son consideradas como cookies propias.

- En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies (ej. mediante la navegación usted acepta la Política de Cookies).

- Un enlace a una segunda capa informativa en la que se incluye una información más detallada.

Publicidad online

a. Tipos de publicidad Online:

- Paid Search: enlaces patrocinados tipo adwords de Google.

- Publicidad contextual (keywords.)

- Publicidad personalizada: Ejm: Usuario registrado.

- Geotargeting (IP).

- Publicidad social: Facebook, Linkedin, Instagram…

- Retargeting o remarketing.

- Publicidad comportamental.

b. Publicidad comportamental:

i. Definición

“aquella publicidad que se basa en la observación continuada del comportamiento (online) de los individuos” (Dictamen 2/2010 del Grupo de Trabajo del Art. 29 sobre publicidad comportamental en línea, de 22 de junio de 2010.)

ii. Características

- El rastreo de la navegación (tracking cookies);

- La elaboración, por parte de empresas, de perfiles de navegación con base en determinados criterios;

- La remisión de una determinada publicidad a un concreto navegador para que aparezca durante la navegación del usuario.

iii. Intervinientes:

• Los anunciantes.

• Los editores web (web publisher): Publicidad “on site” (first party) o mediante intermediario (third party).

• Los ad networks: intermediarios entre anunciantes y editores (Ejm. DoubleClick).

• Los ad servers: envían la publicidad.

iv. Indicaciones a tener en cuenta para la elaboración de perfiles (art. 22 Reglamento General Protección de Datos 2016/679):

- Se deberá informar en la web sobre la posibilidad de elaboración de perfiles de usuarios para su segmentación, las herramientas que se utilizarán y la finalidad.

- Recabar el consentimiento de forma clara y explícita

- Ofrecer el derecho a ejercitar los derechos ARCO

c. Códigos de conducta: conjunto de normas no impuestas legal ni reglamentariamente, en el que se definen determinados comportamientos o prácticas comerciales a los que se encuentran sometidas las empresas que deciden adherirse al mismo.

- EASA Best Practice Recommendation on Online Behavioural Advertising

Obligaciones de información según los códigos de conducta:

-En su propio sitio web:

- Quién es el responsable de las cookies

- Qué datos captan.

-Qué finalidad tiene el uso de los datos.

-En la publicidad o alrededor de ella:

- Icono informativo universal y que facilita el acceso a una herramienta para no permitir este tipo de publicidad.

- http://www.youronlinechoices.com/es/

Formas de Publicidad y Protección de Datos.

Suscribase a nuestro Newsletter y reciba periódicamente novedades de marketing legal.

De interés

Nuevo Reglamento Europeo de Protección de Datos