Sara María Fernández: Legitimación para el tratamiento de datos de clientes con fines de marketing en el nuevo Reglamento Europeo: El fin de los contratos “con casilla”.
Día Europeo de Protección de Datos 2016
Monográfico de la Asociación Profesional Española de Privacidad
+
+
Sara María Fernández
Telefónica España
Gerente Asesoría Servicios Minoristas y Privacidad. Retail Services & Privacy Legal Manager.
+
En el nuevo Reglamento Europeo de Protección de Datos se establece el consentimiento como una de las bases para el tratamiento de datos personales, entendiéndose por tal una declaración o clara acción afirmativa que implique que el titular está de acuerdo con dicho tratamiento.
En una primera lectura, esta redacción podría interpretarse como que el tratamiento de los datos de sus clientes con fines de marketing por parte del prestador de un servicio requeriría de esa acción afirmativa por parte del cliente, cuando hasta ahora, el Reglamento español de Protección de Datos admitía el consentimiento informado, en el que no se requería acción alguna por parte del titular de los datos, y bastaba con un simple preaviso de un mes (art.14 del RD 1720/2007).
Sin embargo, el nuevo Reglamento Europeo incorpora el interés legítimo (art. 6.1 f) como una de las bases que legitiman el tratamiento de datos, con la condición de que no prevalezcan derechos fundamentales, y que el tratamiento en cuestión responda a las expectativas razonables que hubiera podido tener el titular de los datos, en el momento y habida cuenta del contexto en que fueron recabados. Y entre las finalidades para las que puede ser de aplicación del principio del interés legítimo, el Reglamento menciona expresamente el marketing directo (además de la prevención del fraude, la seguridad de las redes y sistemas de información, así como las transmisiones de datos relativas a clientes o empleados entre empresas pertenecientes a un mismo Grupo empresarial).
De esta forma, los datos personales recabados de un titular en el ámbito de un contrato de prestación de servicios podrán ser utilizados con finalidades de marketing directo, una vez entre en vigor el nuevo Reglamento Europeo, sin necesidad de obtener el consentimiento del cliente (ya sea expreso o meramente informado). Sin perjuicio de lo anterior, aunque el tratamiento se base en interés legítimo, el Reglamento (art.14) establece la obligación de informar al titular de los datos, en el momento de recabar los datos de, entre otros, los siguientes extremos:
- Identidad y datos de contacto del responsable del tratamiento
- Las finalidades y legitimación para el tratamiento
- Cuál es el interés legítimo que se persigue
- Período durante el cual se tratarán los datos
- Derechos que puede ejercer el titular, como rectificación, cancelación, oposición y derecho a portabilidad de los datos
- Si está previsto algún tratamiento posterior, y si se adoptan decisiones automáticas en virtud de perfiles elaborados a partir de los datos recabados.
Por otra parte, cuando la base para el tratamiento (incluida la elaboración de perfiles) sea el interés legítimo, se establece como regla general que en caso de oposición del titular el responsable deberá cesar en el tratamiento salvo que demuestre que los intereses legítimos en los que se basa prevalecen sobre los derechos del titular. No obstante, la anterior regla general tiene su excepción en los tratamientos (incluida la elaboración de perfiles) cuya finalidad sea el marketing directo, en cuyo caso se reconoce a los titulares el derecho a oponerse en cualquier momento al tratamiento de sus datos.
De todo lo anterior puede deducirse que, como novedad, el nuevo Reglamento permitirá tratar los datos personales de los clientes en el ámbito de contratos de prestación de servicios y la elaboración de perfiles con finalidades de marketing directo siempre que en el contrato se recoja la información adecuada, incluida la relativa al derecho de oposición, sin que sea necesario recabar su consentimiento mediante la inclusión, en el propio contrato, de una casilla mediante la que el titular pueda oponerse a dicho tratamiento. Sin perjuicio de todo lo anterior, en caso de que en el ámbito de las actividades de marketing directo vaya a realizarse el envío de comunicaciones comerciales por medios electrónicos, seguirá siendo obligatorio recabar previamente el consentimiento expreso de los destinatarios de las mismas, en cumplimiento del artículo 21 de la Ley 34/2002, de Servicios de la Sociedad de la Información. Lo que implica que muy probablemente siga siendo conveniente el empleo de “la casilla” para este fin.
Sara María Fernández
Telefónica España
Gerente | Asesoría Servicios Minoristas y Privacidad. Retail Services & Privacy Legal Manager.
+
+
Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.