viernes, 15 de julio de 2016

LAS CASILLAS DE MARCACIÓN: EL CONSENTIMIENTO PARA FINES ADICIONALES EN LA NORMATIVA DE PROTECCIÓN DE DATOS





Como norma general, los responsables del fichero pueden tratar aquellos datos necesarios para la gestión de una relación contractual (esto es, los datos de empleados, clientes, etc.) sin obtener el consentimiento de los afectados, en la medida en que sean necesarios para el mantenimiento de dicha relación. Así, el apartado segundo del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), dispone:

“2. No será preciso el consentimiento cuando los datos de carácter personal (…) se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (…).”

El citado artículo 6.2 de la LOPD debe ser completado con el artículo 15 del Real Decreto  1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD). Este precepto establece lo siguiente:

“Artículo 15. Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

En definitiva, cualquier uso que haga el responsable del fichero de los datos recogidos en virtud de un contrato, que no sea necesario para la gestión del mismo, no queda amparado por la excepción del artículo 6.2, especialmente, si de lo que se trata es de enviar publicidad.

El artículo 15 del RLOPD determina que se habrá de facilitar al titular de los datos un mecanismo que permita oponerse a finalidades adicionales en el mismo momento en el que los datos son recogidos (no en un momento posterior, ya que esto equivaldría a revocar el consentimiento prestado). Igualmente, establece que este deber se entenderá cumplido al facilitar una casilla de marcación que permita manifestar la oposición, y que no se encuentre previamente marcada.

La referencia a “manifestar expresamente la negativa al tratamiento”, nos permite redactar el texto en sentido negativo. Esto es, se podrá indicar “marque esta casilla si no desea recibir publicidad” (“opt-out”), en lugar de “marque esta casilla si desea recibir publicidad” (“opt-in”). Desde el punto de vista del marketing, la diferencia entre un texto y otro no es baladí. Se suele preferir el primero, al menos hasta la fecha, porque la tendencia del usuario es no marcar la casilla (especialmente, cuando se trata de documentos en papel, donde, siendo realistas, en la mayor parte de los casos, una persona media no llega a enterarse de que existe una casilla que le permite oponerse a los tratamientos publicitarios).
Las comunicaciones comerciales por medios electrónicos

La obligación descrita en el artículo 15 del RLOPD es acorde a lo dispuesto en el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE). 

Bajo el epígrafe de “prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes”, se establecen dos normas diferentes en función de si el destinatario del envío es o no cliente del emisor.

Debemos recordar que la LSSICE se aplica tanto a personas físicas como a personas jurídicas, por lo que estas normas se han de tener en cuenta también cuando se trata de remitir publicidad por e-mail a direcciones corporativas o excluidas del ámbito de aplicación de la LOPD.

La norma para los no clientes viene fijada en el apartado primero, y consisten en la prohibición de envío de comunicaciones, salvo que se cuente con el consentimiento expreso del destinatario:

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

La anterior obligación se suaviza para el caso de los clientes en el apartado segundo del mismo artículo:

“2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”

La redacción este apartado segundo no puede considerarse, desde luego, un ejemplo de buena técnica legislativa. Pero aún así, no cabe muchas dudas, leyendo el texto en su conjunto, de que en el caso de clientes:

1. Se podrá remitir publicidad por medios electrónicos relacionada con productos y servicios contratados,

2. Siempre que se haya dado a éste la oportunidad de oponerse a dichos envíos en el momento de la recogida de los datos, y

3. en cada comunicación comercial que se le dirija se facilite un mecanismo para manifestar su oposición a recibir nuevos mensajes.

En definitiva, como se señalaba, y en contra de lo que una lectura parcial del artículo 21.2 de la LSSICE pueda sugerir, esta norma es acorde con la prevista en el artículo 15 del RLOPD. La LSSICE no permite el envío de publicidad por medios electrónicos a clientes de forma automática. Así, las casillas de marcación o “check boxes” a los que nos hemos acostumbrado ya, tanto en formularios electrónicos como en soporte papel, parecen inevitables cuando se quieren tratar datos de clientes para fines promocionales (lo cual ocurrirá en la práctica totalidad de los casos). Si bien es cierto que ni la LOPD ni la LSSICE imponen de forma tajante su uso, los intentos de los responsables del fichero por encontrar mecanismos alternativos han sido examinados con lupa por la Agencia Española de Protección de Datos (AEPD), dando como resultado en muchos casos  la imposición de multas.
Casos prácticos

A modo de ejemplo de lo anteriormente expuesto, resulta interesante analizar la resolución R/01827/2014 (PS/00305/2014), en la que una entidad bancaria es sancionada con 35.000 euros por distintas deficiencias detectadas en su cláusula informativa para clientes, entre otras, no ofrecer un mecanismo de oposición a tratamientos adicionales que no se ajusta a lo exigido por el artículo 15 RLOPD.

La entidad sancionada procedió a modificar las condiciones generales de algunos de sus servicios. Quizás con la intención de asegurar una adecuada comunicación de las mismas, no permitía realizar trámites on-line a clientes que venían operando habitualmente por este medio sin aceptarlas previamente. Estas condiciones incluían, por lo que se refiere a protección de datos, la posibilidad de tratar los datos para finalidades adicionales a la gestión del contrato, como resulta habitual. A este respecto, la cláusula de protección de datos, por lo demás, bastante extensa y completa, señalaba:

“Específicamente el Banco informa al Cliente que en el momento de la presente contratación o con posterioridad a la misma y en cualquiera de sus oficinas, pueden manifestar su negativa al tratamiento por el Banco de sus datos personales para cualquiera de las finalidades indicadas en el apartado II de la presente Cláusula".

Evidentemente, el usuario que utilizaba los servicios on-line, no podía oponerse al tratamiento salvo que cerrara su sesión y se bajara a la calle a buscar la sucursal más cercana. La AEPD considera que no prever “en ningún lugar la posibilidad de que el interesado pueda manifestar expresamente en el cuerpo del propio contrato su voluntad favorable o contraria al tratamiento de sus datos para fines no relacionados directamente con el desarrollo del contrato y la prestación del servicio” entra “en colisión directa  con la exigencia contenida en el mencionado artículo 15.”

A mayor abundamiento, los siguientes párrafos de la argumentación jurídica de la AEPD, explican que, al producirse la oposición al tratamiento en un momento posterior a la formalización del contrato, se trata de una revocación del consentimiento. Es decir, se impone al afectado la aceptación de un fin no necesario para la gestión del contrato, y si desea que sus datos no se apliquen a dicha finalidad, debe revocar el consentimiento en un acto posterior:

“Así mismo señalar que el procedimiento que tiene instaurado la entidad denunciada es un procedimiento de revocación del consentimiento una vez que éste obligatoriamente ha sido dado, como se desprende del hecho probado segundo, que no ofrece al afectado la posibilidad de negarse al tratamiento de sus datos en el momento de la contratación, a pesar de lo manifestado en la propia cláusula.

En consecuencia, en tanto no se permita al interesado manifestar su voluntad, (antes de que el consentimiento se entienda prestado) en el momento de la contratación en relación a los tratamientos no vinculados directamente con la prestación del servicio y no exista una manifestación del consentimiento del interesado para el tratamiento de sus datos con fines distintos al objeto principal del contrato no puede considerarse conforme a lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal, ya que se obliga a la aceptación de las condiciones y a una posterior revocación en su caso, por tanto, no existe la posibilidad de negar el consentimiento en el momento de la contratación, suponiendo dicha circunstancia una vulneración del cumplimiento de las exigencias recogidas en el citado artículo 5.1.a) de la LOPD en su relación con lo previsto en el artículo 15 del RDLOPD.

Por tanto los mecanismos de rechazo deben estar incluidos en el propio documento a fin de posibilitar que el afectado pueda ser informado y manifestar, en el mismo momento de facilitación de sus datos, su negativa al uso de los mismos para fines no relacionados directamente con proceso de formación del contrato en cuestión.

Sin embargo en este caso, el procedimiento habilitado por [*] no permite al usuario manifestar su negativa en el momento en que se recaban los datos."

La AEPD sancionó igualmente, con una multa de 5.000 €, a un hospital privado que había distribuido su cláusula informativa en dos partes (R/00710/2014; PS/00639/2013).

Por un lado, el hospital disponía un documento extenso, en dos idiomas (castellano e inglés), que describía con detalle las finalidades del tratamiento, las necesarias para la prestación del servicio y las adicionales, y cuya firma era obligatoria para los nuevos pacientes. Por otro, contaba con una hoja de oposición, en la que figuraban las casillas de marcación para que el afectado pudiera negarse a la utilización de sus datos con fines adicionales. Según señala la AEPD:

“En el escrito de alegaciones al acuerdo de inicio la entidad [*] manifestó que “en este caso se ha cumplido con la normativa de protección de datos y en concreto con la posibilidad de manifestar expresamente la negativa al tratamiento o cesión de sus datos con fines no asistenciales. En este sentido, como se ha aclarado en el cuerpo de este escrito, la Sra. XXX disponía de un “procedimiento equivalente” para manifestar su negativa rellenando el documento específico de oposición a tratamiento y cesión de datos, posibilidad que no utilizó la reclamante”.

A este respecto, se recuerda que los mecanismos de rechazo deben estar incluidos en el propio documento a fin de posibilitar que el afectado pueda ser informado y manifestar, en el momento de facilitar sus datos, su negativa al uso de los mismos para fines no relacionados directamente con el proceso de formación del contrato en cuestión. El procedimiento equivalente citado por la entidad denunciada no permite al afectado manifestar su negativa en el momento en que se recaban los datos para el servicio de admisión de urgencias hospitalarias que se analiza, sino que lo posibilitan una vez ya prestado el consentimiento.”

El operador de servicios de telefonía sancionado con 20.000 € de multa en la resolución R/03234/2015 (PS/00345/2015) también contaba con una extensa y exhaustiva cláusula informativa. Sin embargo, el Instituto Municipal de Consumo de Madrid presentó una denuncia en la que indicaba, entre otras cuestiones, que se no facilitaba al interesado una casilla que permitiera al interesado mostrar su oposición al envío de publicidad.

La cláusula en cuestión que, por cierto, viene reproducida íntegramente en la resolución de referencia, permitía al usuario oponerse a los tratamientos adicionales por los siguientes medios:

“- envío de comunicación dirigida en tal sentido a una dirección postal (Servicio de Atención al Cliente, Apartado de Correos xxx) o a una dirección electrónica (email zzz).

- envío de Formulario de Autorización para el Tratamiento de Datos de Carácter Personal disponible en la página web xxx debidamente cumplimentado y cuyo contenido se recoge en el antecedente quinto, hechos probados 2º y 4º de la presente propuesta de resolución. “

Sorprendentemente, la AEPD considera que el mecanismo consistente en el envío de un correo electrónico o un formulario electrónico es conforme al artículo 15 RLOPD cuando se lleva a cabo una contratación on-line:

“Así pues queda acreditado que en el momento de la contratación de los productos o servicios de XXX a través de la página web [*], XXX ha establecido un procedimiento equivalente al de “…la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato…” para que el interesado pueda mostrar su negativa al tratamiento de sus datos con finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual (en este caso finalidades comerciales), procedimiento que puede ser utilizado en el mismo momento de la contratación al realizarse ésta en un entorno online, y por el contrario no es posible en caso de contratación telefónica o presencial. Por tanto el procedimiento habilitado por XXX (envío de comunicación electrónica o cumplimentación del formulario de Autorización para el Tratamiento de Datos de Carácter Personal disponible en la página web [*], debe considerarse acorde con las exigencias en el deber de información en la recogida de datos contenidos en el mencionado artículo 5 de la LOPD en relación con el 15 del RLOPD.”

La multa no se impuso por incumplimiento del artículo 15 del RLOPD, sino por no identificar de forma precisa las empresas cesionarias de los datos.

A la vista de las resoluciones comentadas, podemos concluir que las cláusulas extensas y prolijas en la descripción de las finalidades y cesiones no sirven de nada si no se habilitan mecanismos de oposición adecuados para tratamientos adicionales.
El Reglamento General de Protección de Datos

El pasado 4 de mayo se publicó en el Diario Oficial de la Unión Europea que será el instrumento básico de protección de datos a nivel europeo y nacional de los próximos años: el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

El RGPD no varía el criterio expuesto en los apartados anteriores. En su art. 6, dedicado a las circunstancias que legitiman el tratamiento de los datos, coloca en los dos primeros puestos de la lista el consentimiento del interesado y la existencia de una relación contractual:

“Artículo 6 Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; (…).”

Adicionalmente, el artículo 7.2 del RGPD, dedicado específicamente a las condiciones para el consentimiento, señala lo siguiente:

“2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.”

Desde luego, la redacción del precepto arriba citado no resulta tan clara como la del artículo 15 de nuestro RLOPD. Aún así, parece desprenderse de lo anterior que las finalidades adicionales necesitarán un consentimiento claro y diferenciado del resto de compromisos que adquiera un usuario en una declaración escrita. Pensemos en el supuesto en el que se produce una aceptación por escrito de condiciones generales o de términos de uso con la firma del documento correspondiente. En estos casos, en aplicación del artículo 6.1.b) del RGPD, existe legitimación para el tratamiento de los datos necesarios para la gestión de la relación entre las partes sin que el usuario de su consentimiento. Sin embargo, si se solicitan datos para finalidades de marketing, el responsable del fichero deberá: (i) diferenciar claramente la información sobre esas finalidades y exponerlas de una forma sencilla y comprensible, y  (ii) solicitar el consentimiento del afectado para las mismas.

En la misma línea, el polémico considerando (32) del RLOPD, señala que:

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”

En definitiva, no parece que la aplicación del RGPD en 2018 vaya a suponer cambios en relación a la obtención del consentimiento para finalidades adicionales. Si acaso, los requisitos a cumplir serán más estrictos, ya que se exigirá claridad y concisión (así como no perturbar innecesariamente el uso del servicio) a la hora de detallar las finalidades adicionales y recabar dicho consentimiento.

No hay comentarios:

Publicar un comentario