-
El derecho de oposición de los titulares prevalecerá siempre sobre el Interés Legítimo
-
Los datos y el contexto siguen siendo de naturaleza relativamente inocente
—Necesito que tus explicaciones sean claras clarísimas, Arturo. Cristalinas.
Esther, la directora general, me miraba fijamente mientras me exigía que dejase aparte el lenguaje técnico. Ella quería decidir de inmediato y no podía perderse en los tecnicismos. Sonreí aceptando el reto y repuse:
—Os haré algunas preguntas para centrar el asunto y luego pondré algunos ejemplos que os ayudarán a entender las implicaciones, ¿de acuerdo?
Esa misma mañana había recibido su llamada. Me urgía a una reunión con César, su director de marketing, y con otra persona que no identificó. Ahora estábamos los tres con Macu, de la empresa de marketing directo que produciría la campaña. Comencé:
—Esther, tú nos has convocado. Por favor, dinos el objeto de la reunión.
—Necesito que nos ayudes con el puñetero RGPD o GDPR o como se llame. Tenemos que sacar la campaña de los cupones en muy pocos días y quiero estar segura de que todo está bien. No podemos tener problemas como DIA con la suya. La AEPD ya está investigándolos.
Macu apoyó las palmas sobre la mesa y se inclinó ligeramente hacia adelante:
—En nuestra opinión no hay problema alguno. Para las campañas de marketing directo no hace falta tener el consentimiento por parte de los destinatarios. Como sabes, en el Considerando 47 del RGPD se dice de manera explícita que el interés legítimo ampara los tratamientos de datos para marketing directo. Esta es una campaña de marketing directo y podemos enviar las cartas porque la empresa de Esther tiene un interés legítimo para hacerlo. Está clarísimo.
Ahí estaba. Agradecí mentalmente a Esther que se hubiera acordado de mí antes de dar el visto bueno al lanzamiento de una campaña que, sin las adecuadas garantías, podría traerles problemas futuros. Les miré de uno en uno a los ojos, deteniéndome al final en Macu, y dije:
—Ojalá las cosas fueran tan simples. En los casos de Interés Legítimo hay algunos detalles importantes que tener en cuenta:
- El Interés Legítimo es una de las bases de legitimación que establece el RGPD para el tratamiento de datos. Una entre varias, no una salida airosa para cuando no se dispone del consentimiento explícito por parte del interesado.
- Cada una de las bases de legitimación tiene un procedimiento de aplicación. En el caso del Interés Legítimo es imprescindible velar por que no se vulneren los derechos y libertades fundamentales de los interesados.
- Además, si se invoca el Interés Legítimo, es necesario que el envío de las cartas responda a unas expectativas razonables que tuviera el titular de los datos, teniendo en cuenta el momento y el contexto en que fueron obtenidos.
- En cualquier caso, el derecho de oposición de los titulares prevalecerá siempre sobre el Interés Legítimo de la empresa.
El derecho de oposición de los titulares prevalecerá siempre sobre el Interés Legítimo de la empresa. Clic para tuitear
Una sonrisa lobuna apareció por debajo del bigote amarilleado de nicotina de César.
—¿Te das cuenta, Esther? Yo tengo tantas ganas como el que más de enviar la campaña, pero no podemos. No podemos.
Esther enarcó las cejas al tiempo que mostraba las palmas de las manos. Respondí a César:
—No he dicho eso. Lo que he dicho es que debéis hacer el trabajo cumpliendo con todas las garantías que establece el Reglamento. —Hice una pequeña pausa. —Y es bueno que sepáis también que ésta es una magnífica oportunidad para demostrar a vuestros destinatarios lo concienciados que estáis y lo respetuosos que sois respecto al tratamiento de sus datos y sus derechos fundamentales. Hacedles ver que os preocupáis por sus intereses.
A pesar de mis esfuerzos, la tensión seguía aumentando en torno a la mesa. Había corregido a Macu y a César, algo que no le gusta a nadie. Y temía que Esther perdiera la paciencia de un momento a otro. Cambié de estrategia:
—Os voy a poner algunos ejemplos con los que entenderéis perfectamente lo que necesitamos
Ejemplo RGPD 1: Oferta especial de una cadena de pizzerías
Claudia pide una pizza a través de una app de su móvil, marca la opción necesaria para que sus datos sean tratados para el pedido, pero no marca la opción que la excluye para otros tratamientos de marketing en el sitio web. Su nombre, dirección y los datos de su tarjeta de crédito se guardan para gestionar el pedido.
Unos días más tarde, Claudia recibe cupones de descuento para productos similares de la cadena de pizzas en su buzón en casa.
Breve análisis: la cadena de pizzerías tiene un interés legítimo, aunque no particularmente convincente en mi opinión, en tratar de vender más de sus productos a Claudia. Por otro lado, no parece haber ninguna intrusión significativa en su privacidad o cualquier otro impacto indebido en sus intereses y derechos. Los datos y el contexto son relativamente inocentes (consumo de pizza). Además, la cadena de pizzerías estableció algunas medidas de seguridad:
- Solo se usa información relativamente limitada (detalles de contacto)
- Los cupones se envían por correo tradicional
- Se proporciona una opción fácil de usar para cancelar las comunicaciones de marketing en el sitio web.
Por lo tanto, y considerando también las medidas adoptadas (incluida la herramienta de exclusión voluntaria de las comunicaciones), los intereses y derechos del interesado no parecen anular los intereses legítimos de la cadena de pizzerías.
Ejemplo RGPD 2: Publicidad dirigida para la misma oferta especial
El contexto es el mismo, pero esta vez, la cadena de pizzerías no solo registra el nombre, la dirección de Claudia y los detalles de su tarjeta de crédito, sino también su historial de pedidos recientes (durante los últimos tres años).
Además, su historial de compras se cruza con los datos del supermercado donde Claudia hace sus compras en línea, supermercado que pertenece a la misma compañía que dirige la cadena de pizzerías.
La cadena de pizzerías envía a Claudia ofertas especiales y anuncios específicos basados en su historial de pedidos de los dos servicios diferentes: sus compras en el supermercado y en la pizzería.
Claudia recibe los anuncios y las ofertas especiales por correo ordinario, correo electrónico y en el sitio web de la empresa, así como en las webs de una serie de empresas asociadas (cuando accede a estos sitios en su ordenador o a través de su teléfono móvil). También se rastrea su historial de navegación en estos y otros sitios mediante cookies. Sus datos de ubicación también se rastrean a través de su teléfono móvil.
Un software de análisis se ejecuta con todos estos datos y predice sus preferencias, así como los momentos y lugares donde es más probable que haga una compra más grande, cuándo esté dispuesta a pagar un precio más alto, en qué momento sea más susceptible de ser influenciada por un descuento, o incluso cuándo tenga un mayor deseo de sus postres favoritos o comidas preparadas.
Claudia está muy molesta por los insistentes anuncios que aparecen en su teléfono móvil cuando revisa el horario del autobús en su camino a casa, anunciándole las últimas ofertas de comida para llevar a las que ella está tratando de resistirse. A pesar de buscarla, no pudo encontrar una forma sencilla de desactivar estos anuncios, aunque la empresa afirma que existe una opción de exclusión voluntaria.
También se sorprendió al ver, cuando se mudó a un vecindario menos próspero, que ya no recibía sus ofertas especiales. Esto tuvo como efecto un aumento de aproximadamente un 10% en su factura mensual de alimentos. Una amiga, algo más ducha en asuntos de tecnología, le mostró un blog con algunos artículos especulativos que indicaban que su supermercado cobraba más por los pedidos de “vecindarios malos”, en base a los riesgos estadísticamente más altos de fraude con tarjetas de crédito. La compañía no hizo ningún comentario y afirmó que su política sobre descuentos y el algoritmo que utilizan para establecer los precios son propietarios y no pueden divulgarse.
Análisis: los datos y el contexto siguen siendo de naturaleza relativamente inocente. Sin embargo, la escala de recopilación de datos y las técnicas utilizadas para influenciar a Claudia (incluyendo varias técnicas de seguimiento, predicción de momentos y lugares de demanda de alimentos, y el hecho de que en estos momentos Claudia sea más vulnerable a sucumbir a la tentación), son factores a tener en cuenta cuando se hace la Evaluación de Impacto del Tratamiento de Datos.
Los datos y el contexto siguen siendo de naturaleza relativamente inocente. Clic para tuitear
La falta de transparencia sobre la lógica del procesamiento de datos de la empresa, que puede haber conducido a una discriminación de precios basada en la ubicación donde se realiza un pedido, y, en última instancia, el importante impacto económico potencial en Claudia, inclinan la balanza en favor de preservar sus intereses, incluso en el contexto relativamente inocente de comida para llevar y compras de comestibles.
En lugar de simplemente ofrecer la posibilidad de optar por no participar en este tipo de perfiles y anuncios específicos, sería necesario un consentimiento informado. Como consecuencia, el Legítimo Interés no debe ser invocado como legitimación para este Tratamiento de Datos.
Escenario 3: Uso de pedidos de alimentos para adaptar las primas del seguro de salud
Vayamos un paso más allá: los hábitos de consumo de pizza de Claudia, incluido el momento y la naturaleza de sus otras compras de alimentos, son vendidos por la cadena de pizzerías a una compañía de seguros, que los usa para adaptar sus primas de seguro de salud.
Análisis: la compañía de seguros de salud puede tener un interés legítimo, en la medida en que las regulaciones aplicables lo permitan, en la evaluación de los riesgos para la salud de sus clientes y cobrar primas diferentes de acuerdo con los diferentes riesgos. Sin embargo, la forma en que se recopilan los datos y la escala de la recopilación son excesivos. No es probable que una persona en la situación de Claudia hubiera esperado que la información sobre su consumo de pizzas se utilizara para calcular las primas de su seguro de salud.
Además de la naturaleza excesiva de los perfiles y sus posibles inferencias inexactas (las pizzas podrían comprarse para otras personas), la deducción de datos confidenciales (datos de salud) a partir de datos aparentemente inofensivos (pedidos para llevar), contribuye a inclinar la balanza a favor de los intereses y derechos de Claudia. Finalmente, el procesamiento también tiene un impacto económico significativo en ella.
En resumen, en este caso los intereses y derechos de Claudia anulan el interés legítimo de la compañía de seguros de salud. Como consecuencia, el interés legítimo no puede ser invocado como legitimación para el procesamiento. Pero también es cuestionable que el consentimiento pueda utilizarse como fundamento jurídico en este caso, teniendo en cuenta la escala excesiva de la recopilación de datos y, posiblemente, también debido a restricciones específicas en virtud de la legislación nacional.
Los tres me miraban en silencio con los ojos como platos. Aproveché la ocasión y sentencié:
—Estos son algunos ejemplos clásicos proporcionados por el Grupo de Trabajo del Artículo 29, el grupo de expertos de la Unión Europea que estudian y hacen recomendaciones sobre el RGPD. Estas recomendaciones tratan sobre el Juicio de Ponderación, que es el procedimiento a seguir cuando se quiere usar el Interés Legítimo. Si me explicáis todos los detalles de vuestra campaña podremos empezar con nuestro propio Juicio de Ponderación y determinar si se puede utilizar o no el Interés Legítimo como base de legitimación para la campaña.
Arturo Génova, Asesor en Protección de Datos y Delegado de Protección de Datos (DPD/DPO) con RGPD Dashboard. Ayuda a las empresas a adaptarse y cumplir con el RGPD.
