EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y EL CONSENTIMIENTO, UN ARMA DE DOBLE FILO, Y UN PROBLEMA COMERCIAL PARA LA MAYORÍA DE LAS EMPRESAS
PAGAMOS JUSTOS POR PECADORES
EL próximo 25 de mayo entra en vigor el Reglamento Europeo de Protección de Datos RGPD, un Reglamento necesario y de aplicación directa en todos los estados miembros.
El RGPD sustituye a la directiva europea del año 95 y por tanto era muy importante su aprobación, pero ha sido tanto el tiempo que se ha empleado en desarrollarla que considero que se han REFORZADO EN EXCESO LOS DERECHOS DE LOS USUARIOS EN EL TRATAMIENTO DE SUS DATOS, hasta el punto de suponer esto una limitación para todas aquellas empresas que como la mayoría lo que quieren y necesitan es VENDER, más aún en una época en la que las tiendas físicas desparecen y aumenta exponencialmente los negocios y tiendas online, que para su funcionamiento y viabilidad su relación y comunicaciones comerciales con los clientes son imprescindibles.
Actualmente cuando una tienda online vendía sus productos (una tv, unos zapatos, un vestido…), y para lo cual necesitaba nuestros datos personales, nos informaba en su política de privacidad la cual teníamos que aceptar:
Y dentro de dicha política nos decía algo así:
Le informamos de que sus datos serán tratados conforme a lo previsto en la Ley ………, y serán incluidos en un fichero cuyo responsable es ………. y la finalidad de la recogida será la gestión comercial y administrativa de su pedido o solicitud, además de para informarle de nuestros productos y servicios, incluso por medios electrónicos. Usted podrá revocar su consentimiento en cualquier momento y ejercer los derechos de acceso……..
Y generalmente aceptábamos dicha política ☑ sin haberla leído, principalmente porque se trataba de políticas farragosas, de letras minúsculas, que hablaban de múltiples contenidos legales que muchas veces no tienen nada que ver con el tratamiento de nuestros datos, políticas de más de 40 páginas en algunos casos de grandes empresas, muy técnicas, que en el fondo lo que buscaban era que no quedase claro cuál era la finalidad que le darían a nuestros datos, ocultándola, y diciendo que los guardaban de por vida, cediéndolos a quien quisiesen, y que tu al aceptar y marcar esa casilla consentías ”de forma expresa” (como dicen muchas) todo lo que se le hubiese ocurrido poner.
Pues bueno, por fin llega el RGPD y lo que dice es que ya no valen esas políticas de privacidad de antaño, farragosas y poco claras, por lo que ahora debemos de informar al cliente de forma resumida y clara, qué hacemos con sus datos, dónde los vamos a guardar, cuánto tiempo, la finalidad del tratamiento y usos, las posibles cesiones y dónde podemos ejercer nuestros derechos, lo que ya decía nuestra LOPD pero de forma mucho más clara y transparente.
Pero además, el RGPD, en su afán de reforzar al máximo los derechos de los usuarios, dado que es verdad que muchas empresas los han vulnerado durante años sin piedad (en especial las grandes, telecomuncaciones, banca…), introduce cambios en las formas de solicitud y obtención del consentimiento y cuando se recaba el consentimiento para varias finalidades, incluida la comercial:
RGPD CONSIDERANDO 32. El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
Por lo tanto, tal y como parece que dice el RGPD, cuando yo vendo en mi tienda online DON ZAPATO unos zapatos a un cliente mío, debo de solicitarle dos consentimientos, el de aceptación del tratamiento de sus datos y la política de privacidad:
Entonces ¿existían mecanismos para aquellos usuarios que aceptaban dicha política y les bombardeaban posteriormente con comunicaciones comerciales? ¿podían o pueden hacer algo?
SI, la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) (y sus modificaciones del Real Decreto 13/2012 de 30 de marzo de 2012 afectando al uso de cookies y envíos comerciales, y Ley 9/2014 de telecomunicaciones de 9 de mayo).
Para ello esta LSSICE establece, en su Art. 21, que “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, que previamente no hubiesen sido solicitadas o expresamente autorizadas por los destinatarios de los mismos“., y además dice que aunque dispongamos del consentimiento del usuario como era el caso al aceptar la política de privacidad de DON ZAPATO, siempre debemos de garantizarle en las comunicaciones comerciales la posibilidad de darse de baja de las mismas de una forma FÁCIL Y GRATUITA.
Por lo tanto, cuando compré mis zapatos y acepté dicha política de privacidad y por lo tanto los posibles envíos comerciales, a los pocos días recibí un email de DON ZAPATO en el cual me ofrecía unos zapatos similares a los míos con un 30% de descuento por ser cliente, y en dicho correo al final me decía:
En cumplimiento de la Ley 34/2002 del 11 de julio de Servicios de la Información y el Comercio Electrónico, le informamos de que sus datos constan en nuestros ficheros, de los que es responsable DON ZAPATO para el envío de comunicaciones comerciales. Si no quiere seguir recibiendo este envío, por favor, mándenos un escrito a la siguiente dirección: bajas@donzapato.com o pinche aquí
Por lo tanto tenía dos opciones:
1º Comprar la oferta de los nuevos zapatos o espera a futuras ofertas porque las considero interesantes y puedo beneficiarme de las mismas
2º Darme de baja de una forma fácil y gratuita de las comunicaciones comerciales de DON ZAPATO para siempre.
Con lo cual podemos ver que la legislación actual permitía y permite solicitar un consentimiento general para futuras comunicaciones comerciales y así poder ampliar el negocio de DON ZAPATO, pero siempre dando la posibilidad a los usuarios de darse de baja de dichas comunicaciones, por lo que para aquellas empresas que lo hacían y lo hacen bien no se vulneraban los derechos del usuario y se permitía a las empresas comunicaciones comerciales.
Aunque también, y de acuerdo a lo que dice el RGPD, podemos entender y considerar que el envío de comunicaciones comerciales en DON ZAPATO no es una finalidad diferente, es intrínseca a la finalidad de la compra del zapato, y necesaria, y proporcional, y relacionada con la actividad de DON ZAPATO…. Así que tendremos que ver en las primeras denuncias, inspecciones, e informes de la Agencia Española qué interpretación dan a este considerando y al RGPD respecto al consentimiento y las comunicaciones comerciales y si es necesario solicitar un consentimiento expreso para poder realizarlas.
El problema es que `principalmente las grandes empresas de telecomunicaciones y redes sociales han incumplido con estos requisitos constantemente y han vulnerado los derechos nuestros como usuarios durante años vendiendo, y cediendo las bases de datos y dando usos completamente distintos a los recabados, provocando que la gente termine harta de dichas comunicaciones comerciales excesivas en las cuales era imposible darse de baja y nos resignábamos considerando que era algo intrínseco a internet y por tanto teníamos que recibirlas ….. y esto ha dado lugar a un RGPD creado para controlar a las grandes de telecomunicaciones y redes sociales, pero que por desgracia no distingue a la empresa grande de la pequeña, ni en los requisitos legales ni en el cuadro sancionador que se aplicará, de hasta 20M de euros¡¡¡¡
Y pos si fuera poco se introduce el artículo 82
Artículo 82 Derecho a indemnización y responsabilidad “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”
Lo que provocará que un error en una empresa pueda convertirse en el cierre de la misma, y lo que va a dar lugar a un nuevo espacio de reclamaciones con abogados especializados en la materia que terminaran montando un negocio online del estilo de reclamatuaccidente.com, reclamatubanco.com y ahora reclamargpd.com ¡¡¡
Al tratarse de un RGPD creado por empelados públicos y funcionarios que en general desconocen el funcionamiento real de las empresas, se han reforzado de tal manera los derechos del usuario con respecto a sus datos e incrementado las obligaciones de los responsables del tratamiento de los datos que puede provocar el cierre de muchas empresas y negocios online que sobreviven gracias a la publicidad y las comunicaciones comerciales, y que no resultaba excesivo para los usuarios cuando realmente se informaba al cliente de acuerdo a la LOPD actual y posteriormente se aplicaba también la LSSICE en las comunicaciones comerciales.
PROTECCIÓN DE DATOS, SÍ, NEGOCIOS TAMBIÉN¡¡¡