Como bien sabemos, con las nuevas tecnologías aparecen para las empresas oportunidades que permiten a estas la obtención de múltiples beneficios como consecuencia del tratamiento de los datos personales.
En este aspecto, una de las herramientas que dan acceso a dichos beneficios es el análisis de cantidades masivas de datos personales provenientes de distintas fuentes (Big Data), así como el acceso y posterior uso de dicha información para otorgarle una utilidad que posteriormente le proporcione valor para la Entidad. El análisis de estos comportamientos de los usuarios permite la elaboración de perfiles de los mismos con el fin, entre otros, de proceder posteriormente al envío de comunicaciones comerciales adecuados a los gustos o preferencias de estos.
Respecto a lo anterior, tanto el Reglamento Europeo de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, exigen una protección bastante férrea en cuanto a la creación de perfiles, ya que la creación de perfiles tiene un fuerte impacto en cuanto a la privacidad de los usuarios.
En el RGPD se define la creación de perfiles como:
“toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.
De este modo, para que le aplique el RGPD, podemos concluir que la creación de un perfil tiene que reunir dos requisitos que entendemos básicos:
- Que el tratamiento de datos personales se haga de forma automatizada, debiendo aclarar al respecto que la participación humana en la creación de dichos perfiles no hace que pierda validez la creación de dicho perfilado.
- Que se realice una evaluación o análisis de datos personales a fin de descubrir distintos patrones de comportamiento de los afectados.
Una vez detallado lo anterior, podemos concluir que la creación de un perfil es un tratamiento en sí mismo, tratamiento que debe cumplir con los siguientes requisitos que impone la normativa actual y que detallamos a continuación:
a) Existencia de una base jurídica que legitime el tratamiento.
Debe existir una base jurídica que legitime el tratamiento y para ello, el Reglamento Europeo de Protección de Datos en su art. 6 enumera dichas bases jurídicas. En cuanto a la creación de perfiles, podrían ser de aplicación como bases de legitimación, tanto el consentimiento expreso por parte del cliente, así como el interés legítimo que pueda tener la Entidad que va a proceder a realizar el perfil del cliente.
b) Informar sobre la acción de perfilar
La Entidad que va a realizar la acción de perfilado debe informar sobre esta acción y dicho deber de informar, en sus extremos más básicos (o lo que se conoce como primera capa), tal y como reza el art. 11 de la LOPDGDD, debería contener la identidad del Responsable del tratamiento, la finalidad del tratamiento, la posibilidad de ejercer los derechos establecidos en el art. 15 a 22 del Reglamento Europeo de Protección de Datos, así como el derecho a oponerse a la adopción de decisiones individuales automatizadas.
En una información más detallada (o conocida como segunda capa), las compañías tendrían que detallar que consecuencias tendría el perfilado.
c) Otorgar al usuario el derecho de oponerse al perfilado.
El Reglamento Europeo de Protección de Datos en su art. 21.2, nos viene a decir que en el caso de que una Entidad utilice como base de legitimación el interés legítimo para efectuar el perfil de un cliente, en el mismo momento de la recogida de los datos de este, se debe ofrecer al mismo la posibilidad de oponerse a que sus datos sean utilizados para elaborar perfiles.
d) Garantizar que los perfiles sean exactos y garantizar su conservación durante un periodo de tiempo concreto.
Cuando la elaboración de perfiles es utilizada por las Empresas con el fin de proceder al envío de comunicaciones comerciales por medios electrónicos en función del perfil del usuario creado, estas, además de cumplir con la normativa de protección de datos (Tanto el RGPD como la LOPDGDD), deben cumplir con la Ley de Servicios de Sociedad de la Información y más concretamente, con lo dispuesto en su art. 21. Dicha normativa, exige de un modo claro la obligación de recabar el consentimiento de los usuarios para poder proceder al envío de comunicaciones comerciales, pero en el caso de que exista una relación contractual previa entre las partes y exista interés legítimo en el envío de comunicaciones por parte de la Entidad, sería necesario el cumplimiento de los siguientes requisitos que a continuación:
- El destinatario de la comunicación comercial debe ser cliente de la empresa. En el caso de que ya no existiera relación comercial la base que legitima dicho envío dejaría de ser el interés legítimo de la empresa para el envío de las comunicaciones y pasaría a ser el consentimiento expreso que debería de otorgarse para legitimar el envío.
- La comunicación comercial estará relacionada con aquellos productos que sean ofertados por la Entidad con la que exista una relación comercial, no siendo válido que al cliente le sean remitidos correos comerciales de aquellos productos o servicios de terceros con los que la Entidad pueda llegar a tener relación (Ej: Empresas de un mismo grupo Empresarial).
- La comunicación comercial debe estar relacionada con aquellos productos o servicios similares a los adquiridos o contratados por el cliente, entendiendo en este aspecto como productos o servicios similares aquellos respecto a los el cliente tenga expectativas razonables de recibir por parte de la Entidad.
En conclusión, tal y como hemos analizado en el presente artículo, observamos como las herramientas que hoy ofrecen las nuevas tecnologías pueden permitir a las compañías, entre otras posibilidades, la de conocer el perfil de comportamiento de los usuarios con el fin de enviar comunicaciones lo más ajustadas a sus gustos, pero es importante que estas compañías conozcan el riesgo que existe de no cumplir con la normativa vigente en materia de protección de datos así como la relativa a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Desde Legitec trabajamos cada día para nuestros clientes, adecuar sus proyectos a la normativa vigente, así como para informarle de los aspectos jurídicos más relevantes derivados de la aplicación de las nuevas tecnologías. Estamos dispuestos a ayudarte, ¡Cuenta con nosotros!
