La evolución tecnológica ha transformado prácticamente todos los sectores y la publicidad no iba a ser menos. Inevitablemente, como consecuencia del crecimiento de Internet, aparecieron grandes cantidades de datos y con ellos la oportunidad de utilizarlos para dirigirlos a consumidores específicos. Para ello, solo deberían analizar los datos y establecer patrones de comportamiento de los consumidores para fijar productos o servicios a los que el usuario tendría más probabilidad de contestar atendiendo a sus gustos, intereses o hábitos.
Fenómenos como el big data, el cloud computing o el internet de las cosas forman parte de nuestra vida aportando valiosos beneficios, pero su empleo, como el de cualquier otra tecnología, debe plantearse siempre desde el respeto a los derechos y libertades los usuarios y, entre ellos, el derecho a la protección de los datos personales.
Así, en este ambiente de constantes cambios, en el que la flexibilidad y la celeridad de actuación son primordiales, cobran especial consideración aquellos mecanismos de autorregulación eficaces, capaces de plasmar el compromiso de las entidades de cumplir determinados principios y reglas, así como su sometimiento a la resolución por parte de un tercero imparcial ante las posibles controversias que pudieran surgir en el incumplimiento de estas directrices.
Valorando todo ello, la autoridad de control española en materia de protección de datos, dentro de las facultades asignadas por el Reglamento General de Protección de Datos (en adelante RGPD) y la Ley Orgánica 3/2018 de protección de datos y garantía de derechos digitales (en adelante LOPDGDD) ha decidido aprobar el primer código de conducta, en este caso relativo al tratamiento de datos en la actividad publicitaria. Ha sido elaborado por la Asociación para la Autorregulación de la Comunicación Comercial (Autocontrol) mediante Resolución de 9 de octubre del 2020.
Pero, antes de nada, ¿Qué son los códigos de conducta y quién puede elaborarlos?
A pesar de que la normativa actualmente vigente en materia de protección de datos no los define, podemos considerar los códigos de conducta como un mecanismo de autorregulación para las entidades que permite a responsables y encargados de tratamiento demostrar el cumplimiento en protección de datos y, aunque la adhesión a éstos sea voluntaria, es un interesante incentivo en el desempeño del principio de responsabilidad proactiva tan reclamado actualmente en este ámbito.
El RGPD (artículo 40.1) establece que las autoridades de control, Estados Miembros, Comité Europeo de Protección de datos y Comisión Europea promoverán la elaboración de Códigos de conducta destinados a contribuir en la adecuada aplicación de la normativa, teniendo en cuenta las características específicas de los diferentes sectores de tratamiento, así como las necesidades de las micro, pequeñas y medianas empresas.
De acuerdo con el art. 40.2 del RGPD podrán ser elaborados por las asociaciones y otros organismos representativos de categorías de responsables o encargados, así como, empresas, grupos de empresas, organismos y Administraciones públicas.
En cuanto a su objeto, lo cierto es que no se establece un contenido mínimo. Los códigos de conducta deben responder a las necesidades propias del sector de actividad del promotor o promotores en cuestión, así como facilitar y especificar la aplicación del RGPD en aspectos como: la recogida de datos personales, el tratamiento leal y transparente, la información proporcionada a los interesados, el ejercicio de derechos de los interesados o el procedimiento extrajudicial de resolución de conflictos entre responsables del tratamiento e interesados.
No obstante, los códigos deben proporcionar necesariamente mecanismos que posibiliten la supervisión de su obligado cumplimiento además de indicar un organismo de supervisión que reúna los requisitos establecidos en el art. 41.2 del RGPD y que habrá de ser acreditado por la Agencia Española de Protección de Datos con arreglo a las pautas establecidas.
En este contexto, el sector publicitario en España, y más concretamente la asociación Autocontrol (representando aproximadamente el 70% de la inversión publicitaria en España) elabora el primer código de conducta en esta materia con un procedimiento extrajudicial de resolución de conflictos ágil, eficaz y gratuito entre las entidades adheridas y los interesados. Podrán adherirse anunciantes, agencias y medios asociados de Autocontrol que apliquen tratamientos de datos con fines publicitarios entre los que señala: el envío de comunicaciones comerciales, las promociones realizadas con objeto de recoger datos personales para utilizarlos con fines publicitarios, el uso de cookies y tecnologías equivalentes para la gestión de espacios publicitarios o la realización de publicidad comportamental/elaboración de perfiles con fines publicitarios.
Cualquier entidad que se adhiera al Código estará comprometida con el cumplimiento de la normativa de protección de datos en su actividad publicitaria y, más concretamente en las obligaciones que se describen en el mismo relacionadas con:
1. Protección de datos desde el diseño y por defecto (art 25 del RGPD). El principio de protección de datos desde el diseñotiene como objetivo cumplir los requisitos definidos en el RGPD, teniendo en cuenta que la protección de datos debe encontrarse presente en las primeras fases de concepción de cualquier proyecto. En cuanto a la privacidad por defecto, se refiere a que sólo sean objeto de tratamiento los datos personales que sean estrictamente necesarios para cada uno de los fines de tratamiento (íntimamente ligado al principio de minimización). Esto quiere decir que si en un primer momento se recogieron más datos de los necesarios para el fin publicitario se procederá a la supresión de aquellos (todo ello, sin perjuicio de la obligación de bloqueo que pudiera tener la entidad).
2. Base jurídica del tratamiento (art 6 del RGPD). Todo tratamiento de datos personales que las entidades realicen en su actividad publicitaria debe legitimarse conforme alguna de las bases jurídicas previstas en dicho artículo. En este caso, serían de aplicación el consentimiento y el interés legítimo:
a) La primera de ellas implica la necesidad de que el interesado consienta mediante una acción inequívoca el tratamiento con fines publicitarios, informando al usuario previamente y facilitándose de manera separada a la aceptación general del contrato si es que lo hubiera. Esta exigencia normativa también la encontramos en el articulo 21.1 de la Ley de Servicios de la Sociedad de la información (LSSI).
b) La segunda de ellas, el interés legítimo del responsable del tratamiento aplicaría a aquellas situaciones en las que el envío de comunicaciones comerciales se refiera a productos o servicios similares a los inicialmente contratados. En este caso, (art. 21.1 LSSI) será necesario que, sobre ese interés legítimo del responsable del tratamiento, no prevalezca ningún derecho y/o libertad fundamental del interesado.
3. Principio de transparencia (art 12 del RGPD). Las entidades deberán informar a los interesados en un lenguaje fácil y sencillo aprovechando, siempre que sea oportuno, disponer la información por capas, en los términos establecidos por la AEPD en su Guía para el cumplimiento del deber de informar, facilitando su lectura y comprensión.
4. Uso de cookies publicitarias. El uso de las cookies estará amparado por la mencionada LSSI y desde el momento que implique un tratamiento de datos personales debe describirse la finalidad publicitaria, informar de su utilización para realizar publicidad personalizada comportamental e indicar si se utilizan cookies de terceros para fines publicitarios.
Además, el código recoge un sistema de resolución extrajudicial para las posibles controversias que se pudieran generar entre las entidades adheridas y los interesados en cuanto a los tratamientos de datos personales a los que este ámbito se refiere. Cuando Autocontrol reciba una reclamación comprobará que se cumplen los requisitos y la admitirá a trámite, o no, una vez haya comprobado si la entidad hubiera designado o no un Delegado de Protección de datos para proceder a su resolución atendiendo a ello.
Como hemos reflejado anteriormente y, sin perjuicio de las funciones y poderes de la AEPD como autoridad de control competente, el organismo de supervisión del presente Código será el Jurado de la publicidad, quien cuando detecte un incumplimiento motivará la resolución y se pronunciará sobre las sanciones que, en su caso, se aplicarán según lo previsto en su Reglamento.
En definitiva, los códigos de conducta son el fiel reflejo de lo que se denomina autorregulación, esto es, la capacidad de las entidades de regularse a sí mismas a partir de los parámetros de la normativa establecida. Son instrumentos de cumplimiento voluntario que conllevan valiosas ventajas entre las que se encuentran:
- Demostración del cumplimiento normativo.
- Instrumento de garantía suficiente para la realización de transferencias internacionales de datos.
- Favorece en la determinación de las posibles sanciones.
Desde luego son un interesante incentivo, y un garante de cumplimiento normativo, que las entidades a partir de ahora deberían valorar notablemente.
