Entradas

Las tarjetas de visita y el RGPD

O de cómo el RGPD no se carga las tarjetas comerciales.

Pregunta recurrente: ¿ya no podremos entregar tarjetas de visita comerciales en las ferias o en los eventos profesionales? ¿Tendré que pedir un consentimiento con check-in o firmado para enviar información? ¿Qué haremos ahora?

La respuesta ha de ser rápida y sencilla: más o menos lo mismo.

Es decir, no es el fin de las tarjetas. Y la respuesta nos la da, entre otros, el artículo 19 del proyecto (en breve texto aprobado) de la nueva Ley Orgánica de Protección de Datos (y a lo mejor también de Derechos Digitales como título). También la Directiva de comercio electrónico que dio base a nuestra Ley 34/2002 de Servicios de la Sociedad de la Información y de comercio electrónico (la famosa LSSI).

Pero antes de entrar en materia pongamos sobre la mesa algo que si bien aparece en el Reglamento General de Protección de Datos (y por cierto, también en la normativa anterior) tenemos que explicar casi a diario. El consentimiento no es la única base jurídica que legitima un tratamiento de datos…

¿Qué significa esto?

Que a menudo tratamos datos y no es necesario pedir consentimiento: por ejemplo, para suscribir un contrato, por ejemplo, para poner una cámara de seguridad o por ejemplo, sin ir más lejos porque hay una ley que lo dice y son “lentejas”. Todos estos casos y algunos otros más están recogidos en el artículo 6 del RGPD, un artículo importante y que merece ser leído y releído por quienes se preguntan cosas como la que da título a este post.

Es decir, que si vamos a hacer un tratamiento de datos tenemos que tener claro por qué lo hacemos. Y ese por qué es la base jurídica que legitima el tratamiento. (El “porque me da la gana” no está definido como base, que conste).

¿Qué pasa con las personas de contacto de las personas jurídicas (p.e. El Director de tal empresa, su comercial o el administrativo a quien le tenemos que enviar las facturas….? ¿Tenemos que pedirle el consentimiento para contactar con ellos? La respuesta es no. Porque la base jurídica de esta relación no será el consentimiento sino el interés legítimo, ese agujero negro que casi nadie se atreve a traspasar pero que existe y no de ahora.

En una redacción inicial del proyecto de nueva Ley Orgánica de Protección de Datos apareció el artículo para regocijo de los profesionales que agradecemos claridad en este tipo de cuestiones. Posteriormente desapareció y en las últimas redacciones ha vuelto a aparecer.

Transcribimos a continuación para no dejarnos nada:

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3 (nuevo). Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Como el interés legítimo (artículo 6.1.f) del RGPD) no es una base de legitimación absoluta (no en vano ya existía la prueba de sopesamiento), se somete, en este caso, a dos requisitos:

  • que el tratamiento se ciña a los datos necesarios para la localización (p.e. Email, teléfono, dirección) y
  • que la finalidad sea la de mantener relaciones de cualquier índole con la persona jurídica.

Es decir, que si como abogado me quiero dirigir al Director de una empresa para ofrecerle mis servicios y tengo su teléfono o su email no le pediré consentimiento sino que basaré el tratamiento en mi interés legitimo como responsable de dicho tratamiento.

Lo que no podré hacer es “machacarle” directamente a publicidad o a newsletter porque, aquí sí, entra en juego no tanto la legislación sobre protección de datos sino la famosa Ley de Comercio Electrónico (LSSI y próximamente el Reglamento e-privacy actualmente en el horno) que dice que no puedo enviar información comercial a quien no haya consentido salvo que exista una relación previa (p.e. Que sea un cliente).

Pero hablamos de publicidad, no de enviar un email de presentación, o una invitación a un evento o unas tarifas… A ver si vamos a ser más papistas que el papa. No está de más recordar aquí que la Directiva de comercio electrónico ya decía que No se consideran comunicaciones comerciales en sí mismas las siguientes:

a)  los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico,
b) las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando estos se realizan sin contrapartida económica.

Hemos abordado el interés legítimo… pero acaso no es un consentimiento explícito entregar una tarjeta a una empresa, comercial o interlocutor que nos interesa? ¿No entra dentro de la definición de consentimiento como una “manifestación de voluntad libre, específica, informada e inequívoca” mediante una “clara acción afirmativa. ¿Podemos considerar vigente la Sentencia de la Audiencia Nacional de 17 de mayo de 2007 que afirmó: “Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.”?

Moraleja: sigamos utilizando tarjetas (ya en creciente desuso para dar paso a los contactos “electrónicos”), sigamos agradeciendo la visita al stand de la feria, sigamos contactando con las empresas y los profesionales pero… eso sí:

  • No pedir el consentimiento no significa que no informemos de lo que dispone el artículo 13 del RGPD. ¿Cuándo? Pues en ese primer email de cortesía por ejemplo. Algunos ya han colocado “atriles” con la cláusula de información a la vista en los propios stands… Es una idea..
  • Si queremos enviar información comercial de forma regular y en lo sucesivo, mejor pedir permiso pues el interés legítimo se nos quedaría un poquito corto en este caso aunque quién sabe…
  • El resto de las obligaciones del RGPD deberán cumplirse religiosamente.

El RGPD y la ahora nueva LOPD no han venido a fastidiar, han venido a dotar de garantías y de seguridad jurídica a las relaciones y a los tratamientos de datos.

Estamos ante un derecho fundamental que merece respeto y protección. Hacer interpretaciones sesgadas de la norma no beneficia a nadie. Seamos transparentes en los tratamientos y sigamos trabajando, vendiendo y entregando tarjetas, eso sí, cumpliendo la ley.

Paz Martin
#losdetallesimportan

Noviembre 2018

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018

 

 

 

 

El uso de una marca ajena como keyword ¿es infracción?

Las empresas siguen mostrando interés por estas conductas de uso de marcas ajenas como adwords que pueden ser o no ilegales en función de las circunstancias.

Según el perfil del lector que tenga curiosidad por el presente post, el primer pensamiento al leer el titular puede ser: por supuesto que no. Google lo permite y además es legal.

Y de hecho es así: utilizar una marca ajena como palabra clave de búsqueda en un buscador no constituye, en principio, infracción alguna. Con independencia de lo poco “elegante” de la práctica. Sin embargo, la cuestión no es tan sencilla.

Empecemos por el principio: Todos luchamos por posicionar nuestras webs en los primeros lugares de los buscadores, en particular Google. Google tiene además su sistema de anuncios, “Adwords”, a través del cuál una empresa puede anunciarse de forma que cada vez que alguien busque, por ejemplo, la palabra “ABOGADOS”, aparezca nuestro anuncio (aunque no es el caso, podría ser, LEGAL THINGS ABOGADOS). La cuestión estará en que la palabra “abogados” puede estar siendo utilizada por muchos otros despachos y el que nuestro anuncio aparezca en primer lugar puede costar bastante.

Pero ¿y si decidimos elegir la marca o el nombre de un despacho de nuestra competencia? Es decir, que cada vez que alguien busque por “MICOMPETENCIA” aparezca mi anuncio. Aunque a algunos nos sigue pareciendo una estrategia muy agresiva comercialmente y cercana a las prácticas desleales, esta es una práctica completamente lícita y ha sido abordada por los Tribunales.

Una de las primeras Sentencias al respecto la dictó el Tribunal de Justicia de la Unión Europea en el caso Marks & Spencer vs. Interflora (caso 323/09).

Esta Sentencia es la que ha marcado el criterio a seguir en estos casos. Lo que en realidad establece es que sólo existirá infracción cuando exista confusión en cuanto al origen de la oferta y en tal sentido, citamos literalmente, dice:
El titular de una marca está facultado para prohibir que un competidor haga publicidad –a partir de una palabra clave idéntica a esa marca que el citado competidor seleccionó en el marco de un servicio de referenciación en Internet sin el consentimiento del titular– de productos o servicios idénticos a aquéllos para los que la marca esté registrada, cuando dicho uso pueda menoscabar una de las funciones de la marca.

Este uso:

a) menoscaba la función de indicación del origen de la marca cuando la publicidad mostrada a partir de la palabra clave no permite o permite difícilmente al consumidor normalmente informado y razonablemente atento determinar si los productos o servicios designados por el anuncio proceden del titular de la marca o de una empresa vinculada económicamente a éste o si, por el contrario, proceden de un tercero;

b) en el marco de un servicio de referenciación de las características del que se trata en el litigio principal, no menoscaba la función publicitaria de la marca, y;

c) menoscaba la función de inversión de la marca si supone un obstáculo esencial para que dicho titular emplee su marca para adquirir o conservar una reputación que permita atraer a los consumidores y ganarse una clientela fiel.”
Es decir, estaríamos ante una infracción cuando el consumidor no sea capaz de saber si la oferta del anuncio está, de alguna forma vinculada con el titular de la marca (cosa que puede suceder con las páginas que ofrecen falsificaciones o réplicas de una marca original).

En cambio, dice la propia Sentencia: cuando la publicidad que aparezca en Internet a partir de una palabra clave correspondiente a una marca de renombre proponga una alternativa frente a los productos o a los servicios del titular de la marca de renombre sin ofrecer una simple imitación de los productos o de los servicios del titular de dicha marca, sin causar una dilución o una difuminación y sin menoscabar por lo demás las funciones de la mencionada marca, procede concluir que este uso constituye, en principio, una competencia sana y leal en el sector de los productos o de los servicios de que se trate y, por lo tanto, se realiza con «justa causa» en el sentido de los artículos 5, apartado 2, de la Directiva 89/104 y 9, apartado 1, letra c), del Reglamento nº 40/94.

Puede no gustarnos la conclusión que además, hasta ahora, no ha sido contradicha por ningún otro tribunal, pero la realidad es que si no hay “dilución o difuminación” de la marca estamos ante una competencia “sana y leal”.

Si exploramos en la jurisprudencia en otros países de nuestro entorno más allá de las fronteras de la Unión Europea, el criterio es bastante similar y los tribunales difícilmente restringen el uso de la marca ajena si queda claro que el anuncio resultado de la búsqueda es una “alternativa” a los productos o servicios buscados.

En el mismo sentido se ha pronunciado sin modificar un ápice el criterio, nuestro Tribunal Supremo en diferentes Sentencias, las más conocidas la del caso MASALTOS y la del caso ORONA que aunque con diferentes aproximaciones abordan el mismo tema. La Sentencia del Tribunal Supremo 620/2016 de 26 de febrero (caso MASALTOS), el alto Tribunal afirma:

la sentencia sí repara en dicha circunstancia, al afirmar que la ausencia de tales términos en el anuncio indica claramente a los consumidores que se trata de empresas distintas y competidoras de “Maherlo”. Respetándose así la función de indicación del origen de la marca a que hemos hecho referencia cuando hemos compendiado los pronunciamientos del TJUE sobre el uso de marcas en buscadores de internet. Es decir, en los términos de la sentencia “Interflora”, antes transcritos, no hay menoscabo de la función de la indicación del origen de la marca.

Por su parte, la Sentencia del Tribunal Supremo 541/2017 de 15 de febrero (caso ORONA), aunque aborda la perspectiva desde la posible deslealtad de la práctica desestimando la acción en aplicación de la doctrina de complementariedad relativa, se pronuncia al respecto del uso de las marcas ajenas en el mismo sentido.
Otras Sentencias ya firmes han admitido, en la línea jurisprudencial marcada, que existe infracción al no superarse esa inexistencia de confunsión en el origen empresarial. Nos referimos, entre otras, a la Sentencia del Juzgado de lo Mercantil num. 3 de Valencia de 30 de junio de 2016 (248/2016) en un conflicto por esta materia entre las compañías GEDESCO y FICOMSA.

Como conclusión debemos añadir que si bien la práctica habitual determina que si aparece la marca ajena en el texto del propio anuncio estamos ante una infracción y si no aparece, no; esta afirmación no puede ni debe ser taxativa al encontrarnos en situaciones en las que no apareciendo la marca ajena en el propio texto del anuncio, el origen empresarial es dudoso y ese usuario medio puede no tener claro dónde está entrando…
Muchas dudas se nos plantean: especialmente si todos los usuarios de los buscadores son “razonablemente atentos” o si este planteamiento favorece a las marcas menos conocidas que a las notorias y renombradas…

Si alguien se decide por esta práctica, no está de más consultar previamente con un abogado (además de con los correspondientes expertos en marketing digital) para determinar si la elección de las marcas de la competencia no le va a salir caro discutiendo su estrategia digital en los tribunales por una posible infracción de marca.

Paz Martín

Febrero 2018