Derecho y empresa en entornos digitales

Protección de datos vs. mentiras en el CV: Cuando la empresa cruza la línea de la legalidad en su investigación

por

El 19 de abril de 2024, el TSJ de Castilla y León (STSJ CL 1540/2024) declara improcedente el despido disciplinario de una trabajadora por mentir en su CV. La empresa había detectado irregularidades, y por ello solicitó el informe de vida laboral a los trabajadores para contrastar dicha información con sus currículums. Así es cómo pudieron descubrir que en el de esta empleada había discrepancias. No obstante, el Tribunal ha declarado el despido como improcedente debido al uso ilícito de los datos personales.

Hechos

La empleada, que inició su relación laboral con la empresa en septiembre de 2020, aportó inicialmente un currículum en el que indicaba que había trabajado como operaria de cadena en el departamento de soldadura en Renault. Sin embargo, este dato no aparecía en el currículum que entregó en 2022; en su lugar, se indicó otra experiencia profesional como operaria de cadena que no se correspondía con lo expuesto en su día.

Ese mismo año, a raíz de un procedimiento interno de selección, la empresa solicitó a los trabajadores la remisión de su vida laboral y, al contrastar el currículum de la trabajadora con su vida laboral, se observó la incongruencia. 

Por ello, en marzo de 2022 la empresa procedió a notificarle su despido disciplinario, con efectos a partir del 24 de junio y fundamentado en su transgresión a la buena fe contractual (artículo 54.2.d) del Estatuto de los Trabajadores).

No obstante, la empleada impugnó el despido y alegó que se había vulnerado su derecho a la protección de datos, dado que la empresa empleó su informe de vida laboral para justificar su despido sin ningún tipo de base legítima para ello.

Si bien el tribunal de instancia declaró la procedencia del despido, la trabajadora recurrió al TSJ de Castilla y León, el cual ha declarado el despido como improcedente.

Este TSJ ha reconocido el uso ilícito de los datos personales cedidos por la trabajadora que realizó la empresa, dado que esta los utilizó para un fin distinto al que se suponía—la trabajadora había entregado el informe voluntariamente para procesos de selección, no para una investigación disciplinaria.

Asimismo, el Tribunal subraya la ilicitud del tratamiento, indicando que se ha vulnerado el derecho a la protección de datos de la trabajadora, el cual considera como un derecho fundamental protegido por el artículo 18.4 de la Constitución española

El Tribunal considera que esta vulneración es motivo suficiente para afirmar la improcedencia, dado que, en caso de prescindir de la información obtenida de la vida laboral de la empleada, el despido carecería de justificación. Además, destaca el defecto formal en la carta de despido, ya que esta no describía con claridad la conducta sancionada y que la falta alegada por la empresa había prescrito, pues, desde el conocimiento de la supuesta irregularidad en marzo de 2022 hasta el despido en junio de 2022, ya habían transcurrido más de 60 días, lo cual superaba el plazo legal para sancionar una falta muy grave.

El Tribunal Superior de Justicia de Castilla y León condenó a la empresa a readmitir a la trabajadora o abonarle una indemnización de 5.462’42€, además de una indemnización adicional por daños morales de 3.000€, debido a la vulneración de su derecho fundamental a la protección de datos.

Conclusión

La empresa no pudo acreditar un interés legítimo superior al derecho fundamental a la protección de datos de la trabajadora, por lo que la causa del despido quedó invalidada. Este fallo sienta un precedente sobre los límites de las empresas para verificar CVs, priorizando el cumplimiento del RGPD incluso en casos de presunta mala fe del trabajador.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

¿Trabajas o te vigilan? La CNIL multa con 40.000€ a una empresa por controlar hasta el segundo de inactividad de sus empleados

por

El 19 de diciembre de 2024, la autoridad de protección de datos francesa (CNIL) impuso una sanción de 40.000€ a una empresa del sector inmobiliario por controlar a sus empleados sin informar, sin adoptar medidas de seguridad adecuadas y sin haber realizado una EIPD.

Hechos

A raíz de varias denuncias, la CNIL realizó una inspección en la que observó que la empresa filmaba constantemente a sus empleados y captaba la imagen y el sonido, además de medir su tiempo de trabajo y evaluar su rendimiento de forma muy precisa gracias al programa informático instalado en sus ordenadores.

El sistema de videovigilancia captaba constantemente imágenes y sonidos de los empleados del local, tanto en sus puestos de trabajo como en los espacios de descanso. Además, estas imágenes podían ser visualizadas por los supervisores mediante una aplicación móvil. Esta medida no fue justificada de ninguna manera, lo cual supone una clara vulneración excesiva de los derechos de los trabajadores, así como del principio de minimización de datos (art. 5.1.c) RGPD).

Por otro lado, en cuanto al software instalado en los ordenadores de los empleados para monitorear su actividad, la CNIL consideró que esta medida era totalmente desproporcionada y una vigilancia especialmente intrusiva. Este software permitía, además de contar las horas de trabajo, saber si el empleado no escribía en el teclado ni movía el ratón en un período de entre 3 y 15 minutos, en el cual también podían tomarse capturas de pantalla periódicas. En caso de detectar estos períodos de inactividad, si no se justificaban o compensaban, se aplicaba una deducción de salario.

La CNIL indicó que este programa no era fiable, dado que los períodos de aparente inactividad podían corresponder a tiempo de trabajo efectivo en el marco de sus funciones (como reuniones o llamadas telefónicas), por lo que no había una garantía de que el software cumpliese con su finalidad de forma correcta.

Además, el sistema, al permitir la captura de datos potencialmente privados (como correos electrónicos personales, conversaciones de mensajería instantánea o contraseñas confidenciales), constituía una vulneración desproporcionada de la privacidad, intereses y derechos fundamentales de los trabajadores, y el tratamiento de los datos carecía de fundamentación legal (art. 6 RGPD).

Asimismo, la empresa tampoco proporcionó información escrita suficiente sobre el tratamiento que realizaba el software de monitorización, ni en documentos de información internos de la empresa ni en los contratos de trabajo y de estudio de los empleados, lo que constituye una infracción del artículo 13 del RGPD.

En último lugar, la empresa tampoco realizó una evaluación de impacto sobre la protección de datos (EIPD) para el tratamiento que realizó al implementar el programa de monitorización, la cual era necesaria al haber un alto riesgo para los derechos y libertades de los empleados.

Conclusión

La monitorización excesiva y el control laboral sin tomar las medidas técnicas y organizativas necesarias transgreden los derechos de los empleados a niveles excesivos. Hay que recordar que siempre que se realiza un tratamiento de datos que afecta derechos sensibles, debe realizarse con cautela y actuando en el marco de la normativa de protección de datos.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

Ley de Servicios Digitales (DSA) y marketing digital

por

La conocida como Ley de Servicios Digitales (DSA) de la Unión Europea (Reglamento UE), en vigor desde febrero de 2024, marca un antes y un después en el panorama del marketing digital. Esta normativa, diseñada para crear un entorno en línea más seguro y transparente, trae consigo cambios significativos que afectan directamente a las estrategias de marketing de empresas de todos los tamaños. En este artículo, exploraremos cómo la DSA está transformando el marketing digital y qué pueden hacer las empresas para adaptarse a este nuevo escenario.

Principales cambios introducidos por la DSA

Mayor transparencia en la publicidad

La DSA exige una mayor transparencia en la publicidad online. Esto implica:

  • Identificación clara de los anuncios y quién los patrocina
  • Explicación de por qué un usuario está viendo un anuncio específico
  • Prohibición de publicidad dirigida basada en datos sensibles

Estos cambios obligan a las empresas a repensar sus estrategias de segmentación y a ser más transparentes en sus prácticas publicitarias.

Restricciones en la publicidad dirigida a menores

Una de las medidas más significativas es la prohibición de la publicidad dirigida a menores basada en perfiles. Esto supone:

  • Necesidad de desarrollar estrategias de marketing alternativas para llegar al público joven
  • Mayor énfasis en el marketing de contenidos y la publicidad contextual

Control del usuario sobre las recomendaciones

La ley otorga a los usuarios más control sobre cómo se les muestran recomendaciones:

  • Opción de no recibir recomendaciones basadas en perfiles
  • Mayor transparencia sobre cómo funcionan los sistemas de recomendación

Esto implica que las empresas deberán adaptar sus estrategias de personalización y encontrar nuevas formas de ofrecer contenido relevante.

Adaptación de las estrategias de marketing

Enfoque en datos propios (first-party data)

Con las restricciones en el uso de datos de terceros, las empresas deben:

  • Fortalecer sus estrategias de recopilación de datos propios
  • Mejorar la calidad y el análisis de los datos recopilados directamente de los usuarios
  • Implementar sistemas robustos de gestión de consentimiento

Auge del marketing contextual

El marketing contextual gana relevancia como alternativa a la publicidad basada en perfiles:

  • Desarrollo de estrategias publicitarias basadas en el contexto del contenido
  • Mayor énfasis en la relevancia y calidad del contenido publicitario

Innovación en la medición y atribución

Las empresas necesitarán:

  • Desarrollar nuevos métodos de medición de la eficacia publicitaria
  • Implementar modelos de atribución alternativos que no dependan de cookies de terceros

Oportunidades emergentes

A pesar de los desafíos, la DSA también presenta oportunidades:

  • Mejora de la confianza del consumidor a través de prácticas más transparentes
  • Impulso a la innovación en tecnologías de marketing respetuosas con la privacidad
  • Posibilidad de destacar frente a la competencia mediante prácticas éticas y transparentes

Conclusión

La Ley de Servicios Digitales representa un cambio de paradigma en el marketing digital. Aunque plantea desafíos significativos, también ofrece la oportunidad de construir relaciones más sólidas y confiables con los consumidores. Las empresas que se adapten rápidamente a este nuevo entorno, priorizando la transparencia, la ética y la innovación, estarán mejor posicionadas para tener éxito en la era post-DSA.

¿Está tu estrategia de marketing preparada para la era DSA? No esperes más para adaptar tus prácticas y asegurar el cumplimiento normativo. Contacta con nuestro equipo de expertos en derecho digital para una evaluación personalizada y descubre cómo podemos ayudarte a navegar este nuevo panorama legal manteniendo la efectividad de tus campañas.

El diablo está en el detalle

por

En un mundo donde las promociones y sorteos son moneda corriente, el dicho anglosajón "El diablo está en el detalle" cobra un significado especial.

Esta historia gira en torno a un consumidor cuya ilusión por ganar una bicicleta eléctrica se convierte en una montaña rusa emocional. Es un relato que destaca la importancia que puede tener la letra pequeña o la falta de ella, la reacción empresarial ante errores y los derechos de los consumidores. Acompáñanos en este viaje de expectativas, frustraciones y soluciones, donde un simple correo puede tener el poder de cambiarlo todo.

Los hechos

Era un día cualquiera cuando nuestro protagonista, entusiasmado por la idea de una movilidad más sostenible, decidió comprar un producto participante en una promoción. El atractivo principal era el producto en sí pero también la oportunidad de entrar en el sorteo de una bicicleta eléctrica. Con los ojos brillantes de ilusión y un ticket de compra de tan solo 4,45€ en mano, se imaginaba ya recorriendo las calles de la ciudad en su nueva bicicleta.

Sin embargo, al abrir el paquete, su entusiasmo se desvaneció como un espejismo. La promoción había caducado. Y este detalle no se advertía en el envoltorio. Aquel pequeño detalle, no indicar –por error– la fecha fin de la promoción, transformó su mínima inversión en un desencadenante de frustración desproporcionada. Lo que parecía una simple compra se convirtió en un símbolo de esperanzas truncadas y promesas no cumplidas. La decepción era palpable, y con ella crecía un sentimiento de agravio. Este consumidor, con su ticket de escaso valor en mano, estaba a punto de embarcarse en una odisea de derechos y reclamaciones, subrayando cómo incluso la compra más pequeña puede desatar una crisis inesperada.

Primera respuesta de la empresa, rozando la catástrofe

La respuesta inicial de la empresa ante la queja de nuestro consumidor fue un claro ejemplo de cómo no manejar una situación delicada. En lugar de ofrecer una solución concreta o mostrar empatía genuina, la empresa recurrió a un repertorio de frases hechas y palabras vacías. "Valoramos a nuestros clientes", "Lamentamos las molestias ocasionadas", eran frases que resonaban sin sustancia. Esta aproximación genérica y despersonalizada solo sirvió para aumentar la frustración del consumidor, quien se sentía aún más desvalorizado e ignorado.

La situación estaba a punto de desembocar en una crisis de relaciones públicas. Lo que comenzó como una pequeña decepción por un ticket de 4,45€ estaba escalando a un descontento palpable, poniendo de manifiesto la importancia de una comunicación cuidadosa y considerada en el mundo empresarial.

Segunda respuesta de la empresa y la solución

Tras el descontento inicial, la empresa tomó un rumbo diferente en su segunda respuesta. Esta vez, reconocieron su error y adoptaron un enfoque más humano y comprensivo. Se comprometieron a devolver los 4,45€ del ticket y, en un gesto de buena voluntad, ofrecieron enviar un pequeño obsequio al consumidor como disculpa por las molestias causadas. Este cambio de actitud marcó un punto de inflexión en la experiencia del cliente.

El reconocimiento del error y la oferta de compensación transformaron la situación. Lo que había comenzado como una historia de frustración y decepción empezó a tomar un matiz de resolución y satisfacción. Este gesto, aunque pequeño, demostró que la empresa estaba dispuesta a escuchar y valorar a sus clientes, restableciendo así la confianza perdida. La reacción del consumidor fue positiva; aunque aún decepcionado por no participar en el sorteo, apreciaba el esfuerzo de la empresa para enmendar su error.

Derechos de los consumidores bajo la Ley española

Este incidente resalta la crucial importancia del cumplimiento de la ley en las prácticas comerciales, más allá de las estrategias de marketing. Bajo la legislación española, los consumidores tienen derechos que las empresas deben respetar. Esto incluye la veracidad en la publicidad y la obligación de informar claramente sobre las condiciones de las promociones. El caso de nuestro consumidor y la bicicleta eléctrica no es solo una cuestión de decepción; es un recordatorio de que las leyes están diseñadas para proteger al consumidor de prácticas engañosas o confusas (aunque sea por error, como en este caso), asegurando así una relación equitativa y transparente entre consumidores y empresas.

El poder de un buen correo en la resolución de crisis

La crisis surgida por la promoción caducada subraya una verdad universal: las personas detestan sentirse engañadas, incluso si es por error, y exigen que sus quejas sean atendidas adecuadamente. En este caso, el poder de un correo bien redactado fue crucial. Una comunicación directa, que reconoce el error y ofrece una solución concreta, puede transformar una situación adversa en una oportunidad para fortalecer la relación con el cliente. Este enfoque demuestra respeto y comprensión hacia el consumidor, elementos esenciales para restaurar la confianza y prevenir daños mayores a la reputación de la empresa. Y así fue en este caso.

Conclusión

La odisea de nuestro consumidor culmina con una nota de reconciliación y apertura hacia el futuro. A pesar de la inicial decepción y frustración, la respuesta final de la empresa logró suavizar las tensiones y abrir un camino hacia la restauración de la confianza. El consumidor, reconociendo el esfuerzo y la transparencia mostrada, no descarta la posibilidad de futuras interacciones con la empresa. Este desenlace resalta una lección valiosa: los errores ocurren, pero la forma en que una empresa los maneja puede convertir un cliente insatisfecho en uno leal. Al final, como suele suceder, el diablo estaba en los detalles, pero también lo estuvo la oportunidad de redención y crecimiento.

Y como siempre, confiad en la resolución de los conflictos por la vía amistosa y ¡cuidaos!

Google Chrome? No tan incógnito …

por

Google Chrome es, con diferencia, el buscador más utilizado por los usuarios que navegan por Internet. Muy por delante de Edge, Safari y los demás. Además, el servicio lo proporciona una gran compañía -grande en todos los sentidos- que hace que tengamos la percepción de que es un buen producto, merecedor de toda nuestra confianza. Pues bien, esto no debería ser exactamente así, por nuestra seguridad y privacidad.

Chrome, como otros navegadores, dispone de un método de navegación que denomina “incógnito”. La RAE, en la segunda acepción, define incógnito como "situación de un personaje público que actúa como persona privada". Es decir, persona que desea pasar por desconocida en su viaje virtual, en este caso, a la red. Y, sobre todo, sentirse seguro y protegido.

¿Qué es el modo incógnito?
En este modo, el navegador elimina los datos locales de la sesión de navegación en Internet. Quiere decir que se bloquean las cookies, no se registra el historial de navegación y cualquier otro rastreador, archivo temporal o barra de herramientas de tercero se desactivará. Y esto deja muchos datos a los que el modo incógnito no afecta para nada.

¿Es tan “incógnito”?
Pues no o al menos no es suficiente. Si inicias sesión en un sitio web, éste te identificará y podrá seguir tus actividades. No evitará que los sitios que visitas, tu centro educativo, tu empresa o proveedor de servicio de Internet puedan ver tu actividad y ubicación. Y tampoco evitará que los sitios web que visites publiquen anuncios basados ​​en tu actividad durante una sesión de incógnito.

El mensaje que destapa el asunto
Como siempre, el diablo está en detalles. La jefa de marketing de Goggle, Lorraine Twohill, envió un correo a Sundar Pichai (CEO) advirtiéndole de que los clientes estaban confundidos respecto al funcionamiento del modo incógnito y. "Haz que el modo incógnito sea realmente privado" escribió. Twohill lo envió después de que varios usuarios presentaran una demanda colectiva multimillonaria por supone seguimiento de los usuarios mientras utilizaban este modo.

Incluso los empleados avisaron
La cosa viene de lejos. Ya en 2018, un empleado compartió un informe que demostraba que los usuarios no entienden realmente cómo funciona y no saben que no protege su privacidad como ellos piensas. Para este empleado, "hay que dejar de llamarlo incógnito y de utilizar un icono con un espía" porque lleva a equivoco sobre sus características.

Recopila nuestros datos para mostrar publicidad
Google no se esconde y lo explica en un enlace pero nadie lo lee. ¿Le resulta familiar no leer las informaciones adicionales o los términos y condiciones de uso de las apps? Pues eso. Este enlace de “Más información” está bien visible en la página inicial y explica qué no hace el modo de incógnito.

En resumen
Al final, “business is business” y si fuera realmente incógnito, Google no haría negocio con nuestros datos que vende a los anunciantes. Por nuestra parte, podemos utilizarlo, como dice Google, por cuestiones inocentes como comprar un regalo por un familiar que comparte ordenador o por si salta el banner de cookies, como hacemos los profesionales de la privacidad. Por lo demás, es mejor utilizar DuckDuckGo para tener algo más de privacidad. Y queda pendiente por otro día hablar de Tor.

Como siempre, ¡cuidados!

Cosas que no puedes hacer cuando quieres contratar personas

por

Ya hemos hablado otras veces de lo que se puede hacer, y cómo, y de lo que no se puede hacer cuando quieres contratar a una persona para la empresa. Hay unas reglas del juego que, cuando no se siguen, dan paso a consecuencias no deseadas, como es el caso que hoy nos ocupa.

Podemos resumir el asunto explicando que una abogada optó a una vacante en una empresa a través de un portal de empleo. Poco después, la candidata averiguó que la empresa había hecho indagaciones sobre ella consultando sin autorización un fichero de morosos y presentó una reclamación ante la Agencia Española de Protección de Datos (AEPD) que ha procedido a sancionar a la empresa.

Según el procedimiento sancionador de la Agencia, la empresa Alquiler Seguro, SA ofrecía, a través de InfoJobs, una plaza de abogada. La reclamante se inscribió en dicha oferta. Y la empresa, antes de llamarla, hizo previamente una consulta a Asnef  (Asociación Nacional de Establecimientos Financieros de Crédito) para conocer su situación. Al no figurar en el registro, a continuación, la llamaron.

Semanas más tarde, a raíz de unas gestiones que la abogada hizo con Asnef, le remitieron un histórico de consultas en la que, para sorpresa de la reclamante, aparecía la consulta de la Alquiler Seguro, SA. Considera la abogada que estamos ante un acceso al fichero por una finalidad diferente a la prevista. La empresa lo ha hecho en el marco de un proceso de selección de personal y no para valorar su solvencia de cara a una futura relación comercial.

La AEPD imputa a la parte reclamada la comisión de una infracción por vulneración del Artículo 6.1 del RGPD, por falta de legitimación en el tratamiento ya que, a su entender la actuación de la empresa no se ajusta a ninguno de los supuestos previstos en la norma. La empresa, por su parte, alegó, entre otros, que esta situación podía haberse dado por un error humano porque a la hora de introducir el DNI de la candidata a "Asnef empresas" lo hizo al "Servicio Bureau Crédito".

Finalmente, la Agencia impone una sanción de 70.000€ que, con el reconocimiento de la responsabilidad manifestado en plazo y la reducción por pago voluntario de la sanción, queda en 42.000€. No es un importe pequeño. Aprovechamos para recordar que el reconocimiento de la responsabilidad que da pie a la reducción hace que, a efectos prácticos, acabe con la vía contenciosa de reclamación.

En resumen, la empresa hizo un tratamiento de datos no legitimado porque no contaba con el consentimiento (u otra base legitimadora) para hacerlo. Y eso, según la LOPDGDD, es una infracción muy grave. La contratación de personas en las empresas tiene que seguir, como con todo, unas reglas de juego. En el post citado al principio se recogen las principales.

Como siempre, ¡Cuidaos!

¡Si no pagas los servicios con dinero, lo haces con tus datos!

por

Esto no es nuevo. Desde hace tiempo sabemos que todo aquello que nos dan "gratuitamente" lo estamos pagando con nuestros datos personales. Nos bajamos una app para hacer, pongamos por caso, de brújula y nos piden consentimiento para acceder a nuestros datos, a los contactos, a nuestra ubicación, a las fotografías y los vídeos y a un largo etc. de datos. 

Teniendo en cuenta que en nuestro teléfono tenemos de media unas doscientas aplicaciones instaladas, ya nos podemos ir haciendo una idea de la dispersión de datos que hay.

Pero tampoco es necesario que sea una app, ni siquiera que la transacción se haga en Internet. Las tarjetas de pago como VISA o las de fidelización de cualquier comercio, acumulan a lo largo del tiempo una gran cantidad de datos que permiten hacer perfiles muy detallados de los individuos.

Qué comemos, cuántos somos en casa, de qué edades, estatus económico, dificultades para llegar a fin de mes, cuáles son nuestras preferencias en alimentación, viajes, música y tantas otras cosas. Y todo a cambio de miserables puntos o algún descuento de tanto en tanto.

Hasta aquí todo lo que sabíamos pero ahora, CaixaBank, nos ha abierto aún más los ojos. Y de manera francamente desagradable, por decirlo suavemente. Porque la Agencia Española de Protección de Datos le ha sancionado con 2.100.000€ por condicionar la prestación del consentimiento a sus clientes. Una multa de 2.000.000€ por condicionar la obtención del consentimiento a la exención de comisiones bancarias. Y, una segunda, porque en el formulario de consentimiento las casillas estaban premarcadas.  Práctica muy habitual (también ocurre con las cookies) que, en este caso, ha sido sancionada con 100.000€.

Sí, he leído bien. Según la AEPD, el banco condicionaba la exención de comisiones al otorgamiento del consentimiento por parte del cliente para recibir comunicaciones comerciales y para ceder sus datos a las entidades del Grupo Bankia. El Reglamento Europeo, dice claramente que "el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado que impida que éste ejerza su libre voluntad". La Agencia valora como agravante el gran número de clientes, cerca de un millón, que habían prestado el consentimiento para recibir publicidad y ceder los datos a Bankia.

La segunda multa se debe la inobservancia del requisito de obtener el consentimiento de una manera libre, específica, informada e inequívoca, incumpliendo el RGPD por cuanto "el silencio, las casillas premarcadas o la inacción no deben constituir consentimiento".  Esta invalidez conlleva una falta de legitimación que infringe el artículo 6.1 RGPD.

Estas noticias crean desazón en la sociedad, más si vienen de una institución que muchos consideramos señera. De una empresa de referencia como esta y por la naturaleza de su negocio, se espera que, además cumplir la normativa vigente, apliquen los más altos estándares éticos en el trato a sus clientes. La sanción económica no tendrá más trascendencia pero la reputación del Banco se verá afectada. 

Como dice el chef José Andrés, “lo importante es que nos cuidemos los unos a los otros”. Podemos empezar porque las empresas nos cuiden. ¡Y, no descuidemos, vigilar nosotros mismos!

UE-EEUU, luz al final del túnel?

por

Pocos días atrás, saltó la noticia de que la UE y EEUU habían llegado a un acuerdo para transferir, entre ambos espacios, datos personales, garantizando su privacidad. La transferencia de datos estaba suspendida desde el pasado 2020, cuando el Tribunal de Justicia de la Unión Europea (TJUE) anuló el acuerdo llamado “Privacy Shield” al considerar que EEUU no ofrecía suficientes garantías por la privacidad de los ciudadanos europeos.

Este anuncio del Presidente Biden debe tomarse, como siempre, con mucha cautela, por varias razones. Primero, porque por lo que parece, estamos ante una declaración de intenciones. Segundo, porque, de ser así, hay mucho trabajo por delante y no es una cuestión que se va a resolver en unas semanas. Y, tercero, porque, o mucho nos equivocamos pero cuesta creer que Max Schrems (el activista que impulsó las demandas que dieron origen a la anulación) se conforme sin presentar batalla.

Ya hemos hablado de la cuestión en varias ocasiones (1,2,3,4) pero hacemos un resumen de cómo hemos llegado hasta aquí.

Aunque el RGPD prevé otros mecanismos para blindar la privacidad de los datos en las transferencias internacionales (por ejemplo, las SCC –Standard Contractual Clauses– o las BCR –Binding Corporate Rules) es evidente que un acuerdo marco de adhesión por parte de las empresas americanas como el Privacy Shield facilitaba mucho las cosas, a ambos lados del Atlántico. Las empresas americanas sólo tenían que adherirse con un auto-certificado a los principios establecidos por el Departamento de Comercio de EEUU. Y las empresas, además de cumplir con sus obligaciones, sólo tenían que asegurarse de que la empresa que trataba a los datos estaba en la lista. Este planteamiento saltó por los aires en julio del 2020 con la citada sentencia.

¿Y que supone que el Escudo de Privacidad no esté en vigor? Pues que vayamos hacia dos años de incumplimiento continuado. Google, Facebook, Mailchimp y todas las empresas americanas que dan servicio a empresas europeas están en falso. Y las empresas europeas están, directamente, incumpliendo porque transfieren datos sin garantías. A veces de forma muy grosera como puede ser el caso de Mailchimp y otras, de forma más sutil como puede ser usando Google Analytics.

¿Y que dice el comunicado que pretende resolver la situación?

Pues literalmente dice que "Hoy hemos logrado un acuerdo sin precedentes sobre la protección de la privacidad de los datos y la seguridad de nuestros ciudadanos". El acuerdo “permitirá el flujo de datos entre la UE y EEUU de forma predecible, fiable, equilibrando la seguridad, los derechos a la privacidad y la protección de datos”, aseguró Von der Leyen. Y, según Biden, que se reanude el flujo de datos tendrá un impacto positivo estimado en unos 6.500 millones de euros.

Intereses económicos versus privacidad. Y, está claro, al final debemos conseguir lo mejor de ambos aspectos: permitir la transferencia de datos sin perjudicar a las empresas y su economía pero manteniendo la privacidad que emana del RGPD. Por esa es la garantía de la prosperidad por las economías occidentales.

Como siempre, ¡vigile sus datos y cuídese!

Industria publicitaria: ¿cómo afectará el nuevo RD sobre publicidad de alimentos y bebidas para menores?

por

Esta semana, el Ministerio de Consumo ha presentado el borrador del Real Decreto que regulará la emisión de publicidad de alimentos y bebidas para menores de 16 años. El documento, que estará en trámite de audiencia e información pública hasta el próximo 29 de marzo, tiene como objetivo "garantizar la protección de los derechos a la salud y el desarrollo integral de la infancia".

Dos son los grandes objetivos del Real Decreto:

1) Definir un marco regulatorio mínimo para la protección de la salud de la infancia y la adolescencia.

2) Promocionar acuerdos de corregulación y códigos de conducta en el ámbito de las comunicaciones comerciales sometidas a la norma.

Con el fin de justificar el Real Decreto, el Ministerio realiza una larga exposición de motivos, incluyendo numerosas referencias a estudios de la Organización Mundial de la Salud (OMS), de la Autoridad Europea de Seguridad Alimentaria (EFSA) y otros de carácter nacional como el que asegura que en España, cuatro de cada diez escolares entre 6 y 9 años sufren exceso de peso, Además la obesidad y el sobrepeso afecta especialmente a sectores vulnerables de la población.

La norma limita y reduce la exposición del público infantil y adolescente a la publicidad de alimentos y bebidas considerados poco saludables. Y va dirigida a menores de 16 años con acceso a contenido publicitario a través de medios como televisión, prensa y revistas infantiles, páginas web o redes sociales.

¿Y cuáles son las principales restricciones y prohibiciones? Por lo que afecta a la industria publicitaria, destacamos:

Evitar el uso de elementos de fantasía como dibujos animados.
No presentar alimentos y bebidas en cantidades excesivas.
Prohibir comunicaciones que sugieran que la compra aportará éxito social, popularidad o cualidades especiales de quien aparece en sus anuncios.
Prohibir comunicaciones comerciales que inciten a los menores a pedir a los familiares que les compren el producto anunciado.

El RD también incluye prohibiciones específicas de hacer publicidad en 5 categorías de productos:

  • Chocolate y productos de confitería, barritas energéticas, coberturas de dulces y postres
  • Pasteles, galletas dulces y bollería y otros productos de pastelería
  • Zumos
  • Bebidas energéticas y
  • Helados

Respecto a los productos no afectados de forma específica, se podrán publicitar siempre que no excedan determinadas cantidades de sodio, azúcar, edulcorantes, grasas totales y saturadas por cada 100 gr. de producto.

También se incluyen prohibiciones específicas en cuanto a las comunicaciones comerciales como que aparezcan “madres o padres, educadores, docentes, profesionales de programas infantiles, deportistas, artistas, influencers, personas o personajes de relevancia, notoriedad pública o proximidad con el público infantil , sea real o de ficción, que por su trayectoria sean susceptibles de constituir un modelo o ejemplo para las personas menores de edad”.

También se prohíbe realizar promociones dirigidas al público infantil que publiciten alimentos que no respeten los límites mencionados.

Destacar, por último, las restricciones sobre la publicidad en Internet de los productos limitados o prohibidos. En los servicios de intercambio de vídeos a través de plataformas o redes sociales, sólo se permitirá en plataformas que dispongan de mecanismos eficaces para evitar que las comunicaciones se dirijan al público infantil y permitan el bloqueo de anuncios emergentes por parte de los usuarios. La publicidad en páginas web y aplicaciones también queda supeditada a que dispongan de mecanismos similares.

Por último, el régimen sancionador remite a la Ley 17/2011, de 5 de julio, sobre Seguridad Alimentaria que prevé sanciones de hasta 600.000€ por las infracciones más graves en la materia.

Habrá que seguir la evolución del texto legal durante la exposición pública y ver cómo queda la norma definitiva. Sin embargo, tomamos nota y empezamos a prever los posibles escenarios que se pueden plantear y a pensar en alternativas. La previsión es siempre buena consejera.

Como siempre, ¡Cuidados!

Revisión Textos Legales Web