Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

DNI vs RGPD: La delgada línea entre identificación legal y vulneración de datos

por

El Documento Nacional de Identidad (DNI) no está clasificado como dato de categoría especial  bajo el RGPD (no incluye información sobre salud, origen étnico u orientación sexual). Sin embargo, su tratamiento genera un debate legal y práctico por su potencial para identificar inequívocamente a una persona y su uso masivo en procesos empresariales. Por otro lado, las estafas, las suplantaciones de identidad y los perjuicios económicos derivados de las dos situaciones anteriores están a la orden del día, por lo que realmente se trata de un dato de un riesgo y relevancia vital.

La Agencia Española de Protección de Datos (AEPD) se ha pronunciado al respecto e indica que el DNI contiene datos especialmente sensibles y susceptibles de un mal uso, sobre todo con su recopilación o almacenamiento indebido, dado que un tercero que tenga acceso a estos puede suplantar la identidad del titular del DNI con total facilidad y perpetrar conductas que supongan un alto riesgo para la privacidad, el honor y el patrimonio del suplantado.

Así lo ha reflejado al sancionar con 100.000€ a una compañía por solicitar una fotocopia del DNI por correo electrónico para acreditar la identidad de una persona sin informar adecuadamente sobre el tratamiento de sus datos (artículo 13. RGPD) y sin cumplir con las medidas de seguridad adecuadas.

En este caso, la AEPD cuestiona el envío del DNI por correo electrónico, pues no lo considera una vía segura para la transmisión de unos datos tan sensibles como los que figuran en el DNI.

Por su parte, la reclamada no presentó el análisis de riesgos ni tenía implementadas medidas de seguridad adecuadas para garantizar que el envío de dicha información fuera seguro, por lo que la AEPD ha decidido sancionarla con 50.000€ por la ausencia de medidas de seguridad y otros 50.000€ por no facilitar información sobre el tratamiento.

Conclusión

La AEPD ha enviado un mensaje contundente: gestionar el DNI con negligencia no solo vulnera la privacidad, sino que abre la puerta a consecuencias legales y económicas. La próxima vez que solicites una copia del DNI, recuerda: identificar no es sinónimo de exponer.

Para leer la resolución, haga clic aquí.

Como siempre, cuidad los datos y ¡cuidaos!

¿Trabajas o te vigilan? La CNIL multa con 40.000€ a una empresa por controlar hasta el segundo de inactividad de sus empleados

por

El 19 de diciembre de 2024, la autoridad de protección de datos francesa (CNIL) impuso una sanción de 40.000€ a una empresa del sector inmobiliario por controlar a sus empleados sin informar, sin adoptar medidas de seguridad adecuadas y sin haber realizado una EIPD.

Hechos

A raíz de varias denuncias, la CNIL realizó una inspección en la que observó que la empresa filmaba constantemente a sus empleados y captaba la imagen y el sonido, además de medir su tiempo de trabajo y evaluar su rendimiento de forma muy precisa gracias al programa informático instalado en sus ordenadores.

El sistema de videovigilancia captaba constantemente imágenes y sonidos de los empleados del local, tanto en sus puestos de trabajo como en los espacios de descanso. Además, estas imágenes podían ser visualizadas por los supervisores mediante una aplicación móvil. Esta medida no fue justificada de ninguna manera, lo cual supone una clara vulneración excesiva de los derechos de los trabajadores, así como del principio de minimización de datos (art. 5.1.c) RGPD).

Por otro lado, en cuanto al software instalado en los ordenadores de los empleados para monitorear su actividad, la CNIL consideró que esta medida era totalmente desproporcionada y una vigilancia especialmente intrusiva. Este software permitía, además de contar las horas de trabajo, saber si el empleado no escribía en el teclado ni movía el ratón en un período de entre 3 y 15 minutos, en el cual también podían tomarse capturas de pantalla periódicas. En caso de detectar estos períodos de inactividad, si no se justificaban o compensaban, se aplicaba una deducción de salario.

La CNIL indicó que este programa no era fiable, dado que los períodos de aparente inactividad podían corresponder a tiempo de trabajo efectivo en el marco de sus funciones (como reuniones o llamadas telefónicas), por lo que no había una garantía de que el software cumpliese con su finalidad de forma correcta.

Además, el sistema, al permitir la captura de datos potencialmente privados (como correos electrónicos personales, conversaciones de mensajería instantánea o contraseñas confidenciales), constituía una vulneración desproporcionada de la privacidad, intereses y derechos fundamentales de los trabajadores, y el tratamiento de los datos carecía de fundamentación legal (art. 6 RGPD).

Asimismo, la empresa tampoco proporcionó información escrita suficiente sobre el tratamiento que realizaba el software de monitorización, ni en documentos de información internos de la empresa ni en los contratos de trabajo y de estudio de los empleados, lo que constituye una infracción del artículo 13 del RGPD.

En último lugar, la empresa tampoco realizó una evaluación de impacto sobre la protección de datos (EIPD) para el tratamiento que realizó al implementar el programa de monitorización, la cual era necesaria al haber un alto riesgo para los derechos y libertades de los empleados.

Conclusión

La monitorización excesiva y el control laboral sin tomar las medidas técnicas y organizativas necesarias transgreden los derechos de los empleados a niveles excesivos. Hay que recordar que siempre que se realiza un tratamiento de datos que afecta derechos sensibles, debe realizarse con cautela y actuando en el marco de la normativa de protección de datos.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

Día de la Protección de Datos 2025: Protegiendo Nuestra Privacidad en la Era Digital

por

El 26 de abril de 2006, el Consejo de Europa decidió fijar el 28 de enero como el Día de la Protección de Datos, dado que fue el 28 de enero de 1981 cuando se firmó el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), primer instrumento jurídico internacional vinculante para proteger la privacidad en la era digital.

Esta fecha nos debería recordar la importancia de salvaguardar nuestra información personal en un mundo cada vez más conectado. Este año, la conmemoración adquiere especial relevancia ante los desafíos y avances en materia de privacidad digital, en especial, en áreas como la Inteligencia Artificial y neurociencia.

Desafíos que afrontar en 2025

El 2024 ha sido un año definitivamente lleno de decisiones regulatorias y judiciales que han transformado el ámbito de la privacidad de los datos. Hemos visto sanciones a Meta, LinkedIn, Uniqlo, OpenAI, Netflix y otras empresas conocidas que muestran las consecuencias de la falta de alineación con el RGPD.

Asimismo, también hemos vivido la entrada en vigor del Reglamento de Inteligencia Artificial, la cual es la primera ley en introducir ciertas directrices en relación con el uso de estas tecnologías avanzadas.

Estos sucesos evidencian la transformación digital que estamos viviendo y la necesidad de imponer la privacidad de nuestros datos como una prioridad legal.

Este nuevo año plantea nuevos retos para las empresas, las cuales van a tener que ajustarse a normativas más estrictas en esta materia, así como establecer medidas de seguridad para protegerse de las amenazas cibernéticas.

  • Reglamento de Cibersolidaridad: aprobado el 19 de diciembre de 2024 y con efectos en febrero de 2025, prevé los mecanismos que debe disponer la UE para aumentar su resiliencia y su capacidad de reacción en caso de recibir ciberamenazas.
    Sus objetivos se centran en: apoyar la detección y la conciencia de amenazas e incidentes de ciberseguridad significativos; reforzar la solidaridad a escala de la UE, gestionar de forma concertada las crisis y la capacidad de respuesta en todos los Estados miembros; y contribuir a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas.
  • Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés): aprobada el 12 de marzo de 2024 y aplicable por completo a partir del 11 de diciembre de 2027, es la primera legislación que establece requisitos de ciberseguridad a los productos digitales a lo largo de su ciclo de vida. Las empresas deben prepararse ya para cumplir con los nuevos requisitos. Entre sus especificaciones, se encuentran: requisitos de ciberseguridad obligatorios, actualizaciones continuas para corregir las vulnerabilidades, notificación obligatoria de vulnerabilidades, supervisión de mercado y transparencia para los consumidores.
    Esta normativa (que complementa la NIS-2) se aplica a todos los fabricantes de productos digitales, independientemente de si tienen base en la UE o fuera de ella, siempre que ofrezcan productos en el mercado europeo; afecta a fabricantes de hardware, desarrolladores de software, distribuidores e importadores.
  • Directiva NIS-2: Entró en vigor el 16 de enero de 2023 y aplicable desde finales de 2024, se espera establecer la lista de entidades esenciales e importantes como máximo hasta el 17 de abril de 2025. Esta norma revisa y amplía la Directiva NIS-1 de 2016, dado que esta ha quedado obsoleta en el contexto actual en el que los incidentes de ciberseguridad han ido in crescendo.
    Establece obligaciones en materia de ciberseguridad para impulsar un nivel de ciberseguridad adecuado y común y busca proteger la infraestructura digital en los Estados miembros y armonizar los requisitos de ciberseguridad a nivel europeo. Sus ámbitos de intervención son los siguientes: exigencia de altos niveles de seguridad a los Estados miembros, creación de un Grupo de Cooperación entre Estados miembros, obligaciones de ciberseguridad a empresas públicas y privadas en sectores «esenciales» e «importantes».
    En España, se ha aprobado recientemente el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, la cual traspone al ordenamiento jurídico español la Directiva NIS-2. Este anteproyecto diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, que se encargará de la gestión de las crisis de ciberseguridad.
  • Reglamento DORA (Digital Operational Resilience Act): entró en vigor el 16 de enero de 2023 pero se estableció un periodo de dos años para desplegar sus efectos por completo. Se aplica a todas las entidades financieras de la UE y busca crear un marco jurídico común para la gestión de los riesgos digitales en el sector financiero.
    Debido al aumento global de ataques cibernéticos, quiere lograrse la ciberresiliencia en las entidades financieras para garantizar la estabilidad financiera en el continente, por lo que sus objetivos se centran en: gestión de riesgos en los sistemas, clasificación y notificación de incidentes en ciberseguridad, pruebas de resiliencia operativa digital, normativa para el intercambio de información segura, entre otros.  
  • Reglamento de Datos de la UE: entró en vigor el 11 de enero de 2024 pero será aplicable a partir del 12 de septiembre de 2025. Deriva de la necesidad que despierta el auge del Internet de las Cosas (IoT) y complementa el Reglamento de Gobernanza de Datos. Con esta ley, los precios de los servicios posventa y la reparación de los dispositivos inteligentes serán más bajos; habrá nuevas oportunidades para utilizar servicios basados en el acceso a los datos; y se establecerá un mejor acceso a los datos recogidos o producidos por un dispositivo.

  • Reglamento de Inteligencia Artificial: entró en vigor el 1 de agosto de 2024 y es la primera norma del mundo que regula la Inteligencia Artificial. Despliega efectos por completo el 2 de agosto de 2026; no obstante, algunas disposiciones serán aplicables a partir de 2025. Por ello, las empresas deben prepararse para ajustarse a la normativa cuanto antes.
    Esta norma prohíbe ciertas aplicaciones de IA que afectan los derechos fundamentales como los sistemas de categorización biométrica, reconocimiento facial, de emociones
    Además, establece obligaciones para promover la alfabetización en IA, requisitos de gestión de riesgos y transparencia y estructuras de gobernanza.

Cómo proteger tus datos

En honor al día de hoy, te recomendamos lo siguiente para poder proteger tus datos:

  1. Utiliza contraseñas robustas y autenticación de dos factores.
  2. Mantén tus dispositivos y software actualizados.
  3. Evita compartir información sensible en redes públicas.
  4. Sé cauteloso con los permisos que otorgas a las aplicaciones.
  5. Realiza copias de seguridad de forma regular.

Para las empresas

Las organizaciones deben:

  • Implementar políticas de protección de datos sólidas.
  • Formar a sus empleados en materia de privacidad y seguridad. Invertir en formación en este ámbito puede prevenir de brechas de seguridad o errores humanos.
  • Designar un Delegado de Protección de Datos cuando sea necesario.
  • Realizar auditorías periódicas de cumplimiento.

Recordemos que la protección de datos no es solo una obligación legal, sino una responsabilidad compartida que nos beneficia a todos. Este Día de la Protección de Datos tomemos conciencia y actuemos para salvaguardar nuestra privacidad en el mundo digital.

Como siempre, cuidad los datos y ¡cuidaos!

E-mails en baja: ¿intrusión digital o comunicación inocua?

por

¿Qué es el derecho a la desconexión digital?

Este derecho está reconocido en el art. 88 de nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) y se dispone como un requisito indispensable en una relación laboral para respetar el tiempo de descanso, permisos y vacaciones, así como de la intimidad personal y familiar de los empleados.

Con la incorporación del teletrabajo y las nuevas tecnologías, que no son más que herramientas que facilitan la comunicación a distancia, los límites de la comunicación en el ámbito laboral se vuelven más difusos. Sin embargo, es importante respetar el horario laboral de los empleados y velar por el derecho a la desconexión digital.

Comentario de la STSJ de Madrid 534/2024, del 26 de junio de 2024

El pasado 26 de junio, el Tribunal Superior de Justicia de Madrid dictaminó que el envío de correos electrónicos corporativos a una persona en situación de incapacidad temporal no vulnera el derecho a la desconexión digital.

En este supuesto, el centro educativo en el que la empleada estaba de baja le envió correos electrónicos durante su periodo de incapacidad temporal. Este hecho plantea cuestiones sobre el derecho a la desconexión digital de los trabajadores, especialmente durante periodos de baja médica.

Cabe destacar que la demandante comunicó en reiteradas ocasiones que no contactaran con ella y que, a raíz de este hecho, se dejaron de enviar comunicaciones. Por lo tanto, el centro educativo respetó la solicitud de la trabajadora de no ser contactada, en alineación con el derecho a la desconexión digital.

En su recurso, la demandante alegó la vulneración de varios artículos relacionados con la protección de datos y el derecho al descanso, incluyendo el artículo 88 de la LOPDGDD y el artículo 18 de la Constitución Española. Argumentó que el envío de emails durante su incapacidad temporal entorpecía su recuperación y constituía una intromisión en sus derechos.

La parte demandada alegó que los correos electrónicos fueron enviados a la cuenta corporativa de la demandante como miembro del equipo docente y que, además, fueron enviados de manera automática al formar parte del listado de trabajadores del centro, por lo que la trabajadora no tenía obligación de abrir o leer estos correos durante su periodo de incapacidad temporal.

Además, se menciona que, tras la solicitud de la demandante en junio de 2023, su cuenta fue retirada de los grupos de trabajo. Esto indica una respuesta positiva a la petición de desconexión por parte del centro educativo.

Conclusión

La sentencia distingue entre los correos enviados desde la cuenta del centro y los enviados por un individuo desde su cuenta personal. Esto plantea cuestiones sobre la responsabilidad institucional frente a las acciones individuales en materia de desconexión digital.

Este caso ilustra la complejidad de equilibrar la comunicación laboral con el derecho al descanso y la desconexión, especialmente durante periodos de incapacidad temporal. La sentencia sugiere que, si bien inicialmente hubo comunicaciones no deseadas, el centro educativo finalmente respetó la solicitud de desconexión de la trabajadora, por lo que no hubo vulneración alguna.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Netflix: privacidad primero, ¡por favor!

por

Como decía Tim Cook, CEO de Apple, en una declaración de 2018, «Nuestra información personal, desde lo cotidiano hasta lo más íntimo, se ha convertido en un arma que se utiliza contra nosotros mismos con precisión militar. (…) Cada día, se mueven miles de millones de dólares y se toman innumerables decisiones sobre la base de nuestros gustos, amigos y familiares, relaciones y conversaciones, deseos y miedos, esperanzas y sueños (…) Estos datos, inofensivos por separado, son cuidadosamente combinados, sintetizados, analizados, comercializados y vendidos. Llevado al extremo, este proceso crea un perfil digital permanente de cada uno de nosotros y permite a las empresas conocernos mejor de lo que nos conocemos a nosotros mismos.» (1)

Ya hace años que se habla de la economía de datos y de los nuevos modelos de negocio denominados «privacy-first«, es decir, aquellos que anteponen la privacidad y que no requieren de la extracción de datos, ya que no monetizan los datos personales. Ya sabemos que no es fácil para muchas empresas pero no tener muy presente la privacidad tiene consecuencias.

La DDPA (Dutch Data Protection Authority), Agencia neerlandesa de Protección de Datos, ha propuesto una sanción de 4’75M€ a Netflix debido a la vulneración de ciertos principios del RGPD.

A raíz de una investigación iniciada en 2019 por el Centro Europeo para Derechos Digitales (NOYB, por sus siglas en inglés de None Of Your Business), la DDPA ha concluido que Netflix no ofrecía a los clientes información suficiente sobre el tratamiento de sus datos personales entre 2018 y 2020 y la información ofrecida no era transparente.

El Centro Europeo para Derechos Digitales, que es una organización sin ánimo de lucro fundada en Viena en 2017, fue el que identificó las vulneraciones del RGPD de Netflix—en especial, el art. 15—y advirtió a la Autoridad de Protección de Datos austríaca, la cual trasladó el expediente a la neerlandesa, dado que Netflix tiene su sede europea en Países Bajos.

Según la Agencia neerlandesa, la compañía de streaming no era lo suficientemente clara en los siguientes puntos:

  • Base de legitimación para recoger y tratar los datos personales ( 6 RGPD).
  • Comunicación de datos a terceros.
  • Período de conservación de datos.
  • Medidas de seguridad en transferencias internacionales de datos.

Por otro lado, cuando los usuarios se ponían en contacto con Netflix para ejercer sus derechos en el ámbito de la protección de datos, la compañía no ofrecía respuestas claras al respecto.

Si bien la decisión de la DDPA ha sido celebrada por NOYB, Stefano Rosetti, abogado del Centro ha criticado el largo periodo de tiempo—cinco años—que ha transcurrido para adoptar una postura teniendo en cuenta que «era un caso muy claro».

Netflix actualizó su política de privacidad en 2020 y ha ampliado la información ofrecida a los usuarios, sin embargo, se ha opuesto a la multa.

NOYB ha iniciado reclamaciones similares contra Amazon, Apple Music, Spotify y Youtube. En el caso de Spotify, la IMY (Autoridad de Protección de Datos sueca) impuso una multa de 5M€ por vulnerar el art. 15 RGPD.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la Resolución, haga clic aquí

(1) Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

Límites del control empresarial: Cuando registrar un despacho se convierte en delito

por

El Tribunal Superior de Justicia de Madrid declara que el registro del despacho de un trabajador despedido, sin su presencia ni la de representantes legales ni notario, constituye una vulneración de los derechos fundamentales a la intimidad y a la dignidad.

En la STSJM 383/2024, el Tribunal considera que la empresa realizó un registro del despacho de la trabajadora sin las debidas garantías, empezando por el hecho de que se llevó a cabo el 22 de diciembre de 2022, mismo día de su despido.

Si bien la empresa ofreció a la trabajadora la devolución de sus objetos personales, el mismo día procedió al registro de su despacho, sin esperarse a su respuesta y sin cerciorarse de que la trabajadora hubiese recibido la carta de despido. Además, aparte de realizarse sin la presencia de la trabajadora ni de ningún miembro del comité de empresa ni de otro empleado que pudiera actuar como testigo, se forzó un armario cerrado con llave y se accedió a la cajonera de la mesa del escritorio, en la que había enseres personales y material de trabajo.

La parte demandada alega que «el acceso al despacho de la demandante fue idóneo, necesario y proporcionado, para recuperar la documentación confidencial que la trabajadora decía guardaba en el mismo». El Tribunal, sin embargo, indica que «esta afirmación no se corresponde con las afirmaciones declaradas probadas, como afirmar que la demandada guardaba documentación confidencial y jurídica de su propiedad en el despacho de la trabajadora».

El Tribunal recuerda que, si bien el art. 20.3 ET se atribuye al empresario la facultad de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana, hay que tener en cuenta que, en aplicación de «esta necesaria adaptabilidad de los derechos del trabajador a los razonables requerimientos de la organización productiva en que se integra, se ha afirmado que manifestaciones del ejercicio de aquellos que en otro contexto serían legítimas, no lo son cuando su ejercicio se valora en el marco de la relación laboral

En consecuencia, el Tribunal Superior respalda la valoración de la Juzgadora de Instancia y dictamina que estas acciones no superan el test de proporcionalidad ni idoneidad exigido por la doctrina del Tribunal Constitucional.

Conclusión

El Tribunal Superior de Justicia de Madrid confirma la sentencia de instancia que declaró la vulneración del derecho a la intimidad personal de la trabajadora y mantiene la indemnización de 8.000€ que la empresa le debe abonar por dicha vulneración. Esta decisión subraya la importancia de respetar los procedimientos adecuados y las garantías legales al realizar registros en los espacios de trabajo de los empleados, especialmente en situaciones sensibles como un despido.

Puede leer la sentencia aquí.

Como siempre, ¡cuidad los datos y cuidaos!

Geolocalización y Privacidad en Marketing Móvil

por
Beneficios de la geolocalización en marketing móvil

La geolocalización permite a las marcas ofrecer contenido y ofertas altamente relevantes basadas en la ubicación del usuario. Esto puede mejorar significativamente la experiencia del cliente y aumentar la efectividad de las campañas de marketing. 

Algunas ventajas incluyen:

  • Ofertas personalizadas en tiempo real.
  • Mejora de la experiencia del cliente en tiendas físicas.
  • Optimización de campañas publicitarias locales.
  • Análisis de patrones de movimiento para mejorar estrategias de negocio.
Desafíos de privacidad

A pesar de sus beneficios, el uso de datos de geolocalización plantea serias preocupaciones sobre la privacidad. Los usuarios pueden sentirse incómodos con la idea de que las empresas conozcan su ubicación exacta en todo momento. Además, la recopilación y almacenamiento de estos datos sensibles aumenta el riesgo de violaciones de seguridad.

Regulaciones y cumplimiento normativo

Para abordar estas preocupaciones, normativas como el RGPD exigen que las empresas obtengan el consentimiento explícito de los usuarios antes de recopilar y utilizar sus datos de ubicación. Además, deben proporcionar información clara sobre cómo se utilizarán estos datos y permitir a los usuarios ejercer sus derechos sobre ellos.

Estrategias para equilibrar personalización y privacidad
  1. Transparencia y control del usuario:
    • Ser completamente transparente sobre qué datos se recopilan y cómo se utilizan.
    • Ofrecer a los usuarios control granular sobre sus preferencias de privacidad.
  2. Minimización de datos:
    • Recopilar solo los datos estrictamente necesarios para proporcionar el servicio.
    • Utilizar técnicas de anonimización y agregación de datos cuando sea posible.
  3. Consentimiento explícito y revocable:
    • Obtener el consentimiento claro y específico de los usuarios antes de utilizar sus datos de ubicación.
    • Permitir a los usuarios revocar fácilmente su consentimiento en cualquier momento.
  4. Seguridad robusta:
    • Implementar medidas de seguridad avanzadas para proteger los datos de geolocalización.
    • Realizar auditorías regulares de seguridad y privacidad.
  5. Personalización contextual:
    • Utilizar la geolocalización de manera contextual, ofreciendo valor real al usuario en momentos relevantes.
    • Evitar el uso excesivo o intrusivo de los datos de ubicación.
  6. Educación del usuario:
    • Informar a los usuarios sobre los beneficios de compartir su ubicación y cómo se protegen sus datos.
    • Proporcionar recursos educativos sobre privacidad y seguridad.
Implementación ética de estrategias basadas en ubicación

Para implementar estrategias de marketing basadas en geolocalización de manera ética, las empresas deben:

  • Desarrollar políticas de privacidad claras y accesibles.
  • Realizar evaluaciones de impacto en la privacidad antes de lanzar nuevas iniciativas.
  • Formar al personal en prácticas de privacidad y protección de datos.
  • Colaborar con expertos en privacidad y ética para garantizar el cumplimiento normativo.
Tendencias futuras

El futuro del marketing basado en geolocalización se centrará en:

  • Tecnologías de privacidad mejorada, como el Edge Computing y la privacidad diferencial.
  • Mayor integración de la inteligencia artificial para ofrecer experiencias personalizadas más precisas y menos intrusivas.
  • Evolución de las regulaciones de privacidad para abordar los desafíos emergentes en tecnología de localización.
Conclusión

El equilibrio entre la personalización y la protección de datos en estrategias de marketing basadas en geolocalización es un desafío continuo pero muy importante.

Las empresas que logren este equilibrio y ofrezcan experiencias personalizadas mientras respeten y protejan la privacidad de los usuarios estarán mejor posicionadas para ganar la confianza de los consumidores y destacar en un mercado cada vez más competitivo y regulado.

La clave está en adoptar un enfoque centrado en el usuario, en el que la transparencia, el control y la ética sean los pilares fundamentales de cualquier estrategia de marketing basada en ubicación.

Como siempre, cuidad los datos y ¡cuidaos!

La AEPD frena a SEAT: Lecciones de una política de cookies defectuosa

por

La AEPD ha propuesto una sanción de 20.000€ a SEAT, S.A. por incumplimientos relacionados con la protección de datos personales, concretamente, en la gestión inadecuada de las cookies.

En una inspección de oficio llevada a cabo por la Agencia, sin mediar reclamación previa, se observó que la página web de SEAT utilizaba cookies cuya naturaleza no era técnica y sin consentimiento del usuario. La página web activaba cookies de funcionalidad y segmentación (como cookies de YouTube para seguimiento de preferencias de video y publicidad) sin que el usuario hubiese dado su consentimiento explícito, lo cual incumple la exigencia de recabar el consentimiento del usuario antes de instalar cualquier cookie no técnica.

Por otro lado, a pesar de que las cookies sí se podían gestionar desde el acceso a la política de cookies instalada en la web de SEAT, no podían eliminarse, si se deseaba, una vez aceptadas.

«No es posible modificar el consentimiento prestado a la utilización de cookies de naturaleza no técnicas o necesarias. Pues, aunque se opte por rechazar ahora todas las cookies, se comprueba que las cookies instaladas cuando se prestó el consentimiento siguen presentes en el navegador», indica la AEPD.

Como la revocación del consentimiento no era efectiva, ya que las cookies no técnicas permanecían activas y seguían enviando información después de que el usuario intentaba desactivarlas, la AEPD determinó una sanción de 20.000€, que quedó reducida a 12.000€ por reconocimiento de la infracción y pago voluntario.

¿Qué medidas debemos tener implementadas en nuestra página web para asegurarnos que no nos ocurre lo mismo?

Medidas a implementar

  1. Obtención del consentimiento previo
  2. Mecanismo efectivo de retirada del consentimiento
  3. Revisión de la clasificación de cookies
  4. Mejora del panel de control de cookies
  5. Actualización de la política de cookies

Implementación técnica

  • Bloqueo de cookies no esenciales
  • Sistema de gestión de consentimiento
  • Eliminación efectiva de cookies

Consideraciones adicionales

  • Realizar auditorías periódicas para asegurar el cumplimiento continuo de la normativa.
  • Formar al personal técnico y legal sobre los requisitos de la LSSI en materia de cookies.
  • Considerar la implementación de una solución de Consent Management Platform (CMP) que cumpla con los estándares actuales de privacidad.

Al implementar estas medidas, cumpliremos con el artículo 22.2 de a LSSI-CE y evitaremos posibles sanciones.

 Para leer la Resolución, haga clic aquí.

Como siempre, cuidad los datos y ¡cuidaos!

Derechos digitales de los menores y marketing responsable

por

En un mundo cada vez más digitalizado, el marketing dirigido a menores ha cobrado una relevancia significativa, pues la tecnología está al alcance de las personas cada vez a una edad más temprana. Por ello, se ha manifestado la necesidad de implementar regulaciones estrictas y estrategias responsables para proteger a este grupo vulnerable. Las nuevas normativas y prácticas buscan equilibrar la influencia del marketing digital mientras se asegura el bienestar y la seguridad de los menores.

Regulaciones recientes en marketing dirigido a menores

La Unión Europea ha sido pionera en establecer regulaciones que protegen a los menores en el entorno digital. La Ley de Servicios Digitales (DSA, por sus siglas en inglés) es un ejemplo clave, ya que prohíbe la publicidad basada en perfiles para menores y obliga a las plataformas en línea a evaluar los riesgos sistémicos que puedan afectar los derechos y el bienestar mental de los niños.

Por otro lado, en España, se ha aprobado justamente este año el Real Decreto de «Usuarios de Especial Relevancia», que obliga a los influencers a etiquetar contenido por edades y prohíbe la promoción de productos como tabaco o alcohol, asegurando que no se cause daño psicológico o físico a los menores.

Estrategias de marketing responsable

1. Transparencia y veracidad

La ética en la publicidad exige que las marcas sean transparentes y veraces en sus comunicaciones. Esto implica presentar información precisa sobre productos y servicios, evitando afirmaciones engañosas que puedan erosionar la confianza del consumidor. Las campañas deben ser claras sobre su naturaleza publicitaria, especialmente cuando se dirigen a menores.

2. Inclusión y diversidad

Las estrategias de marketing responsable también promueven la inclusión y diversidad. Por ello, es fundamental que las campañas reflejen una variedad de culturas y contextos para que todos los niños se sientan representados. Esto no solo mejora la percepción de marca, sino que también fomenta un entorno más inclusivo.

3. Uso ético de influencers

El uso de influencers infantiles requiere un enfoque ético. Las marcas deben asegurarse de que estos influencers promuevan productos adecuados para su audiencia y cumplan con las regulaciones pertinentes. Además, deben evitar cualquier contenido que pueda explotar la inexperiencia o credulidad de los menores.

4. Contenido educativo y entretenido

El contenido dirigido a menores debe ser tanto educativo como entretenido. Las campañas efectivas utilizan elementos lúdicos para captar la atención mientras transmiten mensajes positivos o educativos. Esto no solo ayuda a mantener el interés del niño, sino que también contribuye al desarrollo cognitivo.

Retos actuales

A pesar de las regulaciones y estrategias responsables, existen desafíos significativos:

  • Adaptación tecnológica: La rápida evolución tecnológica requiere una constante actualización de las normativas para abordar nuevas formas de publicidad digital.
  • Cumplimiento global: Las diferencias entre las legislaciones nacionales e internacionales complican el cumplimiento uniforme por parte de las empresas globales.
  • Equilibrio entre creatividad y regulación: Las marcas deben encontrar un equilibrio entre ser creativas e innovadoras en sus campañas mientras cumplen con las regulaciones estrictas.

Conclusión

El marketing dirigido a menores es un campo delicado que requiere una atención meticulosa tanto desde el punto de vista legal como ético. Las recientes regulaciones buscan proteger a los menores mientras permiten que las marcas continúen interactuando con este público de manera responsable. A medida que avanza la tecnología, será crucial que las empresas sigan adaptándose para garantizar prácticas publicitarias seguras y efectivas. Al hacerlo, no solo cumplirán con las normativas vigentes, sino que también contribuirán al desarrollo positivo del entorno digital para las generaciones futuras.

Como siempre, cuidad los datos y ¡cuidaos!

Revisión Textos Legales Web