HAGA CLIC legales

Aspectos PARA de privacidad

y publicidad
MODIFICAR en entorno digital
Paula Ortiz
Directora Jurídica y RRII IAB Spain
<Lo que pasa en el MIB,
se queda en el MIB>

¿Y lo que pasa en mi vida digital?

Data protection is not a technical
or legalistic matter.

It is a profoundly human one.

Privacidad y Protección de Datos
ÉTICA
• Falsa dicotomía protección de datos- no
innovación
• LEGAL-ÉTICO-SOSTENIBLE
PROGRAMA

1. Privacidad y protección de datos

2. Comunicaciones comerciales
3. Cookies y otros dispositivos

OBJETIVO
• DO´S & DONT´S
• Como gestores, podáis pensar y dirigir un modelo de negocio competitivo donde los consumidores y usuarios
quieran estar
HAGA CLIC PARA
MODIFICAR
1. Privacidad y Protección de Datos
Privacidad y Protección de datos

▪ .
Dato personal:
toda información sobre una persona física identificada o
identificable; se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;

-medios razonablemente utilizados y sin esfuerzos desproporcionados.

-razonabilidad y proporcionalidad
Privacidad y Protección de datos
ÁMBITO DE APLICACIÓN
PRINCIPIOS
▪ Licitud, lealtad y transparencia
▪ Fines determinados, explícitos y legítimos,
y no serán tratados ulteriormente de
manera incompatible
▪ Minimización de datos
▪ Exactitud
▪ Limitación del plazo de conservación
▪ Integridad y confidencialidad.
▪ Responsabilidad proactiva.
DERECHOS
▪ Información
▪ Derechos de acceso, rectificación y
supresión (derecho al olvido)
▪ Derecho a la limitación del tratamiento
▪ Derecho a la portabilidad
▪ Derecho de oponerse al tratamiento
▪ Derecho de oponerse a la elaboración de
perfiles
Privacidad y Protección de datos
Privacidad y Protección de datos

Registros
Compras
Analytics
Social Login
Conectores sociales
1st party data
2nd party data
3th party data
Privacidad y protección de Datos
Privacidad y Protección de Datos: Reglamento Europeo de Protección de Datos

“The EU provides the right to

have your personal data
protected by strong, European
laws…because in Europe
privacy matters.”
Jean-Claude Juncker, President of the European Commission
Brussels, 14 September 2016
Privacidad y Protección de Datos: Reglamento Europeo de Protección de Datos
Año 0 para muchos negocios digitales

Aplicación global Amplia concepto Más difícil la Derecho a la Protección de Datos

Dirigir productos o servicios de dato personal obtención del portabilidad desde el diseño/
Monitorizar comportamiento consentimiento Responsabilidad
(Inequívoco) demostrable
Pseudonimización

Refuerzo de la Data Protection Consulta previa a Aumento multas: Prohibición

información Officer “(…) en tratamiento de 20 mill de euros ó elaboración de
participar en todas las alto riesgo 4% facturación perfiles: salvo
cuestiones relativas a (después de la PIA) global anual. consentimiento
la protección de explícito
datos”
Reglamento Europeo de Protección de Datos
7
Cumplir con la norma en 12 sencillos pasos CHECK LIST CONSENTIMIENTO
Revisar cómo estás obteniendo el consentimiento
y si tienes que hacer cambios
1
CONCIENCIACIÓN
Asegúrate que los tomadores de decisiones y 8
MENORES
la gente clave sabe que hay un cambio de
Analizar cómo vas a poner sistemas de verificación
norma. Necesitan conocer el impacto que
de la edad o recoger el consentimiento paterno
tendrá.

9
2 INFORMACIÓN QUE TIENES VIOLACIONES DE SEGURIDAD
Asegurarte de que tienes los procedimientos
Documentar qué información tienes, de donde adecuados para detectar, reportar e investigar las
viene y con quién la compartes. Igual es brechas de seguridad
necesaria una auditoría.

10
3 PROTECCIÓN DE DATOS DESDE EL
CAMBIO DE POLÍTICAS DE DISEÑO E IMPACTOS DE PRIVACIDAD
PRIVACIDAD Familiarizarte con las guías publicadas por la AEPD
Revisar tus políticas de privacidad actuales e y empieza a trabajar en la implementación
incluir los requisitos del RGPD
5 11
SOLICITUDES DE ACCESO Actualizar los OFICIALES DE PROTECCIÓN DE DATOS
4 procedimientos y planificar como se van a gestionar Deberías designar un DPO si así lo establece la ley,
DERECHOS las peticiones dentro de los nuevos plazos que se responsabilice del cumplimiento y
Revisar los procedimientos para asegurar que establecer qué rol tendrá en tu organización
cubren todos los derechos incluyendo cómo se
van a eliminar los datos personales o darlos en 6 12
forma electrónica BASE LEGAL PARA EL TRATAMIENTO INTERNACIONAL
Mirar los diferentes datos que tratamos identificar la Si operas internacionalmente, debes determinar a
base legal para tratarlos y documentarlo qué autoridad PD te sometes
 DPO
Funciones
• Informar / Sensibilizar
Papel del DPO: • Asesoramiento
• Garantizar el cumplimiento
“(…) participar: en todas las • Supervisar / controlar
cuestiones relativas a la • Inventario tratamiento de operaciones de tratamiento
• Cooperar
protección de datos
• Consultar
personales.” • Punto de contacto

Obligaciones de las organizaciones hacia los DPO

• Dar apoyo a los DPOs:

• Reporte al más alto nivel de la organización
• Proporcionando el "acceso a los recursos"
• Garantizando su formación
• Asegurando que todo el personal coopera con el DPO
• Publicar los datos de contacto externa e internamente
• Comunicarlo a la APD
Revisión de la ruta de cumplimiento:
Todas las actividades de tratamientos de datos deben ser revisadas y documentadas identificando
"qué, dónde, cuándo y por qué" realizando un análisis de riesgo en cada tratamiento.

• ¿Qué información doy en la recogida de datos?

• ¿Dónde, cuándo y por qué trato los datos?
• ¿Tengo un fundamento jurídico para tratarlos?
• ¿Estoy aplicando los principios del tratamiento de datos?
• ¿Qué datos se anonimizan, qué datos se pseudonimizan?
• ¿Por cuánto tiempo almaceno estos datos?
• ¿Con quién comparto estos datos?
• ¿Cuál es el nivel de riesgo por tratamiento?
• ¿En qué casos soy el responsable del tratamiento o el encargado?
• ¿Estoy transfiriendo datos fuera de la UE?
• ¿Pido el consentimiento solo para mi empresa o para terceros?
• ¿He revisado y documentado los procesos de seguridad?
• Informar AEPD de las violaciones de seguridad de los datos en 72 horas
Licitud para el tratamiento de datos
• Consentimiento del interesado para fines
específicos
• O el tratamiento es necesario:
• Para la ejecución de un contrato o medidas
precontractuales
• Cumplimiento de una obligación legal (RT) -
Para proteger intereses vitales
• Para el cumplimiento de una misión de
interés público o en el ejercicio de poderes
públicos
• Para la satisfacción del interés legítimo (no
aplica a las autoridades públicas)
Análisis y ponderación del interés legítimo:
• El impacto que dicho tratamiento tenga en el interesado.
• La naturaleza de los datos objeto de tratamiento y la forma de
dicho tratamiento.
• Las expectativas razonables de los interesados en relación con
el tratamiento.
• El desequilibrio entre el responsable del tratamiento y el
interesado
• Casos en los que dicho interés puede existir, tales como la
libertad de información y expresión, las actividades de
marketing o publicidad, prevención del fraude o mal uso de
servicios, seguridad, finalidades científicas, estadísticas o de
investigación
Privacidad y Protección de Datos: Reglamento Europeo de Protección de Datos
Consentimiento
(32) El consentimiento debe darse mediante un acto afirmativo claro que
refleje una manifestación de voluntad libre, específica, informada, e
inequívoca del interesado de aceptar el tratamiento de datos. Esto
podría incluir cualquier declaración o conducta que indique claramente
que el interesado acepta tratamiento de sus datos. Por tanto, el silencio,
las casillas ya marcadas o la inacción no deben constituir
consentimiento.

▪ Separado de otros términos o declaraciones.

▪ No se puede usar el consentimiento para la prestación del servicio para otras
finalidades
▪ Informar que tienen derecho a retirar el consentimiento en cualquier momento
▪ Fórmula: Consentimientos separados para diferentes finalidades

Estoy de acuerdo (conducta activa)

Por seguir navegando, usando el servicio consideramos que aceptas

Inactividad o silencio (Si no nos dices nada, consideramos que aceptas)

Casillas premarcadas
Privacidad y Protección de Datos: Reglamento Europeo de Protección de Datos
Información

Política de Privacidad IAB

Detalles sobre la información personal que
Política de Privacidad IAB
Detalles sobre la información personal
Más…
se recoge, qué se hace con ella y con quien que se recoge, qué se hace con ella y
podría compartirse con quien podría compartirse
Si está basado en interés legítimo, cual es.
Quien somos (+DPO) Derechos
La existencia de decisiones automatizas, incluida la
elaboración de perfiles, información significativa sobre la
Por qué recogemos Derecho a retirar el lógica aplicada, así como la importancia y las consecuencias
los datos consentimiento
previstas de dicho tratamiento para el interesado.
Con quien los Posibilidad de presentar
compartimos una reclamación DPA Cuando el responsable del tratamiento proyecte el
tratamiento ulterior de datos personales para un fin que no
Categorías de datos sea aquel para el que se recogieron, proporcionará al
que recogemos Transferencias
interesado, con anterioridad a dicho tratamiento ulterior,
información sobre ese otro fin y cualquier información
Cuanto tiempo Obligación o no de dar
los datos. Consecuencias
adicional pertinente a tenor del apartado 2.
los conservamos

Como acceder
a la información Acepto
que tienes sobre mi

¿Cómo lo hacemos en IoT o wearables?

Privacidad y Protección de Datos: Reglamento Europeo de Protección de Datos

CONSEJOS ÚTILES

Informar al usuario...
• Política de Privacidad
• Aviso legal
• Aviso de cookies

...y, legitimar el tratamiento, pedir el consentimiento

O anonimizar
Privacidad y publicidad digital
Privacidad y publicidad digital: Ámbito de aplicación

LOPD/ Aplicable a personas físicas, no jurídicas

RGPD

LSSI Aplicable a personas físicas y jurídicas

Prohibición de comunicaciones comerciales salvo consentimiento expreso
LGTel Prohibición llamadas consentimiento expreso
Privacidad y publicidad digital: RGPD
Privacidad y publicidad digital: LSSI

Comunicaciones fácilmente identificables (informar de forma

Información clara el nombre de quien se envía el mensaje publicitario). Ya
no es necesario incluir “publi” o “publicidad”.

• Comunicaciones comerciales que no hayan sido solicitadas

Consentimiento expreso.
Prohibición spam
expresamente por el usuario (no vale consentimiento
tácito) o haya relación contractual previa siempre que sea
para productos similares.
• Debe ofrecerse forma de revocar consentimiento
procedimiento sencillo y gratuito tanto en la recogida
como en cada una de las comunicaciones
Privacidad y publicidad digital: Formas de obtener datos LOPD
Información
• Finalidades determinadas, explícitas y legítimas relacionadas con la actividad publicitaria.
• Sectores específicos y concretos de actividad respecto de los que podrá recibir mensajes publicitarios
• La AEPD es contraria a expresiones como “Se autoriza al tratamiento de datos para fines “comerciales”,
“publicitarios”, de “marketing”, de “prospección comercial”, etc…

Artículo 15 Solicitud del consentimiento en el marco de una relación contractual

para fines no relacionados directamente con la misma
Si el responsable del tratamiento solicitase el consentimiento del afectado durante
el proceso de formación de un contrato para finalidades que no guarden relación
directa con el mantenimiento, desarrollo o control de la relación contractual,
deberá permitir al afectado que manifieste expresamente su negativa al
tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la
marcación de una casilla claramente visible y que no se encuentre ya marcada en
el documento que se le entregue para la celebración del contrato o se establezca
un procedimiento equivalente que le permita manifestar su negativa al
tratamiento.
Cláusula (finalidades secundarias)

“El interesado tiene derecho a conocer, rectificar y cancelar u oponerse al tratamiento

de la información que le concierne y autoriza que pase a formar parte del fichero de
(indicar responsable y dirección), ante el cual podrá ejercer sus derechos, y a que sea
utilizada para mantener la relación comercial y recibir información y publicidad de
nuestra empresa y de otras relacionadas con los sectores de telecomunicaciones,
financieros, ocio, formación, gran consumo, automoción, energía, agua, y ONGs. Si
no desea ser informado de nuestros productos o servicios, o de los de terceros, señale
con un X esta casilla O”.
Pasamos de esto

A esto
Marketing viral

Criterios de la AEPD para considerar el “envía a un amigo” como comunicación comercial no

deseada: (Resolución PS/00183/2009: “Dos entradas VIP para concierto de Madonna”: Envía a un
amigo rellenando formulario web . 40.000 envíos)→ 30.001€ de multa

NO se considerará comunicación comercial

SI se considerará comunicación comercial
(no encaja en definición de comunicación
cuando:
comercial)
1. Contenga en el propio mensaje la promoción
de un producto o servicio de la entidad
1. Cuando el cuerpo del mensaje incluya un
remitente y
link a la página (no el contenido). El
receptor decide si visita la página
2. Sea enviada desde la plataforma de la propia
destinataria
beneficiaria de la publicidad
2. Se envíe voluntariamente, sin
contraprestación económica

En definitiva, encontrar la forma de que sea el propio usuario quien envíe el mensaje
 !
¿Y el consentimiento?
Necesidad de consentimiento para ceder nuestras BBDD a Facebook o Twitter.

Pedir el consentimiento en nuestra Cláusula de Privacidad con la opción de no prestarlo (opt out)
E-privacy
Legislación sobre cookies: Autoridades de protección Industria publicidad digital
Directiva 2009/136/CE de datos
(transpuesta en LSSI) AD CHOICES
CONSENTIMIENTO EXPRESO
DE INFORMACIÓN A
CONSENTIMIENTO
INFORMADO
•LOPD LSSI
•RGPD LSSI
•RGPD Propuesta Reglamento e-Privacy

Acceso/almacenamiento Cookies como datos

de información en los personales
terminales

CONSENTIMIENTO

E-privacy RGPD
Base legal
Responsabilidad intermediarios: Necesidad de contratos
En todo caso es necesario obtener el
consentimiento para las siguientes
finalidades:
- La utilización de plugins de redes sociales

- La publicidad

Google Analytics es como el Atleti:

Me mata.
Me da la vida.
SOLUCIÓN IAB CADENA PUBLICITARIA
Herramientas auto auditoría cookies
German Green MEP Jan Philipp Albrecht told reporters
last week that current media reliance on clicks and
adverts to generate revenue has no future.
"I think you can earn better money for quality products
with real money," he said on Friday (10 November).

The new rapporteur for the European Parliament, MEP

Birgit Sippel (S&D, DE) took the floor with a scathing
speech that called industry liars and stating that the
ePrivacy Regulation would not prohibit all advertising but
it would “prohibit surveillance-based advertising.”

The most extreme version of the ePrivacy Regulation

possible, as none of the amendments of the EPP and ECR
Groups have been taken on board
 REGLAMENTO DE E-PRIVACY

- Consentimiento
inequívoco instalación de
cookies a través de
navegador

- Obligación navegadores
bloquear todas las cookies

- Prohibición cookie walls

Gracias por vuestra
atención :)

¿Dudas?

paula@iabspain.es