Cesión de datos de organizaciones benéficas: guía de la CNIL

La CNIL ha publicado recientemente una guía en relación a la cesión de datos con fines de prospección en las organizaciones benéficas. 

 

La CNIL ha publicado recientemente una guía relacionada con la cesión de datos por parte de organizaciones benéficas con la finalidad de prospección. Conforme a la CNIL, estas directrices están dirigidas a cualquier asociación o fundación que apele a la generosidad del público para recibir donaciones y que ceda los datos de sus miembros o contactos con la finalidad de prospección benéfica o comercial. Las normas aplicables varían ligeramente según el objetivo que se persiga con la reutilización de los datos; ya sea para campañas benéficas o comerciales. Esta guía también se enfoca a las compañías comerciales que venden o alquilan a las organizaciones benéficas archivos con datos personales para prospección benéfica. 

 

Las organizaciones que cedan los datos de sus miembros a otras organizaciones con fines de prospección benéfica deberán informar a los interesados. 

 

Las normas aplicables a la prospección benéfica son menos estrictas que aquellas que regulan la prospección comercial. Una organización puede transmitir los datos de sus miembros o contactos a otra organización con la finalidad de prospección benéfica, conforme a las condiciones básicas del RGPD. Esta prospección puede realizarse por correo, llamadas telefónicas o por otros medios electrónicos, como SMS o llamadas automáticas. Bajo el RGPD, las partes afectadas (miembros/contactos) deben haber sido informados del uso de sus datos con finalidades de prospección benéfica en el momento de la recogida inicial. Deberá ser en ese momento cuando los sujetos sean informados de la posible cesión de sus datos a los socios de la organización con finalidad de prospección benéfica.  

 

Las organizaciones deberán obtener consentimiento en el momento de recoger los datos para poder utilizarlos con finalidades de prospección comercial.

 

En algunos casos, una asociación o fundación que apela a la generosidad del público puede necesitar ceder los datos de sus miembros o contactos a otras organizaciones similares con la finalidad de prospección comercial. Para que esta circunstancia pueda darse, los interesados tendrán que haber dado su consentimiento explícito para que sus datos se utilicen con esta finalidad de manera específica, en el momento los mismos fueron obtenidos. Además, los sujetos también deberán poder oponerse al tratamiento de estos datos de antemano, de forma sencilla y gratuita.  Por ejemplo, debería ser tan fácil como marcar una casilla de verificación que esté a su disposición en los pasos iniciales de recogida de datos. También podrán retirar su consentimiento en cualquier momento, y en concreto después de cada contacto.  

 

Una organización que reciba datos de sus miembros es responsable del tratamiento de los mismos y deberá cumplir con el RGPD. 

 

Una vez que una organización ha recibido datos de miembros o contactos por parte de otra organización que los recoge, la misma será responsable del tratamiento de estos y tendrá que cumplir con los requisitos aplicables bajo el RGPD. Deberá proporcionar a los interesados toda la información relevante, como tarde en la primera comunicación con los mismos. Esto incluye, en concreto, aportar la fuente de la que se obtuvieron los datos, así como otra información exigida por el artículo 14 del RGPD. Asimismo, tanto en el primer contacto como en cada comunicación, el interesado deberá poder oponerse a ser contactado de nuevo. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL advierte de que las funciones personalizadas de Google Analytics no hacen legal la transferencia de datos

La CNIL ha anunciado que las transferencias de datos con Google Analytics no son legales ni aunque se utilicen las funciones personalizadas. 

 

La CNIL ha anunciado recientemente que incluso con el uso de las funciones personalizadas de Google Analytics, las transferencias de datos a través de esta tecnología no son legales en ausencia de un acuerdo de transferencia de datos entre Europa y Estados Unidos. Este anuncio se ha incluido en la página de respuestas y preguntas de la CNIL, como una clarificación después de que numerosas empresas mostrasen su esperanza de que las funciones de personalización pudiesen emplearse de tal modo que hiciesen legales las transferencias de datos entre Europa y Estados Unidos a través de Google Analytics. Sin embargo, según la CNIL, la utilización de esta herramienta sigue sin cumplir con el RGPD aunque ahora haya algunas opciones preventivas disponibles. 

 

A pesar de que se están realizando grandes esfuerzos para reemplazar el ya anulado Privacy Shield, las autoridades indican que aún queda un largo camino por recorrer. 

 

A principios de este año, la CNIL envió comunicaciones formales a una serie de empresas tras determinar que las transferencias de datos a Estados Unidos a través de Google Analytics son ilegales. Esta decisión se basó en la resolución del TJUE en el caso Schrems II que anuló el Privacy Shield hace dos años. Mientras que se anunció que dicha herramienta se reemplazaría, aún queda mucho camino por recorrer. La Vicepresidenta ejecutiva de la Comisión Europea, Margrethe Vestager, confirmó en el Foro Internacional de Ciberseguridad que tuvo lugar a principios de este mes que las negociaciones “han finalizado”, pero también indicó que “aun queda mucho trabajo por hacer”.  

 

En ausencia del Privacy Shield, la CNIL ha dado respuesta a una serie de preguntas y preocupaciones relacionadas con otras soluciones que se han ofrecido al respecto. 

 

Mientras que se espera el reemplazo del Privacy Shield, la CNIL ha sido muy transparente y ha ofrecido clarificación siempre que ha sido necesario. La autoridad de control ofreció también su opinión sobre la posibilidad de configurar Google Analytics de tal modo que no se transfiriesen datos fuera de la UE, de tal manera que ha expresado al respecto una clara negativa acompañada de una explicación centrada en que “el uso de soluciones propuestas por compañías sujetas a jurisdicciones no europeas puede dar lugar a dificultades en cuanto al acceso a los datos”. Este será el caso incluso en ausencia de una transferencia, pues Google ha confirmado a la CNIL que todos los datos recogidos por Google Analytics son almacenados en Estados Unidos. 

 

Muchas de las soluciones alternativas no se consideran satisfactorias, pues cualquier transferencia de datos personales a Estados Unidos parece suponer un riesgo. 

 

Google ha propuesto la implementación de garantías adicionales como la anonimización y el cifrado de los datos, pero la CNIL no considera satisfactorias ninguna de estas soluciones. La CNIL reconoce la función de anonimización de IP proporcionada por Google, pero indica que no se aplica a todas las transferencias y que Google ha sido incapaz de demostrar que la anonimización tiene lugar antes de que los datos sean transferidos a Estados Unidos. Los identificadores únicos no son tampoco una buena solución porque su uso puede ser identificado a través de la asociación con otros datos. La CNIL establece que las soluciones de cifrado de datos ofrecidas por Google fueron ineficientes, pues Google ofrece y guarda las claves, lo que permite a la compañía acceder a los datos si así lo desea. Como resultado, cualquier compañía u organización que quiera utilizar esta herramienta necesitará obtener consentimiento explícito de los sujetos afectados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL publica una guía sobre su criterio en relación a las cookies

La CNIL en Francia ha publicado una guía sobre su criterio en relación a las cookies, a fin de ayudar a las empresas a determinar la validez de las cookies y otros rastreadores. 

 

La CNIL ha publicado una guía sobre el uso de cookies y otros rastreadores. Aunque inicialmente se prohibían los denominados muros de cookies al considerarse una vulneración del consentimiento libre, ahora la CNIL ha concluido que la validez o legalidad de los mismos se determinará caso por caso. Cabe recordar que los muros de cookies requieren el consentimiento del usuario con el objetivo de permitirles acceso al sitio. En consecuencia, la autoridad de control ha publicado una guía con un criterio preliminar para evaluar la legalidad del uso de los muros de cookies, en ausencia de una posición clara por parte del TJUE.  

 

Aunque los “muros de cookies” o “cookie walls” no están prohibidas en Francia, se requiere una evaluación detallada para su implementación.  

 

Los muros de cookies requieren que los usuarios acepten las cookies u otros rastreadores a fin de acceder al contenido de una página web. En la mayoría de casos existe una alternativa de pago en forma de subscripción para compensar por cualquier pérdida en términos del beneficio por publicidad dirigida que no se obtendría en dichos escenarios al ser tan sólo posible mediante la recogida de cookies. Se pretende ahora adoptar un enfoque por el cual se evalúa la validez y legalidad de las cookies en función de las alternativas ofrecidas a los usuarios si deciden rechazar las cookies, y de cómo de razonables son estas. Se requerirá una evaluación detallada de las opciones alternativas, como recomienda la CNIL. 

La CNIL ha destacado varios factores clave que se deben tomar en consideración para determinar la validez del consentimiento y los muros de cookies. 

 

Mientras que la validez de los muros de cookies se determinará caso por caso, la CNIL ha destacado algunos factores determinantes. Por ejemplo, deberá tenerse en cuenta si el usuario que rechaza las cookies tiene una alternativa justa para acceder al contenido. En algunos casos se puede ofrecer un acceso de pago, de manera que se sustituye el muro de cookies por un muro de pago. En aquellos casos donde se imponga un muro de pago para acceder al contenido, la CNIL considerará si el precio es razonable. En la mayoría de situaciones se determinará por la cantidad de beneficio derivado de la publicidad que se perdería como resultado del rechazo de cookies del usuario. Otro punto importante es si el muro de cookies puede cubrir todas las cookies de manera indiscriminada o sólo algunos tipos. 

 

La CNIL recomienda que el editor ofrezca una alternativa real y justa para permitir a los usuarios el acceso al sitio si rechazan las cookies y que no requiera el consentimiento para utilizar sus datos. En los casos en que el usuario decida pagar el acceso sin consentir las cookies, aún deberá haber escenarios limitados en los que se puedan depositar algunas. La CNIL señala que los usuarios deberían poder aceptar o rechazar las cookies según la finalidad de las mismas, y deberían poder acceder a la configuración de la página y revocar su consentimiento en cualquier momento. 

¿Quieres utilizar cookies en tu página web o en tu app? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Grabación de conversaciones telefónicas para el establecimiento de un contrato

La CNIL ha publicado una guía sobre el establecimiento de contrato mediante conversaciones telefónicas grabadas. 

 

En lo que se refiere al establecimiento de contratos, a veces se requiere grabar una conversación telefónica como prueba de formación del mismo. La ley lo permite cuando sea necesario, de forma que para que una organización pueda grabar conversaciones telefónicas de forma legítima, debe, como el responsable de los datos, demostrar que no hay otro modo de probar que se ha formado el contrato con el sujeto. La CNIL ha publicado un informe donde detalla los factores que deben tenerse en cuenta cuando se precisa grabar las conversaciones de teléfono a estos efectos.  

 

Mientras que algunos contratos pueden formalizarse de manera oral, otros deben establecerse por escrito. 

 

La grabación debe ser necesaria para probar la formación del contrato, de manera que no se aplicará a los contratos escritos. Cuando se contacta con un cliente por teléfono con el objetivo de establecer un contrato relacionado con la venta de bienes o la provisión de servicios, por ejemplo, el usuario sólo está vinculado a ello después de haberlo aceptado y firmado a través de un medio duradero, como un contrato escrito. La grabación de conversaciones telefónicas con la finalidad de probar la formación del contrato es por tanto necesaria en este contexto. Sin embargo, aquellos contratos que pueden formalizarse de manera oral (por ejemplo, para la compra de determinados servicios de pago), si la grabación de conversaciones es posible, el principio de minimización de datos debe ser respetado en el proceso.  

 

Cuando el contrato se establezca mediante conversación telefónica, sólo podrá grabarse la parte de la conversación relacionada con la formación del contrato. 

 

Cuando los contratos puedan formalizarse mediante una grabación, salvo que la ley lo permita, ésta no deberá ser permanente ni sistemática, y sólo se podrán grabar las conversaciones relacionadas con el establecimiento del contrato por teléfono. En consecuencia, la empresa u organización tendrá que proporcionar mecanismos para grabar las conversaciones telefónicas entre el operador y el cliente sólo desde el momento en que la conversación versa de forma clara sobre el establecimiento del contrato. La parte relevante de la conversación sólo puede retenerse en ausencia de otra prueba de formación del contrato. La grabación tampoco puede activarse por defecto ni automáticamente. El escenario recomendado as aquel en el que el operador activa la grabación manualmente, tan sólo en casos donde la finalidad de la conversación es confirmar un contrato que no puede probarse por otros medios. 

 

El tratamiento de datos personales basado en el establecimiento del contrato es posible bajo el RGPD. 

 

Cuando se acuerda formalizar un contrato por teléfono, las grabaciones de las conversaciones telefónicas pueden tratarse sobre la base del contrato bajo el RGPD. El artículo 6(1)(b) del RGPD proporciona una base legal para el tratamiento de los datos personales siempre y cuando “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.