¿Qué es el consentimiento en el RGPD?

El consentimiento en el RGPD es la manifestación de voluntad libre, específica, informada e inequívoca de una persona, mediante la que acepta el tratamiento de sus datos personales. 

En otras palabras, para que una empresa u organización pueda tratar legalmente los datos personales de un individuo, necesita su permiso claro y explícito. Este permiso no puede ser ambiguo, dado por hecho o implícito.

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el 2018, si tu empresa utiliza cookies o recopila cualquier clase de información personal por medio de formularios u otros canales, es obligatorio obtener el consentimiento previo del usuario.

Requisitos para un consentimiento válido en el RGPD

Entre las obligaciones de protección de datos para empresas, la solicitud de consentimiento es una de las principales. Ahora bien, no es suficiente con un consentimiento tácito, y además existen una serie de condiciones que deben darse. 

El consentimiento debe ser libre

La persona no puede haber otorgado su consentimiento en un contexto de coacción ni de engaño. Por ejemplo, si la información en la página web se presenta con letras difíciles de leer, o bien se condiciona la prestación de un servicio al consentimiento (siempre que se trate de datos innecesarios para el servicio).

La persona debe consentir de manera explícita y específica

No marcar una casilla no puede ser una forma de dar consentimiento en materia de protección de datos, ni tampoco consentir el tratamiento en otro contexto. 

El artículo 7 del RGPD, en el punto 3, dice lo siguiente:

«Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo».

Por tanto, no se puede suponer que la persona acepta el tratamiento de sus datos para fines publicitarios, por ejemplo, si consintió el uso de sus datos para otros fines. En cada finalidad del tratamiento debe haber un consentimiento inequívoco por parte del interesado.

En cuanto al consentimiento explícito, estos son algunos ejemplos:

• Firmar un formulario de consentimiento
• Marcar una casilla de verificación de forma activa
• Hacer clic en un botón de «Aceptar» en un banner de cookies
• Dar una declaración verbal clara

Ten en cuenta que la legislación obliga a ofrecer botones claros y separados cuando se incluyan opciones de consentimiento en un banner. El usuario debe poder elegir si acepta o no el tratamiento de sus datos. Por tanto, no se puede colocar la opción de aceptar las cookies sin que exista la de rechazar, con igual tamaño y relevancia a nivel visual.

Si la tecnología de recopilación de consentimiento utilizada, como un banner de cookies, no cumple con estos requisitos, el consentimiento obtenido puede no ser considerado válido, lo que podría dar lugar a sanciones por parte de la autoridad de control, como la AEPD en España.

Tipos de consentimiento en el RGPD

Dentro del RGPD no se establecen tipos específicos de consentimiento, pero las condiciones que debe cumplir para ser válido permiten distinguirlo según diversas características, dependiendo de si éstas se cumplen o no. 

Así, podemos clasificar el consentimiento en las siguientes categorías:

• Implícito o explícito
• Inequívoco o ambiguo
• Libre o sujeto a condicionamiento
• Informado o desinformado

En otras palabras, el RGPD exige una serie de estrictos requisitos para que el consentimiento sea válido. No basta con que el usuario no se oponga al tratamiento de sus datos, sino que debe dar su aprobación para el tratamiento de forma activa, consciente y libre.

¿Cómo obtener el consentimiento según el RGPD?

Obtener el consentimiento de acuerdo con el RGPD requiere que las empresas implementen procesos claros y transparentes, garantizando que los usuarios entiendan qué datos se recopilan y para qué fines. 

Mejores prácticas para formularios de consentimiento y banners

Para asegurar que el consentimiento sea válido, es fundamental seguir algunas mejores prácticas.

• Las casillas de consentimiento deben estar desmarcadas por defecto
• Explicar, en un lenguaje sencillo y accesible, qué datos se recopilan
• Utilizar botones o casillas visibles que permitan al usuario aceptar
• Incluir siempre una opción para que el usuario pueda rechazar el tratamiento
• Facilitar datos de contacto del responsable del tratamiento para retirar el consentimiento

Los usuarios deben saber en todo momento qué datos se están recogiendo, con qué propósito, cómo serán utilizados y si serán compartidos con terceros. Además, deben poder ejercer sus derechos recogidos a partir del artículo 15 del RGPD: acceso a los datos, rectificación, supresión, limitación, oposición y portabilidad.

Plataformas de gestión de consentimiento

Con la creciente dependencia de herramientas tecnológicas para la recopilación y tratamiento de datos, es fundamental que las empresas implementen mecanismos que permitan gestionar el consentimiento de forma eficiente, segura y conforme a la normativa.

Para gestionar el consentimiento de manera eficiente y conforme al RGPD, se recomienda utilizar plataformas especializadas. Usercentrics es una CMP (Consent Management Platform o plataforma de gestión del consentimiento) diseñada para facilitar la implementación de banners de consentimiento. 

Con este tipo de herramienta la empresa puede asegurar la trazabilidad de las decisiones de los usuarios y permite cumplir con los requisitos de transparencia y gestión del consentimiento en tiempo real. Con Usercentrics, las empresas pueden ofrecer una experiencia de usuario fluida y conforme con las normativas de protección de datos.

Excepciones y situaciones especiales del consentimiento RGPD

Es importante tener en cuenta que las empresas pueden estar autorizadas al tratamiento de datos personales sin el consentimiento explícito en ciertos casos. El artículo 6 del RGPD hace referencia a otras bases legales para la licitud del tratamiento, aparte del consentimiento.

• Si es necesario para la ejecución de un contrato del que es parte el interesado
• Si se requieren los datos para cumplir una obligación legal
• Si se necesita para proteger intereses vitales de cualquier persona física
• Para cumplir misiones de interés público 
• Si el tratamiento es imprescindible para satisfacer intereses legítimos que prevalezcan sobre los derechos fundamentales del interesado

Por ejemplo, si tu empresa tiene que procesar datos de un cliente para poder tramitar el envío de un producto que ha comprado, tienes derecho a utilizar esos datos para ese fin en particular, siempre tomando las medidas necesarias para protegerlos. 

Hay un tipo especial de consentimiento que ocupa un artículo aparte dentro de la normativa de la Unión Europea. El RGPD en el artículo 8 hace referencia al consentimiento del niño en relación con los servicios de la sociedad de la información. Por ejemplo, ¿qué ocurre si una empresa tiene una app dirigida a niños? Si tiene más de 16 años, se considera lícito su consentimiento, pero en menores de 16 el consentimiento debe ser otorgado por quien tenga su patria potestad, como un padre, madre o tutor.

Consecuencias de no cumplir con el consentimiento RGPD

No obtener un consentimiento válido para el tratamiento de datos personales o tratar datos sin una base legal que lo justifique puede acarrear graves consecuencias para las empresas. 

La Agencia Española de Protección de Datos (AEPD) puede imponer multas que van desde los 900€ hasta los 20 millones de euros, o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, se optará siempre por la cifra mayor, en función de la gravedad de la infracción (artículo 83 del RGPD).

Conclusión 

En el momento actual de transformación digital de las empresas, el consentimiento se ha convertido en un tema crítico que debe ser gestionado de forma adecuada. No solo es un requisito legal, sino también una oportunidad para demostrar transparencia, responsabilidad y respeto por la privacidad. 

Si quieres una solución automatizada que te facilite el cumplimiento del RGPD, súmate a los miles de empresas que utilizan Usercentrics en su sitio web. Así podrás mejorar la experiencia del usuario al visitar tu web o ecommerce, asegurando que sus datos sean tratados con transparencia y responsabilidad.

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

¿Qué es una política de cookies?

La política de cookies tiene un papel fundamental en el cumplimiento de la normativa de protección de datos, en este sentido es esencial conocer los requisitos del RGPD (Reglamento General de Protección de Datos) y la LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico). Su principal objetivo es garantizar la transparencia sobre el uso de cookies en los sitios web. 

Si tu empresa opera dentro de la Unión Europea o se dirige a sus usuarios, es obligatorio:

• Informar sobre las cookies utilizadas
• Explicar sus objetivos y funcionamiento
• Obtener el consentimiento explícito antes de proceder a su activación

Es importante aclarar que la obligatoriedad de recopilar el consentimiento explícito de los usuarios solo se da en el caso de cookies no esenciales. Las cookies esenciales, que se explicarán con detalle más adelante, se pueden aplicar sin el consentimiento expreso.

Qué son las cookies

Las empresas no solo recopilan datos mediante formularios, sino también a través de tecnologías de seguimiento como las cookies, lo que hace imprescindible contar con una política de cookies actualizada y detallada.

Vayamos a las bases y expliquemos primero qué son las cookies. Se trata de pequeños archivos que se almacenan en el dispositivo del usuario al visitar un sitio web. 

Estas herramientas permiten:

• Recoger información sobre hábitos de navegación
• Guardar preferencias del usuario
• En ciertos casos, identificar al usuario de forma única

La importancia de la política de cookies

Una política de cookies bien estructurada no solo evita sanciones, sino que también refuerza la confianza de tu audiencia en la empresa. No basta con respetar la privacidad, sino que además se debe facilitar a los usuarios la tarea de ejercer sus derechos respecto a sus datos personales.

En resumen, la política de cookies explica:

• Los tipos de cookies que utiliza el sitio
• Sus finalidades específicas
• Cómo el usuario puede gestionarlas o desactivarlas

El cumplimiento de esta normativa no solo es un requisito legal, sino también un compromiso con la transparencia y la protección de la privacidad de tus prospectos, clientes y cualquier otro usuario que visite tu página web.

¿Qué tipos de cookies se incluyen en la política?

Una política de cookies debe detallar los tipos de cookies que utiliza un sitio web, clasificándolas según su necesidad, finalidad, origen y duración. 

Tipos de cookies según su finalidad

Las cookies técnicas son esenciales para el funcionamiento del sitio web. Por ejemplo, permiten navegar, acceder a áreas seguras, gestionar el carrito de compras o realizar el proceso de pago. Estas cookies no requieren consentimiento, ya que sin ellas el sitio no funcionaría correctamente.

En cuanto a las cookies no esenciales, pueden tener diferentes finalidades:

• De preferencias o personalización (como el idioma del sitio o la app)
• De análisis o medición (para mejorar la funcionalidad y experiencia del usuario)
• Publicitarias 
• Cookies de seguimiento 

Estas son algunas de las principales cookies no esenciales que necesitan el consentimiento explícito del usuario para ser instaladas y utilizadas.

Tipos de cookies según su origen

Las cookies que gestiona el mismo sitio que recopila los datos son las cookies propias, mientras que las cookies de terceros se instalan en la página desde el servidor de un proveedor externo. Por ejemplo, Google Analytics puede instalar cookies en un sitio web al que ofrece sus servicios, o plataformas de anuncios que incorporan banners en un sitio o aplicación.

Tipos de cookies según su duración

Mientras las cookies de sesión solo permanecen activas mientras el usuario navega por el sitio y se eliminan al cerrar el navegador, las cookies persistentes se almacenan en el dispositivo por un período definido de tiempo. Es importante asegurarse de definir una duración legítima, de acuerdo con la finalidad y conforme a la normativa vigente.

¿Cómo crear una política de cookies conforme al RGPD?

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una guía sobre el uso de las cookies. En ella se detallan los puntos clave recogidos en el RGPD y la LOPDGDD, que afectan a las empresas que se dirigen a usuarios de España.

En la página 15 de la guía se explica claramente lo que debe incluirse en la política de cookies. 

En la política de cookies deberá incluirse la siguiente información:

• Definición y función genérica de las cookies
• Información sobre el tipo de cookies que se utilizan y su finalidad
• Identificación de quién utiliza las cookies
• Información sobre la forma de aceptar, denegar o revocar el consentimiento
• En su caso, información sobre las transferencias de datos a terceros países
• Periodo de conservación de los datos

Respecto a la información requerida por el artículo 13 del RGPD que no esté directamente relacionada con las cookies (como los derechos de los interesados), el responsable del sitio puede incluir un enlace o referencia a la política de privacidad. Puedes profundizar más en estos temas con nuestra completa guía práctica del uso de cookies en España.

¿Cómo implementar la política de cookies en tu web?

Implementar una política de cookies conforme al RGPD no solo garantiza el cumplimiento normativo, sino que también refuerza la confianza de los usuarios. ¿Cómo implementar una política de cookies de manera efectiva y conforme a la ley?

• Crea una sección dedicada a la política de cookies, accesible desde el pie de página
• Asegúrate de que el contenido de la política sea claro, completo y comprensible
• Añade un banner o pop-up de cookies
• Configura un gestor de cookies, como Cookiebot
• Revisa y actualiza regularmente

Asegúrate de que los usuarios puedan modificar sus preferencias en cualquier momento. Además, no olvides que el RGPD no solo exige solicitar el consentimiento para el uso de cookies, sino también implementar las medidas de seguridad necesarias para proteger la información de carácter personal recopilada. Al mismo tiempo, se deben garantizar los derechos de las personas sobre sus datos: acceso, rectificación, supresión, limitación y portabilidad.

Ejemplos prácticos de políticas de cookies

Un ejemplo a seguir en cuanto a una política de cookies efectiva y conforme a la ley es la de la Comisión Europea. 

En su página web se proporciona un link de acceso a la política de cookies. En esta sección podemos encontrar los siguientes apartados:

• Qué son las cookies
• Cómo utilizamos las cookies
• Cookies de terceros
• Cómo gestionar las cookies

La información está bien estructurada, la letra es clara y es fácil de leer. Además, la política de cookies incluye enlaces a más información, incluidos los links de las políticas de cookies de los proveedores externos, como YouTube, Facebook, Google o LinkedIn, entre otros.

Conclusión

En resumen, siempre que utilices cookies no esenciales debes informar a los usuarios, obtener su consentimiento antes de recopilarlas y permitirles rechazar su uso de manera sencilla. Una política de cookies bien implementada permite a los usuarios tomar el control de su privacidad y, al mismo tiempo, protege a las empresas de posibles sanciones por incumplimiento normativo.

Usercentrics es una plataforma que facilita la gestión del consentimiento de cookies, ayudando a los sitios web a cumplir con normativas. Es un software que se integra de manera sencilla y permite automatizar la recopilación del consentimiento, ayudando a las empresas a cumplir la legislación vigente de manera fácil y segura.

–

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Google Analytics, como herramienta de análisis web, recopila información de los usuarios y por lo tanto debe utilizarse de acuerdo con las leyes de protección de datos. El Reglamento General de Protección de Datos (RGPD) está en vigor en la Unión Europea desde 2018 y afecta a cualquier empresa, esté donde esté su sede, que opere con datos de ciudadanos dentro del Espacio Económico Europeo. Por tanto, Google debe cumplir las exigencias que establece el reglamento, así como cualquier empresa con audiencia en la UE cuyo sitio web utilice Google Analytics u otro de sus servicios.

Google Analytics por sí mismo no garantiza automáticamente el cumplimiento del RGPD, ya que su uso depende de cómo las empresas configuren y gestionen la recopilación de datos. Además, la herramienta presenta algunos desafíos para garantizar el cumplimiento de la legislación vigente. Con todo, Google Analytics ha ido incorporando varias funcionalidades para ayudar a sus clientes a cumplir con las exigencias de la normativa en materia de privacidad.

Las empresas responsables del tratamiento de datos de su sitio web deben asegurarse de cumplir con las leyes de protección de datos. Esto pasa por:

• Solicitar y documentar correctamente el consentimiento de los usuarios
• Configurar la anonimización de datos
• Revisar los acuerdos con Google 

En última instancia, es responsabilidad de la empresa asegurarse de cumplir con el RGPD y de que cualquier proveedor que trate sus datos recopilados también lo haga.

¿Por qué Google Analytics puede incumplir el RGPD?

Google Analytics ha sido objeto de escrutinio bajo el Reglamento General de Protección de Datos (RGPD) por autoridades como la Agencia Española de Protección de Datos. Pese a que se han desestimado importantes demandas como la de Noyb contra la RAE y Google Analytics, en Francia la CNIL (Comisión Nacional de Informática y Libertades) impuso una multa a una empresa por no obtener el consentimiento adecuado de los usuarios al usar Google Analytics; también ha habido casos sonados en Austria y otros países de la UE.

El principal problema radica en que Google Analytics almacena los datos de los usuarios en servidores ubicados fuera de la Unión Europea, lo que implica transferencias internacionales de datos personales. Esta exportación de datos fuera del marco legal europeo debe estar amparada por mecanismos de seguridad adecuados que garanticen un nivel de protección equivalente al del RGPD.

Google se ha acogido al Escudo de Privacidad UE-EEUU para justificar las transferencias de datos a Estados Unidos. Sin embargo, este mecanismo ha sido declarado inválido por el Tribunal de Justicia de la Unión Europea, lo que ha puesto en entredicho la legalidad de estas transferencias.

Por otra parte, la legislación europea exige el consentimiento libre, específico, informado e inequívoco del interesado antes de recopilar sus datos personales. En el caso de Google Analytics, es fundamental que los usuarios sean informados de forma clara y concisa sobre la finalidad de la recogida de sus datos, la identidad del responsable del tratamiento y sus derechos.

Aunque Google Analytics ofrece la opción de anonimizar las direcciones IP, esto no garantiza la completa anonimidad del usuario. Mediante técnicas de correlación, es posible identificar a individuos a partir de conjuntos de datos anónimos.

En algunos casos, Google Analytics puede recopilar datos considerados como «categorías especiales» según el RGPD, como datos de salud, origen racial o étnico, opiniones políticas, etc. El tratamiento de estos datos está sujeto a restricciones adicionales.

Por otra parte, la herramienta puede almacenar datos personales durante períodos más largos de lo necesario para los fines para los que fueron recogidos, lo que contraviene el principio de minimización de datos del RGPD.

Respecto a la anonimización de datos que exige la ley, aunque Google aplica medidas para ello, las empresas deben asegurarse de que no haya riesgo de reidentificación. En última instancia la responsabilidad sobre los datos recae en la empresa propietaria del sitio web, y debe garantizar que cumple con la normativa vigente, así como todos sus proveedores.

CTA Head: ¿Se ajusta tu sitio web a la normativa?

Description: Asegúrate de informar sobre sus derechos a los usuarios con la solución en la nube e intuitiva de Usercentrics.

Button: Habla con nuestro equipo

Principales riesgos de usar Google Analytics en España

Hay diversas razones por las que las empresas deben plantearse si quieren utilizar Google Analytics.

• Inseguridad jurídica
• Riesgo de sanciones
• Complejidad en la solicitud de consentimiento
• Restricciones especiales ante datos sensibles
• Daños a la imagen de marca

La Agencia Española de Protección de Datos (AEPD) puede imponer sanciones administrativas a las empresas que incumplan el RGPD, que pueden llegar hasta el 4% de la facturación global anual o hasta 20 millones de euros en los casos más graves. 

Por otro lado, los consumidores cada vez son más conscientes de sus derechos y pueden optar por no utilizar los servicios de empresas que no respeten su privacidad. Además, las filtraciones de datos o las denuncias por incumplimiento del RGPD pueden dañar gravemente la reputación de una empresa.

Cómo adaptar Google Analytics para el cumplimiento del RGPD

Si tu empresa quiere seguir utilizando la herramienta, asegúrate de tomar las medidas necesarias para cumplir las leyes de cookies, de privacidad y de protección de datos, como el RGPD, la Directiva ePrivacy y otras regulaciones que delimitan la forma en que se debe procesar la información de carácter personal.

El Modo de Consentimiento de Google Analytics

Las empresas que quieran seguir utilizando la solución de análisis web de Google pero al mismo tiempo les preocupe minimizar los riesgos de incumplimiento deberán activar el Modo de Consentimiento de Google. El Google Consent Mode es una funcionalidad que permite a los sitios web obtener el consentimiento explícito de los usuarios antes de enviar datos a Google Analytics. 

Para poder adaptarse al Modo de Consentimiento, existen herramientas en el mercado para gestionar el consentimiento que se pueden integrar con Google Tag Manager, como la CMP de Usercentrics. El consentimiento debe ser explícito y quedar documentado para poder demostrarlo ante cualquier posible auditoría. Se debe implementar un banner de cookies conforme a la normativa, con opciones claras y fáciles de entender.

Otras medidas para cumplir las leyes de privacidad

Es importante configurar la duración del procesamiento de datos, según el consentimiento obtenido y los fines del tratamiento. Google Analytics actualmente permite limitar ese tiempo para evitar incumplir la normativa por extender más de lo necesario la conservación de la información de carácter personal.

Recuerda que los consejos comentados son solo una parte de lo que debes hacer para asegurarte de cumplir con las leyes de protección de datos. Puedes profundizar más en las mejores prácticas leyendo la Guía de uso de cookies para herramientas de medición de audiencia que publicó en 2024 la AEPD.

Alternativas a Google Analytics para cumplir con el RGPD

La controversia en torno al cumplimiento del RGPD por parte de Google Analytics ha llevado a muchas empresas a buscar alternativas más seguras y respetuosas con la privacidad de sus usuarios. Existen varias alternativas más fiables para analizar el tráfico web que cumplen con las normativas de protección de datos como el RGPD y garantizan una mayor privacidad. 

Matomo

Una de las alternativas más populares es la herramienta de código abierto Matomo, que ofrece un alto nivel de personalización y control sobre los datos. Posibilita el autohospedaje, lo que permite garantizar que la ubicación de los datos no suponga un problema para cumplir el RGPD. Las empresas pueden asegurarse de que los datos que analizan de su sitio web quedan almacenados en sus propios servidores, evitando así transferencias a terceros e incluso internacionales.

Esta herramienta incorpora en su sitio web una comparativa que muestra las diferencias que presenta respecto a Google Analytics, tanto en su versión gratuita como de pago.

Source

Piwik PRO

Basada en Matomo, Piwik PRO ofrece funcionalidades avanzadas y un soporte técnico más completo. Se trata de una herramienta fácil de usar, ideal para pequeñas y medianas empresas que quieren asegurarse de recopilar información para sus campañas de marketing digital, al tiempo que cumplen con las leyes de protección de datos en el sitio web.
Más allá de las opciones mencionadas, existen una larga lista de alternativas, como Fathom Analytics, Clicky, Hotjar o Heap Analytics, entre otras. Es fundamental revisar que el software RGPD escogido pueda garantizar el cumplimiento de la normativa en materia de protección de datos. Además, es recomendable optar por una solución intuitiva y que cuente con un buen servicio de soporte.

Leer a continuación: ¿Google Analytics cumple con el RGPD?

Conclusión

A pesar de que Google ha implementado ciertas medidas para ayudar a las empresas a cumplir con el RGPD como la anonimización de IPs y los acuerdos de procesamiento de datos, las empresas que utilicen Google Analytics deben ser conscientes de la responsabilidad que tienen en cuanto al cumplimiento de la normativa, especialmente respecto al consentimiento de los usuarios y la transferencia internacional de datos. 

La recopilación y el análisis de datos de los usuarios, esenciales para mejorar la experiencia y optimizar los servicios, deben realizarse de manera transparente y ética. No cumplir con el RGPD no solo pone en riesgo la confianza de los usuarios, sino que también puede llevar a consecuencias legales graves, incluidas multas significativas.

Usercentrics CMP es una herramienta altamente eficaz para simplificar el cumplimiento del RGPD, especialmente cuando se trata de la analítica web. Esta plataforma ayuda a las empresas a gestionar el consentimiento de cookies de manera transparente y conforme a la legislación europea.

–Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

En los últimos meses ha habido diversas resoluciones por parte de la autoridad en España en materia de protección de datos respecto al uso del DNI y sus implicaciones acerca de la privacidad. La Agencia Española de Protección de Datos (AEPD) ha llegado a señalar, por ejemplo, que es ilegal que los hoteles soliciten una copia del documento nacional de identidad, por el principio de minimización de datos. ¿Qué implicaciones tiene esto para tu empresa y cómo protegerse de posibles multas? 

¿Es el DNI un dato de carácter personal?

El DNI es un documento oficial que contiene datos de carácter personal. El artículo 4 del RGPD define los «datos personales» como toda información sobre una persona identificada o identificable, lo que abarca una amplia gama de datos, entre los cuales se encuentra el número de identificación personal del DNI, así como todo lo que aparece en el documento sobre la persona.

El DNI incluye datos como:

• El nombre completo
• La fotografía de la cara 
• La firma
• El número de identificación personal
• La dirección
• El nombre de los progenitores

Todos estos elementos permiten vincular a un individuo con su identidad y, por tanto, son considerados datos personales que deben ser tratados conforme a la legislación sobre privacidad.

Normativas clave sobre protección de datos del DNI

En la legislación española, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), adapta el RGPD a la normativa nacional, y también regula el uso y la protección de los datos personales. El tratamiento del DNI, como dato personal identificativo, está regulado bajo estas normativas, lo que implica que las entidades que traten estos datos deben garantizar su protección adecuada frente a accesos no autorizados, alteraciones o pérdidas.

La AEPD se ha posicionado recientemente sobre ello en el Informe 7/2023, donde se recuerda que, de acuerdo con la LOPDGDD y el RGPD:

«Sobre el uso del DNI, el criterio de esta Agencia es que únicamente se ha de someter a tratamiento cuando la norma así lo establezca, resultando excesivo el mismo cuando se pretende únicamente identificar a las personas, ya que el número del DNI es una información especialmente sensible pues su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos».

Más allá de las leyes de protección de datos, se han publicado en los últimos años normativas específicas sobre el DNI en cuestión.

Real Decreto 1553/2005 

El Real Decreto 1553/2005, de 23 de diciembre, regula la expedición del documento nacional de identidad y sus certificados de firma electrónica. En este documento en particular no se mencionan temas relacionados con la protección de datos personales, sino que más bien se concretan aspectos técnicos y operativos sobre el DNI electrónico.

Ley 19/2013 

La Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno, aunque tiene un enfoque principal en la accesibilidad a la información pública y en la gestión ética del gobierno, también aborda, de manera indirecta, temas relacionados con la protección de datos personales cuando se refiere a la divulgación de información.

La ley establece que la protección de datos personales es una de las excepciones que justifica la no divulgación de cierta información pública. Esto implica que, en caso de que una solicitud de acceso a la información pública incluya datos personales como el DNI, la administración pública debe asegurarse de que el acceso no vulnere los derechos de privacidad de los individuos.
La Ley 19/2013 debe interpretarse y aplicarse de manera coherente con el Reglamento General de Protección de Datos (RGPD), que es la normativa europea principal que regula el tratamiento de los datos personales. Cuando se habla del acceso a la información pública, la ley subraya que se deben proteger los datos personales y que cualquier divulgación de información debe ajustarse a la legislación vigente.

Buenas prácticas para el tratamiento del DNI

Las empresas deben asegurarse de solicitar el DNI solo cuando sea estrictamente necesario y de proteger cualquier información y documentación recopilada al respecto. 

Respecto al primer punto, la recopilación del DNI debe ser proporcionada y adecuada para la finalidad específica del tratamiento. El principio de minimización de datos recogido en el artículo 5 del RGPD establece que solo se deben recopilar aquellos datos que son estrictamente necesarios para cumplir con el propósito legítimo de la empresa. 

Una vez recopilado el DNI o cualquier otro dato personal, siempre tras el consentimiento explícito del titular, las empresas deben asegurarse de proteger esta información de acuerdo con las mejores prácticas de seguridad. 

Almacenamiento seguro

Es fundamental utilizar métodos de protección como el cifrado de datos cuando se maneje información digital. Además, es importante emplear contraseñas robustas y otras prácticas de ciberseguridad para proteger los datos. En caso de contar con servidores locales o documentos físicos (como una copia del carné de identidad), se deben establecer controles de acceso limitado para evitar el acceso no autorizado. Estas medidas ayudan a reducir el riesgo de acceso indebido o uso inapropiado de los datos.

Anonimización

Siempre que sea posible, la anonimización de los datos del DNI debe ser una prioridad. Esta práctica asegura que los datos no puedan asociarse a una persona específica, lo que reduce significativamente los riesgos en caso de que la información se vea comprometida. La anonimización es una de las mejores maneras de proteger la privacidad de los individuos, minimizando el impacto de un posible incidente de seguridad. 

Destrucción segura

La legislación establece un tiempo limitado para la conservación de datos personales. Cuando los datos o copias del DNI ya no sean necesarios para el fin para el que fueron recopilados, deben ser eliminados de forma segura, utilizando métodos como el borrado seguro o la destrucción física de los documentos o dispositivos que los contengan.

¿Cuándo y dónde puede publicarse el DNI?

La publicación del DNI debe ser proporcional al fin que se persigue. No se puede divulgar este dato personal de manera generalizada o indiscriminada. Antes de publicar un DNI, es esencial verificar que se cuenta con el consentimiento adecuado y que la publicación es estrictamente necesaria para cumplir con un objetivo legítimo.

En algunos casos, la ley obliga a la publicación del DNI para cumplir con requisitos administrativos, judiciales o legales. Por ejemplo, en ciertos procedimientos oficiales o cuando así lo exijan normativas fiscales o de control público. En caso de que una persona quiera acceder a la sede electrónica de una administración, como Hacienda, se le solicitará el documento nacional de identidad, como una de las formas de acceso.

Si una persona otorga su consentimiento expreso para la publicación de su DNI en un contexto específico (por ejemplo, en el marco de una convocatoria pública), esta puede ser válida siempre y cuando se haya informado adecuadamente sobre el propósito de la publicación.

El uso del DNI para atender solicitudes relativas a la protección de datos

En el contexto de que una empresa reciba la solicitud de un usuario relativa al tratamiento de sus datos personales, por ejemplo su modificación, ¿puede la empresa solicitar el DNI? Bruno Auferil, abogado especializado en protección de datos con más de 10 años de experiencia, explica lo siguiente: 

«En aquellos supuestos en que la organización tenga dudas sobre la identidad del interesado, después de haber realizado las indagaciones pertinentes con la información facilitada, la misma estará facultada para solicitar al interesado información adicional para confirmar su identidad. (…) A modo de ejemplo, con carácter general, la suscripción a una newsletter por vía de correo electrónico únicamente requiere una dirección electrónica. Por tanto, una solicitud de supresión proveniente de la misma dirección electrónica empleada en el alta debería ser suficiente para que el responsable atienda la misma».

El Real Decreto 1720/2007, que fue el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos Personales (LOPD), incluía en su artículo 25 una disposición en la que se establecía la obligación de que la comunicación del ejercicio de los derechos (como el acceso, rectificación, cancelación u oposición de datos) fuera acompañada de una fotocopia del DNI, pasaporte u otro documento que identificara al solicitante.

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, el artículo 25 del Real Decreto 1720/2007 fue derogado casi en su totalidad. Sin embargo, el RGPD no establece de forma explícita la obligación de solicitar un DNI u otro documento para acreditar la identidad del solicitante. Lo que establece es que el responsable del tratamiento tiene que asegurarse de que la persona que ejerce el derecho es quien dice ser. Esto permite a las organizaciones la flexibilidad de elegir la forma más adecuada para verificar la identidad, siempre que sea proporcionada, no invasiva y adecuada al contexto.

Consecuencias de no cumplir con la protección de datos del DNI

Las empresas deben asegurarse de estar al día en materia de protección de datos para evitar un incumplimiento consciente o inconsciente, por parte de cualquiera de sus miembros. Esto pasa por implementar protocolos de seguridad, formar al personal, contar con software RGPD y otras medidas. 

Incumplir con la protección de datos del DNI y otra información de carácter personal puede tener serias consecuencias tanto legales como reputacionales para las empresas y organizaciones. Las multas pueden llegar hasta el 4% de la facturación anual global de una empresa o 20 millones de euros, lo que sea mayor.

El RGPD establece dos niveles de multas, dependiendo de la gravedad de la infracción:

• Multas menores: hasta 10 millones de euros o el 2% de la facturación anual global.
• Multas mayores: hasta 20 millones de euros o el 4% de la facturación anual global.

Además, incumplir las leyes de protección de datos para empresas también puede suponer daños irreparables a la reputación, confianza y relaciones comerciales.

Conclusión

El tratamiento responsable del DNI es esencial para las empresas que operan bajo el marco del RGPD. Las organizaciones y entidades públicas deben garantizar que solicitan el DNI solo cuando sea necesario, lo protegen adecuadamente durante su almacenamiento y uso, y cumplen con todos los derechos de los individuos en cuanto a su privacidad y seguridad.

¿Quieres asegurarte de cumplir la normativa de protección de datos y evitar sanciones? Usercentrics te ofrece soluciones innovadoras que facilitan la gestión del consentimiento y la protección de la privacidad con la mayor confianza. Descubre una manera práctica y efectiva de cumplir con las exigencias del RGPD en lo que se refiere a protección de datos en tu sitio web o app, y garantiza el cumplimiento no solo con un correcto tratamiento del DNI de clientes, proveedores o empleados, sino también de cualquiera de tus otros datos en el entorno digital.

–Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Los anunciantes que confían en las grandes empresas tecnológicas se han encontrado a menudo en un terreno de juego desigual. La Ley de Mercados Digitales (DMA), en inglés Digital Markets Act (DMA), es un marco regulador elaborado por la Comisión Europea (CE) que tiene por objeto rectificar esta situación.

Este reglamento impone restricciones y obligaciones a las grandes empresas tecnológicas, designadas por la CE como guardianes de acceso, para aumentar la transparencia, mejorar las condiciones competitivas y ofrecer una mayor protección de los datos a los usuarios. La DMA afecta a los consumidores digitales en la Unión Europea (UE) y/o el Espacio Económico Europeo (EEE), así como a las empresas con usuarios en esas regiones y que utilizan plataformas y servicios de los guardianes de acceso.

Los anunciantes deben comprender cómo les afecta la Ley de Mercados Digitales para seguir llegando eficazmente a su público objetivo y cumplir con las leyes de privacidad. Este artículo cubre el impacto de la DMA en la publicidad y ofrece consejos prácticos para que los anunciantes digitales cumplan con las normativas de privacidad.

El papel de la privacidad y el cumplimiento en la publicidad

La privacidad de datos y el cumplimiento de las normativas se han convertido en requisitos clave en la publicidad digital, lo que ha cambiado la forma en que los clientes perciben las marcas. En un mundo en el que se generan cantidades cada vez mayores de datos personales y se aumenta la concienciación de los consumidores, seguir estos principios es más importante que nunca para salvaguardar la confianza y garantizar que los datos se recopilan y utilizan de forma responsable.

La adopción de prácticas publicitarias que respeten la privacidad ayuda a garantizar el cumplimiento de los requisitos legales y genera confianza en el consumidor. Los anunciantes pueden mostrar a los consumidores su compromiso con la privacidad protegiendo los datos de los usuarios y respetando sus preferencias, lo que contribuye en última instancia a la longevidad y el éxito de su marca.

Restricciones y obligaciones de los guardianes de acceso con respecto a la publicidad digital

Las reglas de la DMA impuestas a los guardianes de acceso tienen un doble propósito. Su objetivo es mantener bajo control a las grandes plataformas y su influencia, así como crear oportunidades justas para todos los anunciantes, grandes o pequeños. Al mismo tiempo, los requisitos que establece la Ley de Mercados Digitales contribuyen a proteger aún más los datos de los consumidores, asegurándose de que tanto los anunciantes como las plataformas mantengan altos niveles de privacidad de datos.

Políticas de notificación de la recopilación y el uso de datos

Los guardianes de acceso deben revelar abiertamente qué datos recopilan y cómo utilizan, comparten o se benefician de los datos recopilados en sus plataformas. Deben obtener el consentimiento explícito del usuario antes de recopilar y procesar datos personales. Deben proporcionar información clara a los anunciantes sobre las reglas que rigen la inserción de anuncios y las métricas que influyen en estas decisiones.

Garantizar la equidad en la inserción de anuncios y la clasificación en las búsquedas para todos los anunciantes

Los guardianes de acceso están obligados a realizar negocios con todos los anunciantes en igualdad de condiciones. No pueden dar prioridad a sus propios servicios y productos en las clasificaciones de búsqueda, la inserción de anuncios o escenarios similares. El objetivo es fomentar un ecosistema publicitario más competitivo y dinámico.

Proporcionar métricas detalladas para la verificación independiente del rendimiento de los anuncios

Los anunciantes deben recibir las herramientas y la información necesarias para la verificación independiente del rendimiento de sus anuncios. Esto implica proporcionar datos detallados sobre la visualización de los anuncios y la frecuencia y el alcance de la audiencia, para que los anunciantes puedan calcular el retorno de la inversión.

Permitir que anunciantes de todos los sectores accedan en igualdad de condiciones a las plataformas

Los guardianes de acceso tienen prohibido restringir injustamente a los anunciantes el uso de sus plataformas o servicios. Los anunciantes deben tener las mismas oportunidades para interactuar con posibles clientes, independientemente de su tamaño o sector. Sin embargo, los guardianes de acceso pueden eliminar de sus plataformas a terceros que no cumplan la normativa en materia de privacidad de datos.

Facilitar campañas multiplataforma a través de la interoperabilidad

Se anima a los guardianes de acceso a diseñar sus servicios para que puedan integrarse con otras plataformas. El objetivo es facilitar a los anunciantes la ejecución de campañas multiplataforma y el análisis de datos sin estar vinculados a un único ecosistema.

Cumplir las leyes de protección de datos

Los guardianes de acceso deben cumplir estrictas obligaciones de protección de datos en virtud de la DMA y otras leyes, como el Reglamento General de Protección de Datos (RGPD) de la UE, que por extensión afecta a la forma en que los anunciantes pueden utilizar estas plataformas. Esto incluye la obtención y señalización del consentimiento conforme y la protección de los datos de los usuarios para que los anunciantes cumplan con las leyes de privacidad (y no pongan en riesgo a los guardianes de acceso) mientras utilizan las plataformas de los guardianes de acceso.

El impacto de la Ley de Mercados Digitales en los anunciantes

Con la introducción de la DMA, los anunciantes están entrando en una nueva era de regulaciones que exigen su atención. La DMA influye en la forma y la cantidad de datos que se recopilan, en las prácticas de creación de perfiles de usuarios y en los principios de transparencia y trato justo. Los anunciantes se enfrentan ahora a la tarea de adaptarse a estos cambios para mantener su competitividad en el sector, al tiempo que cumplen con las leyes de privacidad.

Adaptarse a directrices más estrictas para la recopilación de datos

La obligación de los guardianes de acceso de obtener el consentimiento explícito del usuario para la recopilación de datos se extiende a las prácticas de los anunciantes terceros si utilizan las plataformas de los guardianes de acceso. Esto significa que los anunciantes deben obtener el consentimiento de los usuarios tanto en virtud de la normativa como de las reglas de la plataforma. El incumplimiento no solo expone a los anunciantes a que se retiren sus anuncios, sino que también plantea la posibilidad de sufrir repercusiones legales. Las multas y sanciones en virtud de la DMA pueden estar dirigidas a los guardianes de acceso, pero los terceros corren el riesgo de infringir otras leyes como el RGPD e incurrir en sanciones por ello.

Afrontar los cambios en las prácticas de creación de perfiles de usuarios

La DMA impone restricciones más estrictas en la creación de perfiles de usuario con fines publicitarios. El consentimiento explícito del usuario es obligatorio para recopilar sus datos personales, y los guardianes de acceso y anunciantes no pueden combinar datos de usuario de diferentes plataformas o servicios para crear perfiles. Como resultado, los anunciantes deben adoptar prácticas centradas en la privacidad, lo que podría significar alejarse de los anuncios personalizados.

Comprender las implicaciones de las políticas de igualdad de trato

La obligación de los guardianes de acceso de tratar a todos los anunciantes por igual cambia la dinámica de la inserción de anuncios y las clasificaciones de búsqueda. Elimina el trato preferencial que beneficia a los anunciantes más grandes y facilita la competencia de las empresas con presupuestos más pequeños. Este mayor nivel de competencia hace que sea más importante que nunca que los anunciantes optimicen sus campañas para destacar. Afortunadamente, los requisitos de transparencia de la DMA ayudarán a proporcionar datos operativos críticos para permitir una optimización más rápida e inteligente.

Verificar anuncios de forma independiente

Con los requisitos de la Ley de Mercados Digitales, los anunciantes tienen un mayor control sobre la evaluación del rendimiento de sus campañas publicitarias. Sin embargo, también deben tomar medidas proactivas para garantizar la privacidad del usuario y la seguridad de los datos mientras acceden a estos para analizar el rendimiento de sus anuncios. Este cambio podría aumentar los costes operativos y requerir un mayor enfoque en la gestión de datos, lo que podría afectar a la eficiencia y eficacia generales de sus estrategias publicitarias. Al mismo tiempo, podría impulsar innovaciones en la publicidad digital.

Prepararse para una mayor gestión de datos entre plataformas

El impulso hacia la interoperabilidad entre plataformas con la Ley de Mercados Digitales significa que ahora los anunciantes deben gestionar análisis de datos que abarquen varias plataformas. Esto conlleva su propio conjunto de desafíos en relación con la privacidad del usuario. Los diferentes términos y condiciones de cada plataforma pueden dificultar el seguimiento de lo que se puede hacer con cada dato. Esto puede ser complicado para los anunciantes, ya que la gestión incorrecta de la información de los usuarios desde cualquier plataforma puede conllevar sanciones, no solo por parte de ese servicio específico, sino también por parte de leyes de protección de datos más amplias. 

Además, las operaciones de marketing actuales tienden a implicar un ecosistema de herramientas, actividades y datos conectados. Por lo tanto, garantizar, por ejemplo, que los datos de los usuarios se mantengan aislados de acuerdo con los requisitos normativos puede resultar aún más complicado.

Cumplir estrictas medidas de protección de datos

Las obligaciones de los guardianes de acceso de cumplir las estrictas leyes de protección de datos afectan a la forma en que los anunciantes interactúan con estas plataformas. Los anunciantes deben reforzar sus medidas de protección de datos para evitar infringir las leyes existentes, lo que podría conllevar graves sanciones, incluida la pérdida de audiencia, datos e ingresos, y erosionar la confianza de los clientes.

Repercusiones del incumplimiento para los anunciantes

La Ley de Mercados Digitales se centra en los guardianes de acceso en lo que respecta a las multas y otras sanciones por incumplimiento. Pero eso no significa que los anunciantes no tengan que preocuparse. Los guardianes de acceso no van a poner en riesgo su cumplimiento de la normativa, y tienen una gran influencia para garantizar que los terceros también la cumplan. 

Los anunciantes deben presentar una prueba de consentimiento conforme para la recopilación y el uso de datos personales. Si no pueden o no quieren, los guardianes de acceso pueden impedirles el acceso a sus plataformas y servicios. Sin anuncios no hay datos ni ingresos. Y no hay muchas otras plataformas con el tamaño y el alcance que tienen los guardianes de acceso.

Daños a la reputación

El incumplimiento de los requisitos de la DMA y de los guardianes de acceso también conlleva el potencial de dañar gravemente la reputación de un anunciante, lo que lleva a una erosión de la confianza del consumidor. A largo plazo, este daño a la reputación puede tener efectos de largo alcance, lo que puede dañar el crecimiento.

Cómo pueden los anunciantes adaptarse a los cambios introducidos por la Ley de Mercados Digitales

Aunque las nuevas reglas introducidas por la DMA pueden presentar desafíos, los anunciantes tienen a su disposición medidas proactivas para lograr el cumplimiento y mantener buenas relaciones operativas con los guardianes de acceso con confianza.

1. Obtener el consentimiento explícito del usuario

Los anunciantes deben obtener un consentimiento claro, informado e inequívoco de los usuarios para la recopilación y el procesamiento de datos antes de recogerlos. Esto implica contar con una política de privacidad clara que explique a los usuarios qué datos se recopilarán, cómo se utilizarán y quién puede acceder a ellos. Los anunciantes pueden utilizar una plataforma de gestión del consentimiento como Usercentrics CMP para obtener el consentimiento válido de los usuarios para usar sus datos personales.

2. Adoptar prácticas centradas en la privacidad

Con las normativas más estrictas de la DMA sobre la elaboración de perfiles de usuario, los anunciantes deberían cambiar su enfoque hacia las prácticas centradas en la privacidad y adoptar el marketing basado en el consentimiento, incluso si esto implica alejarse de la publicidad altamente personalizada. Esto incluye abstenerse de combinar datos de usuario de diferentes servicios para crear perfiles, ya que esta práctica está prohibida.

3. Mejorar las estrategias de gestión de datos

A medida que se hace necesaria la gestión de datos multiplataforma, los anunciantes deben desarrollar estrategias sólidas de gestión de datos. Estas estrategias deben abarcar análisis de datos que abarquen varias plataformas, al tiempo que garantizan meticulosamente la privacidad del usuario y el cumplimiento de los distintos requisitos normativos y empresariales. Los anunciantes deben prestar especial atención a la forma en que se recopilan, almacenan y utilizan los datos en diferentes plataformas para evitar la manipulación incorrecta de la información del usuario y las posibles sanciones resultantes.

4. Revisar y actualizar regularmente las prácticas

La diligencia continua es crucial para cumplir con las leyes de privacidad y tecnología en constante cambio, que se actualizan con el tiempo. Los anunciantes deben realizar auditorías periódicas de privacidad de datos para garantizar que sus políticas y procesos de datos se ajustan a la Ley de Mercados Digitales y tomar medidas correctivas si es necesario.

5. Buscar asesoramiento legal

Los profesionales jurídicos cualificados y los expertos en privacidad, como un responsable de protección de datos, pueden ofrecer orientación personalizada, evaluar los riesgos y ayudar a las empresas a ajustarse a las leyes de privacidad. Los anunciantes deben buscar asesoramiento experto para garantizar el cumplimiento, proteger los datos de los usuarios y operar dentro de los límites de las normativas de privacidad.

Cómo y por qué se debe incorporar el texto LOPDGG en los formularios web

El texto LOPDGDD hace referencia a la incorporación de una sección informativa para que los usuarios sepan cómo se tratarán sus datos. En el contexto de un formulario, es importante que las personas sepan cómo se usarán y protegerán sus datos de carácter personal.

Tanto en formularios de suscripción como en cualquier página de contacto corporativa, es crucial incorporar un texto legal que avise sobre la política de privacidad.

La LOPDGG establece un marco legal para la recopilación, el uso y el almacenamiento de datos personales. Es crítico añadirlo antes de enviar cualquier correo electrónico de parte de la empresa.

Si quiere cumplir las leyes de protección de datos, como el Reglamento General de Protección de Datos (RGPD) que rige en la UE, es importante mantener la transparencia en el tratamiento de información de carácter personal, y el compromiso de cumplir con las medidas de seguridad necesarias.

Incumplir las normativas relativas a la protección de datos puede suponer cuantiosas multas económicas. Además, afectaría a la reputación de la compañía. En este sentido, añadir información clara sobre los derechos del usuario en cuanto a sus datos y los compromisos de la empresa genera confianza y ayuda a la rentabilidad del negocio a largo plazo.

Cómo redactar el texto de la LOPDGG para formularios web

En ocasiones, se acude al texto LOPD para formularios; sin embargo, este está obsoleto. La LOPD es la antigua ley de protección de datos en España. Actualmente está vigente el RGPD y la LOPDGDD.

En el momento de redactar el texto que acompañará a cualquier formulario de la página web corporativa hay una serie de elementos indispensables.

Propósito del tratamiento de los datos

Se debe indicar claramente para qué se van a utilizar los datos personales que se recopilan. La finalidad debe ser específica, inequívoca y legítima.

Un ejemplo de texto añadido sería el siguiente:

“Los datos personales recabados a través de este formulario se utilizarán para gestionar su solicitud de información y prestarle el servicio requerido”.

La empresa debe ser transparente si, por ejemplo, está captando prospectos para poder enviar posteriormente campañas de marketing por email.. En este sentido, debería existir una casilla de verificación para aceptar el uso de datos con el objetivo de enviar posteriormente comunicaciones comerciales.

Derechos del usuario sobre su información facilitada

Se debe informar a las personas acerca de los derechos que tienen sobre su información de carácter personal.

• Acceso a los datos
• Rectificación de datos personales
• Supresión en determinados casos (o derecho al olvido)
• Portabilidad de los datos
• Oposición a que se trate su información
• Limitación del tratamiento de sus datos

Los ciudadanos tienen que poder determinar qué se hace con la información que afecta a su privacidad. Esto no solo compele a las empresas en el momento de comunicarlo a través de un texto. Sino que además supone un compromiso continuo en el futuro mientras se traten y almacenen dichos datos de los usuarios.

Identidad y datos de contacto del responsable del tratamiento

Ya sea junto al formulario o en el apartado específico de la Política de Privacidad, fácilmente accesible desde la página de aterrizaje, deberá constar información sobre el responsable del tratamiento de datos.

• Nombre o razón social del responsable
• Dirección postal y electrónica
• Teléfono de contacto
• Delegado de Protección de Datos (si procede)

No obstante, es importante mantener esta información actualizada. Se recomienda realizar auditorías y revisiones periódicas para verificar que el texto se está implementando correctamente en todos los formularios web de la empresa.

Esta completa checklist RGPD puede ser de gran utilidad para asegurarse de cumplir con todo lo que exige el reglamento en la Unión Europea.

Implementación técnica en formularios web

Es crucial saber cómo integrar técnicamente el texto LOPDGG en los formularios web, de manera efectiva y conforme a la normativa vigente. A continuación veremos algunos aspectos que se deben tener en cuenta.

Visibilidad y legibilidad del texto

El texto LOPDGG debe ser fácilmente visible para el usuario antes de que envíe el formulario. Se recomienda ubicarlo junto al formulario o en una sección claramente identificada como «Aviso de Privacidad» o «Política de Protección de Datos».

La información debe ser legible y accesible, usando un tamaño de letra adecuado y suficiente contraste de color. El objetivo es facilitar de buena fe que cualquier persona pueda leer y comprender el mensaje que atañe a su privacidad.

Casillas de verificación

Es fundamental utilizar casillas de verificación específicas para obtener el consentimiento explícito del usuario sobre el tratamiento de sus datos personales. Estas casillas deben estar claramente etiquetadas y diferenciadas de otros elementos del formulario.

Plataformas de Gestión de Consentimiento (CMP) para integrar el texto LOPDGGD en formularios

Muchas empresas se apoyan en la tecnología para cumplir la normativa en materia de protección de datos. Se puede utilizar un software RGPD para integrar en la página web banners de cookies de consentimiento o generar políticas de privacidad.

Las CMPs automatizan el proceso de obtención y gestión del consentimiento. Ayudan a liberarse de tareas manuales repetitivas y propensas a errores. Con este tipo de herramientas, la empresa se asegura de que el proceso de obtención del consentimiento se realiza de manera conforme a la LOPDGG y otras normativas de protección de datos.

Usercentrics es una de las plataformas líder del mercado, ofreciendo una solución integral para la gestión del consentimiento. Cuenta con:

• Banner de cookies personalizable
• Gestión de preferencias de consentimiento
• Registro de tratamiento de datos e informes para auditorías
• Integración con formularios web

La integración de una CMP con formularios web suele ser un proceso sencillo y rápido. Son de gran ayuda al incluir textos legales que acompañen a cualquier obtención de datos en el sitio web.

Ejemplos de implementación del texto LOPDGG en formularios

Veamos algunos ejemplos que pueden servir de modelo para agregar el texto de protección de datos junto a cualquier formulario.

Esta página de aterrizaje del conocido software de marketing y ventas HubSpot incluye un texto de protección de datos junto a su formulario. En pocas líneas resume los derechos del usuario y la finalidad del tratamiento. Además, incorpora un enlace directo a la política de privacidad para más información.

Este es el texto que incluye el formulario:

“Nos comprometemos a proteger tu privacidad. HubSpot utiliza la información que nos proporcionas para ponerse en contacto contigo en relación con nuestro contenido, productos y servicios relevantes. Puedes darte de baja de estas comunicaciones en cualquier momento. Para obtener más información, consulta nuestra Política de privacidad.”

A continuación podemos ver otro ejemplo aún más completo.

Aquí vemos otro modelo de texto que se puede incluir junto a un formulario web. En este caso contiene una casilla de verificación, que obliga al usuario a hacer clic para consentir de manera explícita. Además de agregar el enlace a la política de privacidad, proporciona un correo electrónico de contacto. Así, los interesados pueden consultar o solicitar cambios sobre sus datos personales.

Para empresas B2C también es fundamental incorporar información legal en los formularios. Sin embargo, a veces puede dificultar que el usuario avance y se sienta atraído si se expone a demasiada información. Por este motivo es una buena solución agregar un texto breve inicial como este de McDonald’s:

Una vez el usuario ha completado la primera parte puede leer el resto de sus derechos al final del formulario. En este caso, en vez de incluir un texto extenso, se añade el enlace a la Política de Privacidad de Atención al Cliente para saber más.

Este formulario en la página web de Nestlé es otro buen ejemplo de cómo agregar un texto de protección de datos en un formulario:

En este caso, se añade un apartado extenso donde se agregan además diferentes enlaces para obtener más información. Asimismo, cabe destacar que su propio desplegable del formulario de contacto incorpora la posibilidad de solicitar expresamente la supresión de datos personales, entre otros derechos.

Conclusión

Como se ha expuesto, para poder cumplir la LOPDGG es necesario incorporar en los formularios información que afecta a las personas sobre el uso de sus datos. Con esta medida, se pueden evitar cuantiosas sanciones económicas y problemas de reputación de marca. Además, si se hace de manera discreta y correcta, no tiene por qué afectar a las campañas de marketing y ventas.

Si quiere asegurarse de que su página web cumple con las leyes de protección de datos, una solución digital puede ahorrarle muchos trámites y facilitarle el

–

Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Por qué se debe incorporar el texto de protección de datos en facturas

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establece un marco legal, que regula la recopilación, el uso y el almacenamiento de datos personales de ciudadanos de España.

La LOPGDD exige que toda empresa que trate datos personales informe a los interesados sobre:

• La finalidad del tratamiento
• Sus derechos
• Cómo pueden ejercerlos

Las facturas, al ser documentos que contienen información personal, no son una excepción. Por ello se debe añadir una cláusula en relación al tratamiento de datos.

Además, incorporar un texto legal en las facturas demuestra a los clientes que la empresa se preocupa por la protección de sus datos y que cumple con la normativa vigente. Esto genera confianza y transparencia en la relación comercial.

Requisitos legales del texto LOPDGDD en facturas

La LOPDGDD no establece de forma explícita la obligatoriedad de incluir un texto legal en las facturas. Sin embargo, sí se desprende de varios artículos la necesidad de informar a los clientes sobre el tratamiento de sus datos personales en este tipo de documentos.

Así lo señala de manera clara la LOPDGDD en el capítulo I, artículo 11, sobre transparencia e información al afectado.

“Cuando los datos personales sean obtenidos del afectado, el responsable del tratamiento podrá dar cumplimiento al deber de información (…) indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información”.

(…) La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.”

La ley española se basa en la de la UE sobre protección de datos, por lo que esto también entraría dentro de la checklist RGPD.

Cómo redactar el texto de protección de datos para facturas

La factura debe indicar la identidad del responsable del tratamiento de datos personales. Todo esto podría coincidir con los datos de facturación. Sin embargo, no es suficiente. Además, se debe explicar claramente para qué se usará la información de carácter personal.

Esto se puede agregar con un texto similar a éste:

“Los datos personales recabados en esta factura se utilizarán para gestionar la facturación y cumplir con las obligaciones legales”.

Además, se debe explicar para qué se van a utilizar los datos personales que se recopilan en la factura.

“El tratamiento de sus datos personales está legitimado por su consentimiento expreso y nuestro interés legítimo en prestarle el mejor servicio posible”.

También debe aparecer una dirección de correo a la que los interesados puedan acudir para ejercer sus derechos. Así podrán acceder, rectificar y suprimir los datos conforme marca la ley.

Elementos clave que debe incluir el texto

En resumen, estos son los elementos que no pueden faltar en la factura, más allá de los obligatorios por cuestiones fiscales, para cumplir el reglamento de la Unión Europea y España en materia de protección de datos.

• Nombre, dirección, email y teléfono del responsable del tratamiento
• Finalidad del tratamiento de los datos
• Legitimación del tratamiento
• Derechos que tiene el usuario sobre sus datos
• Plazo de conservación de la información
• Destinatarios de los datos, si los hay
• Medidas de seguridad tomadas

Toda esta información puede incluirse de manera detallada o añadir una pequeña cláusula que haga referencia a un documento anexo o un enlace que se pueda visitar con una política de privacidad.

Si además de tener un software RGPD, la empresa cuenta con un programa de facturación, hay soluciones que se pueden integrar entre sí y que cuentan con este texto legal incorporado.

Ejemplos prácticos de textos LOPDGDD aplicados en facturas

A continuación podemos ver un ejemplo de factura con su texto legal incluido al final de la misma, en el pie de página.

En este caso, el texto que consta y que se puede aplicar a otras empresas es el siguiente:

«Los datos personales recogidos serán tratados por [Nombre de la empresa] con la finalidad de gestionar la relación comercial y emitir las facturas correspondientes. La base legal del tratamiento es la ejecución del contrato. Los datos no serán cedidos a terceros salvo obligación legal. Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad ante [Nombre de la empresa] en [Dirección de la empresa] o [Correo electrónico de contacto].»

En otros casos podemos ver un texto legal más escueto, por ejemplo, si se trata de una factura electrónica. Basta con agregar un fragmento más breve con un enlace a la Política de Privacidad.

Aquí podemos ver un ejemplo de factura con texto de protección de datos más breve:

Esta cláusula es la que se puede añadir en este caso, con su respectivo enlace a la política de privacidad:

«Los datos personales recogidos serán tratados de acuerdo con nuestra Política de Privacidad [enlace a la Política de Privacidad]. Puede ejercer sus derechos enviando un correo electrónico a [email de contacto].»

Dependiendo de los clientes a quienes vayan dirigidas las facturas, se puede adaptar el texto, para hacerlo acorde con la legislación. Por ejemplo, en el caso de España, se puede incluir antes algo así:

“De conformidad con la LOPDGDD, los datos personales recopilados se tratarán siguiendo la normativa vigente. Puede ejercer sus derechos enviando un email a correo@empresa.com”.

La ventaja de referirse directamente a una ley sin entrar en detalle es que la empresa se compromete a seguir lo que estipula la legislación, sin tener que concretar los detalles, que cualquiera puede consultar directamente en la ley mencionada. Sin embargo, es importante asegurarse de cumplir con lo que dispone la normativa, y de actualizar el texto legal incluido en las facturas ante cualquier cambio de las leyes.

¿En qué parte de la factura se debe añadir el texto legal?

Para cumplir la LOPDGDD, el texto debe aparecer en la factura de manera accesible y fácilmente legible. Esto no significa que deba tener demasiado protagonismo. Suele añadirse al pie de la factura, es decir, tras el apartado donde aparece el total del importe a cobrar.

En caso de facturas de larga extensión, que pueden tener más de una página, es posible incluir el texto de protección de datos en el anexo. En ese caso, es fundamental mencionar dicho anexo en el documento principal de la factura.

Conclusión

La LOPDGDD en España y el RGPD a nivel de toda la Unión Europea establecen obligaciones claras para las empresas en cuanto al tratamiento de datos personales. No solo es obligatorio tomar medidas de seguridad, sino también notificar a los usuarios sobre la protección de su información de carácter personal.

Por ello, incluso en el contexto de la emisión de facturas es crucial incluir la información adecuada para cumplir la normativa. De esta forma, el destinatario de la factura puede ejercer sus derechos sobre sus datos personales.

Usercentrics le ofrece una solución digital que le ayudará a cumplir con las leyes de protección de datos. Asegúrese de cumplir con la normativa vigente, evitando posibles sanciones o daños en su reputación.

–

Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Cumpla los requisitos de consentimiento para anunciantes con el Modo de Consentimiento de Google

Desde marzo de 2024, Google tiene nuevos requisitos para el cumplimiento de las normativas europeas de privacidad de datos y la aplicación de la política de consentimiento de usuarios de la UE. Estos requisitos se aplican a empresas de terceros que utilizan los servicios de Google para publicidad en línea.

Descargue nuestra lista de comprobación para aprender lo que necesita para obtener y señalar el consentimiento válido del usuario para cumplir con los requisitos de Google y proteger sus campañas publicitarias.

¿Qué es el Modo de Consentimiento de Google?

El Modo de Consentimiento de Google, en inglés Google Consent Mode (GCM), es una solución que interactúa con su banner de consentimiento del CMP. Cuando se consigue el consentimiento del usuario con el banner, el GCM señala la información de consentimiento a los servicios de Google, con lo que habilita etiquetas para ajustar el comportamiento con la finalidad de respetar la elección del usuario, como, por ejemplo, ofreciendo anuncios personalizados.

¿Quién debe utilizar el Modo de Consentimiento de Google?

A partir de marzo de 2024, Google exige a las empresas que utilizan servicios de publicidad como Google Ads, Google Analytics o la plataforma de marketing de Google en la UE, el EEE y el Reino Unido a usar la versión 2.0 del Modo de Consentimiento de Google (la versión más reciente) con una plataforma de gestión de consentimiento (CMP) certificada por Google, como, por ejemplo, la Usercentrics CMP.

Las empresas deben señalar el consentimiento válido de los usuarios a Google a través del Modo de Consentimiento para utilizar las funciones de personalización a la hora de ofrecer anuncios.

Obtenga más información en nuestro Centro de recursos del Modo de Consentimiento de Google.

¿Cómo funciona la Usercentrics CMP con el Modo de Consentimiento de Google?

Con la última versión del Modo de Consentimiento (2.0), Google ha introducido dos nuevos parámetros. Así se permite la señalización de la información de consentimiento para una publicidad personalizada.

La Usercentrics CMP tiene integrado el Modo de Consentimiento de Google y está activado de forma predeterminada, por lo que, cuando se reciben las decisiones de consentimiento de los usuarios, se envían a Google para controlar las etiquetas o los SDK y ajustar su comportamiento con la finalidad de cumplir los requisitos de privacidad de datos.

El Modo de Consentimiento de Google también permite el modelado del cumplimiento normativo de la privacidad al recuperar las conversiones perdidas cuando los usuarios no proporcionan su consentimiento.

¿Qué servicios de Google son compatibles con el Modo de Consentimiento?

Actualmente, el Modo de Consentimiento es compatible con los siguientes servicios de Google:

• Google Analytics
• Google Ads (seguimiento y remarketing de conversiones de Google Ads)
• Floodlight
• Vinculación de conversiones

¿Qué es la política de consentimiento de los usuarios de la UE de Google?

Google introdujo su política de consentimiento de los usuarios de la UE en 2015. Se ha actualizado varias veces para cumplir con los requisitos normativos en constante evolución, como los del RGPD, la Directiva de privacidad electrónica y la Ley de mercados digitales (DMA).

Google anunció a principios de 2024 que aumentaría la implementación de la política de consentimiento de los usuarios de la UE. Esto permite a la empresa cumplir con las normativas de privacidad de datos, incluida la aplicación de la DMA.

No arriesgue sus ingresos por publicidad. Descargue ahora nuestra lista de comprobación del Modo de Consentimiento de Google.

No se puede subestimar el poder y la influencia que tienen las grandes plataformas digitales sobre las pequeñas empresas y los consumidores. Estas plataformas, denominadas “guardianes de acceso” en virtud de la Ley de Mercados Digitales, condicionan el panorama digital y afectan a millones de empresas y consumidores. La Unión Europea ha reconocido la necesidad de regular a estos guardianes de acceso para garantizar una competencia más justa y proteger de los datos y los derechos de privacidad de los usuarios. Esto ha llevado a la aplicación de la Ley de Mercados Digitales (DMA), un reglamento que aspira a fomentar una competencia en igualdad de condiciones en los mercados digitales europeos.

En este artículo, analizaremos el papel de los guardianes de acceso en virtud de la Ley de Mercados Digitales, en inglés Digital Markets Act (DMA). Profundizaremos en los criterios de designación de guardianes de acceso, las obligaciones impuestas a estas empresas y las consecuencias del incumplimiento de este nuevo reglamento. Explore la DMA con Uercentrics y esclarecemos las implicaciones para las empresas europeas.

¿Qué son los guardianes de acceso en virtud de la Ley de Mercados Digitales?

Los «guardianes de acceso» designados por la Comisión Europea (CE) son las grandes empresas tecnológicas que operan uno o más servicios básicos de plataforma (CPS, por sus siglas en inglés). La CE también identifica estos CPS según el tamaño de su audiencia, el volumen de datos generados y procesados, y la influencia en los mercados digitales y los consumidores. Entre los 22 CPS se incluyen navegadores web, redes sociales, asistentes de voz, motores de búsqueda, sistemas operativos, plataformas de vídeo y mucho más.

Al proporcionar servicios básicos de plataforma, los guardianes de acceso sirven como importantes puertas de enlace para que las empresas lleguen a los usuarios finales. Recopilan y gestionan cantidades enormes de datos de usuarios, controlan el acceso a servicios populares y posiblemente fundamentales, y pueden utilizar su posición para eliminar la competencia y limitar la innovación.

Los guardianes de acceso tienen la capacidad de moldear el panorama digital y afectar al éxito de las empresas que operan en ese ámbito. Con su amplio alcance y base de usuarios, los guardianes de acceso son jugadores clave en el mercado digital.

Designación de guardianes de acceso en virtud de la Ley de Mercados Digitales

Las empresas que son guardianes de acceso se eligieron según unos criterios específicos, y esto ha tenido diferentes respuestas por parte de esas empresas, que van desde la aceptación hasta el fuerte desacuerdo. El análisis del papel y la influencia de las grandes empresas tecnológicas en los mercados digitales está en curso, por lo que puede que la lista de guardianes de acceso aumente o cambie, al igual que la lista de sus servicios básicos de plataforma.

Criterios para la designación de guardianes de acceso

Para ser un guardián de acceso en virtud de la DMA, una empresa debe cumplir criterios cualitativos y cuantitativos específicos.

Los criterios cualitativos incluyen tener un impacto significativo en los mercados digitales, proporcionar uno o más servicios de plataforma básicos que sirvan como intermediarios importantes entre empresas y consumidores, y tener una posición consolidada y duradera en el mercado.

Los criterios cuantitativos implican el cumplimiento de determinados umbrales financieros, como tener un volumen de negocios anual de al menos 7.500 millones de euros en la UE o un valor de mercado de al menos 75.000 millones de euros. Además, los guardianes de acceso deben proporcionar los mismos servicios básicos de plataforma en al menos tres estados miembros de la UE y tener un número considerable de usuarios finales y de empresa activos.

El proceso de designación de guardianes de acceso

En virtud de la DMA, la designación de guardianes de acceso sigue un proceso riguroso. La Comisión Europea es la encargada de designar a los guardianes de acceso basándose en los criterios cualitativos y cuantitativos establecidos en el reglamento.

Los guardianes de acceso pueden impugnar las decisiones proporcionando pruebas y argumentos para demostrar que no cumplen dichos criterios. La Comisión también puede realizar investigaciones de mercado para evaluar la designación de guardianes de acceso y considerar factores adicionales como el volumen de venta, la capitalización del mercado, el número de usuarios, la influencia en la red, etc.

Guardianes de acceso designados por la Comisión Europea en virtud de la Ley de Mercados Digitales

Actualmente las seis empresas designadas como guardianes de acceso por la Comisión Europea incluyen cinco empresas con sede en Estados Unidos y una con sede en China. Todas tienen operaciones y usuarios europeos, pero ninguna tiene su sede en la UE o Reino Unido. Los guardianes de acceso son:

• Microsoft (propietaria de LinkedIn y Windows PC OS);
• Meta (propietaria de Facebook, Instagram y WhatsApp) ;
• Alphabet (propietaria de Google, YouTube y Android);
• ByteDance (propietaria de TikTok);
• Amazon (propietaria de Amazon Marketplace); y
• Apple (propietaria de iOS y la App Store).

Tras su designación el 6 de septiembre de 2023, cada guardián de acceso recibió un plazo de seis meses para cumplir con las obligaciones de la DMA en sus servicios básicos de plataforma especificados. Se estableció el 6 de marzo de 2024 como fecha límite.

La Comisión también abrió investigaciones de mercado para evaluar las alegaciones de Microsoft y Apple, que habían impugnado la designación inicial de algunos de sus servicios básicos de plataforma. Atendiendo a esas reclamaciones, el 13 de febrero de 2024, la Comisión dictaminó que ni iMessage, ni Bing, ni Edge, ni Microsoft Advertising serían designadas como CPS. El caso del iPad OS de Apple se debe resolver antes de septiembre de 2024.

Alcance de las operaciones de los servicios básicos de plataforma de los guardianes de acceso

Los servicios básicos de plataforma de los guardianes de acceso incluyen una amplia gama de plataformas y actividades digitales, desde facilitar transacciones online hasta conectar a personas mediante las redes sociales. El efecto extraterritorial de la DMA significa que los guardianes de acceso están sujetos a sus normativas independientemente de dónde tengan su sede, ya que ofrecen sus servicios a usuarios empresariales o usuarios finales establecidos o ubicados en la UE o el EEE.

Obligaciones de los guardianes de acceso

Los guardianes de acceso tienen una serie de obligaciones a las que deben adherirse en virtud de la DMA, entre las que se incluyen las siguientes.

Tratamiento de datos y publicidad personalizada: Los guardianes de acceso deben obtener el consentimiento del usuario antes de recopilar y procesar datos personales con fines publicitarios específicos. Está prohibido combinar datos personales de distintos servicios básicos de plataforma o el intercambio de datos personales en otros servicios proporcionados por el guardián de acceso sin consentimiento previo.

La no discriminación: Los guardianes de acceso no deben discriminar a los usuarios empresariales que ofrezcan los mismos productos o servicios a través de servicios de intermediación de terceros o de sus propios canales de venta directa con precios distintos o con condiciones diferentes.

Libertad de comunicación y promoción: Los guardianes de acceso deben permitir que los usuarios empresariales comuniquen y promocionen sus ofertas a los usuarios finales adquiridos mediante los CPS, independientemente del uso que hagan de sus servicios. Esto promueve la competencia justa y garantiza que los usuarios empresariales puedan llegar a su público objetivo.

Acceso a contenidos y servicios: Los guardianes de acceso deben permitir que los usuarios finales accedan y utilicen contenido, suscripciones, funciones u otros elementos a través de sus servicios básicos de plataforma con el software de un tercero. Esto aumenta las opciones del usuario y evita que los guardianes de acceso limiten el acceso a determinados servicios.

Quejas y resolución de disputas: Los guardianes de acceso no deben impedir ni restringir que los usuarios finales o empresariales comuniquen problemas de incumplimiento de las leyes a las autoridades públicas, incluidos los tribunales nacionales. Se anima a que los guardianes de acceso establezcan mecanismos legales de gestión de quejas para abordar cualquier preocupación planteada por los usuarios.

Cumplimiento de las obligaciones de la Ley de Mercados Digitales

Los guardianes de acceso deben garantizar su cumplimiento con las obligaciones establecidas en la DMA, y con terceros conectados a sus plataformas y servicios. Deben establecer una función de cumplimiento independiente a sus funciones operativas. La función de cumplimiento, dirigida por un responsable de cumplimiento, debe monitorizar y supervisar el cumplimiento del guardián de acceso con la DMA. El responsable del cumplimiento debe tener la autoridad y los recursos necesarios para llevar a cabo sus tareas e informar de cualquier incumplimiento al equipo gestor del guardián de acceso.

Los guardianes de acceso tienen seis meses desde su designación, hasta el 6 de marzo de 2024, para cumplir con la lista completa de obligaciones en virtud de la DMA. Durante este período, están obligados a presentar un informe detallado de cumplimiento a la Comisión Europea, en el que se describa cómo han aplicado las medidas necesarias para cumplir sus obligaciones. La Comisión supervisará la aplicación y el cumplimiento de los guardianes de acceso y podrá imponer sanciones elevadas por incumplimiento. Los detalles se describen a continuación.

Consecuencias del incumplimiento de la Ley de Mercados Digitales

Los guardianes de acceso que no cumplan con las obligaciones establecidas en la DMA se enfrentan a consecuencias importantes. La Comisión Europea puede imponer multas de hasta el 10 % de la cifra de negocios anual a nivel mundial del guardián de acceso, o de hasta el 20 % si se trata de infracciones repetidas.

Además de las multas, la Comisión puede imponer soluciones estructurales que afecten al comportamiento de un guardián de acceso si no cumple con la DMA. Estas soluciones pueden incluir la desinversión de determinadas unidades de negocio o la prohibición de adquisiciones relacionadas con prácticas no autorizadas.

La DMA también permite que la Comisión abra investigaciones de mercado para evaluar el cumplimiento y designe a los guardianes de acceso basándose en sus criterios cualitativos. Estas investigaciones se llevan a cabo para garantizar un mercado digital justo y competitivo, y pueden tener consecuencias adicionales para los guardianes de acceso que infrinjan la DMA.

Futuro aumento del papel y la designación de los guardianes de acceso en virtud de la Ley de Mercados Digitales

Al igual que muchas normativas actuales, especialmente las que se encargan de la privacidad de los datos, la Ley de Mercados Digitales es un proyecto dinámico. Las empresas, la tecnología y el pensamiento legal están en constante evolución, por lo que la normativa también debe evolucionar. Tanto los requisitos en virtud de la DMA, así como los derechos de los usuarios finales y la lista de guardianes de acceso y servicios básicos de plataforma pueden cambiar.

Aumento de guardianes de acceso

La DMA ofrece a otras empresas la oportunidad de presentar notificaciones a la Comisión Europea para que se les designe como guardianes de acceso. Estas empresas pueden autoevaluar su cumplimiento con los umbrales pertinentes y entablar conversaciones con la Comisión. Esto crea un entorno normativo dinámico y en evolución que se adapta al cambiante panorama digital.

Cumplimiento de la Ley de Mercados Digitales y confianza de los usuarios

Cumplir con las obligaciones de la DMA es imprescindible para que los guardianes de acceso mantengan la confianza de los usuarios. Al cumplir con los requisitos de la DMA, los guardianes de acceso demuestran su compromiso de crear un entorno digital seguro. El cumplimiento no solo mitiga el riesgo de multas y sanciones, sino que también fomenta una buena reputación y la sostenibilidad a largo plazo en el mercado digital. Este aumento de la confianza también se aplica a las empresas de terceros que dependen del acceso a las plataformas y servicios de los guardianes de acceso, y que cumplen con las obligaciones de cumplimiento de la DMA sobre privacidad de datos.

Objetivo final: guardianes de acceso que fomenten un mercado digital justo

El papel de los guardianes de acceso es fundamental para transformar el panorama digital y garantizar una competencia justa. Sus decisiones y operaciones afectan directamente a millones de empresas y consumidores. La DMA tiene como objetivo establecer ciertas normas para limitar el poder de los guardianes de acceso y evitar prácticas desleales en el mercado digital.

Los guardianes de acceso deben cumplir con la DMA en un plazo especificado y establecer funciones de cumplimiento para supervisar sus acciones y mantener su cumplimiento. La designación de guardianes de acceso en virtud de la DMA es y seguirá siendo un proceso riguroso llevado a cabo por la Comisión Europea. A medida que los mercados digitales evolucionan, la DMA y la designación de guardianes de acceso tendrán un papel crucial en el mantenimiento de un entorno digital justo, competitivo y seguro.

¿Cómo prepararse para la Ley de Mercados Digitales?

Aunque la DMA se aplica a los guardianes de acceso, es importante que las pequeñas empresas que operan en la UE, el EEE y el Reino Unido comprendan la normativa, ya que afectará directamente al uso de las grandes plataformas y servicios en línea que sean propiedad de los guardianes de acceso, como Facebook, LinkedIn o Google Ads.

Las empresas deberán cumplir las directrices normativas impuestas por los proveedores de servicios digitales como Google y Amazon. Esto es todo lo que necesita saber para cumplir con la DMA y con los nuevos requisitos de privacidad que probablemente impongan las principales tecnológicas. También hemos creado una breve lista de pasos que puede seguir para prepararse para la DMA:

1. En primer lugar, conozca los datos que recopila su organización, cómo se recopilan, utilizan, comparten y con quién. Revise sus políticas sobre tratamiento de datos del usuario, la obtención del consentimiento del usuario y el uso de datos. Esto incluye cualquier acuerdo para compartir datos con terceros.
2. Asegúrese de que su sitio web o aplicación utiliza las herramientas de privacidad adecuadas, obtiene el consentimiento del usuario conforme a la normativa y cuenta con una política de privacidad completa y clara.
3. Considere la posibilidad de implementar una solución de cumplimiento de privacidad que ayude a lograr el cumplimiento la DMA, como la Plataforma de gestión del consentimiento Usercentrics CMP o el SDK de aplicaciones móviles.

La CMP de Usercentrics ayuda a las empresas a cumplir con los requisitos y normas de la Ley de Mercados Digitales impuestas por los guardianes de acceso que buscan el cumplimiento de la DMA. Se puede personalizar al completo y está totalmente automatizada, además de permitir el cumplimiento del Reglamento General de Protección de Datos (RGPD), el principal reglamento europeo de privacidad de datos. La Usercentrics CMP le ayuda a:

• recopilar y gestionar el consentimiento de los usuarios de forma segura y conforme a la normativa;
• respetar los datos y la privacidad de los usuarios; y
• analizar las preferencias de consentimiento del usuario para aumentar las tasas de aceptación.

Empezar prueba gratuita de 30 días

Suscríbase a nuestra newsletter para estar al día de las novedades y avances de la Ley de Mercados Digitales.

Con las directrices anteriores, puede preparar su negocio para los requisitos de la DMA y de los guardianes de acceso, así como para los próximos cambios en el mercado digital europeo.

Descargo de responsabilidad:

Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

A partir del 6 de marzo de 2024, los «guardianes de acceso» designados en virtud de la Ley de Mercados Digitales, en inglés Digital Markets Act (DMA), deben cumplir con los requisitos de la normativa para sus servicios básicos de plataforma identificados o exponerse a cuantiosas multas y otras sanciones.

Esa fecha no solo afecta a las grandes empresas tecnológicas; cualquier empresa que emplee dichos servicios en la Unión Europea (UE) y/o el Espacio Económico Europeo (EEE) debe estar también preparada para la Ley de Mercados Digitales.

En este artículo, analizamos a quién se aplica la Ley de Mercados Digitales, las obligaciones legales impuestas por la normativa y cómo las empresas pueden prepararse para la DMA.

Obligaciones legales impuestas por la Ley de Mercados Digitales

Es importante señalar que la Ley de Mercados Digitales se centra en los guardianes de acceso, que deben trabajar de forma activa para cumplir las obligaciones establecidas por la Comisión Europea (CE). Esto no significa que los usuarios de empresas estén exentos. La normativa también afectará a las empresas con operaciones digitales que dependen de las plataformas y servicios de los guardianes de acceso para recopilar y procesar datos de usuarios de la UE y/o el EEE.

Las exigencias de privacidad de los datos de la DMA tienen un amplio alcance, ya que no solo abarcan las plataformas sino también todos los datos personales recopilados en estas. Además, los guardianes de acceso suelen tener sus propias condiciones de servicio o acuerdos contractuales que las empresas deben seguir al utilizar sus plataformas, lo que puede alinearse con los requisitos de la DMA en materia de transparencia y protección de datos. Además, la Unión Europea y sus estados miembros tienen otras leyes de privacidad de datos que deben cumplir, como el Reglamento General de Protección de Datos (RGPD).

Esto significa que las empresas que utilizan servicios básicos de plataforma no pueden limitarse a ser testigos y deben adaptar sus prácticas y políticas de datos a la DMA. Este paso es necesario para cualquier empresa que desee seguir utilizando estos servicios sin complicaciones legales y sin perder el acceso a la plataforma.

Aunque técnicamente las obligaciones impuestas en virtud de la DMA se aplican a los guardianes de acceso, el cumplimiento de algunas de ellas les requiere imponer exigencias a los clientes de sus plataformas.

Obtener el consentimiento explícito de los usuarios para recopilar sus datos personales

La Ley de Mercados Digitales somete a estrictos controles a las bases legales para que los guardianes de acceso recopilen datos personales, lo que hace que el consentimiento de los usuarios sea fundamental para este proceso. La normativa requiere un consentimiento del usuario acorde al RGPD, que en su artículo 2 (32) lo define como cualquier manifestación libre, específica, informada e inequívoca de la voluntad del usuario por la que, mediante una declaración o una clara acción afirmativa, consiente el tratamiento de sus datos personales.

Por lo tanto, en virtud de la Ley de Mercados Digitales, el consentimiento debe cumplir cuatro criterios clave: debe ser libre, específico, informado e inequívoco.

Libre: El consentimiento se da libremente si la persona que lo da tiene la opción de hacerlo sin estar presionada, coaccionada o manipulada para ello, y no se le penalizará ni se le perjudicará si se niega. El consentimiento no puede ser una condición para acceder a un servicio o producto a menos que el tratamiento de datos personales sea necesario para que dicho servicio o producto funcione. El proceso para retirar el consentimiento debe ser tan sencillo como el de concederlo, lo que permite que las personas cambien fácilmente de opinión.

Específico: El consentimiento no es específico si alguien acepta una recopilación de datos imprecisa o demasiado amplia. Por consentimiento específico se entiende que los usuarios deben aceptar cada fin para el que se recopilan y procesan sus datos personales, y tener acceso a la información de cada uno de ellos para tomar esta decisión. Por ejemplo, si una empresa quiere procesar los datos de una persona con fines publicitarios y analíticos, debe obtener un consentimiento independiente para cada uno de ellos. Si una empresa quiere utilizar los datos para otro fin más adelante, debe obtener un nuevo consentimiento independiente que aborde específicamente este nuevo uso.

Informado: Para que el consentimiento sea informado o claro, los usuarios deben tener toda la información relevante antes de tomar una decisión. Esto incluye comprender qué datos se recopilarán, para qué fines específicos se utilizarán y quién tendrá acceso a ellos. También se debe informar a los usuarios sobre su derecho a retirar el consentimiento en cualquier momento y sobre las consecuencias de hacerlo.

Inequívoco: No debe haber margen para interpretaciones: el consentimiento es inequívoco si el usuario ha aceptado de forma clara el tratamiento de los datos. Normalmente, se obtiene mediante una acción por parte del usuario, como marcar una casilla o hacer clic en un botón que dice «Acepto las condiciones de servicio». El silencio, la inactividad, el desplazamiento o las casillas preseleccionadas no se consideran un consentimiento inequívoco.

Cuando el consentimiento cumple con todas las condiciones anteriores, es una acción clara y afirmativa en virtud de la Ley de Mercados Digitales y el RGPD.

¿Cómo afecta la obtención del consentimiento explícito a las empresas que utilizan servicios básicos de plataforma?

Las empresas que recopilan y procesan datos personales de usuarios en la UE y/o el EEE deben obtener el consentimiento explícito y válido de los usuarios. Aunque las obligaciones, multas y sanciones en virtud de la DMA van dirigidas a los guardianes de acceso, las empresas no pueden pasar por alto sus prácticas de recopilación de datos. Si no se obtiene un consentimiento válido, no solo se corre el riesgo de perder el acceso a los servicios básicos de plataforma, sino que también podría conllevar sanciones en virtud del RGPD u otras leyes.

Restricciones en la combinación de datos para la elaboración de perfiles

La Ley de Mercados Digitales tiene requisitos estrictos a la hora de combinar datos de usuarios en las distintas plataformas en las que operan los guardianes de acceso y entre plataformas propiedad de un guardián de acceso y de terceros.

El artículo 5 de la DMA establece específicamente que los guardianes de acceso no pueden:

• (a) procesar, con el fin de proporcionar servicios de publicidad online, los datos personales de los usuarios finales que utilizan servicios de terceros y que hacen uso de los servicios básicos de plataforma del guardián de acceso;
• (b) combinar los datos personales del servicio básico de plataforma pertinente con los datos personales de cualquier otro servicio básico de plataforma o de cualquier otro servicio proporcionado por el guardián de acceso o con datos personales de servicios de terceros;
• (c) usar datos cruzados personales del servicio básico de plataforma pertinente en otros servicios proporcionados por separado por el guardián de acceso, incluidos otros servicios básicos de plataforma, y viceversa; ni
• (d) iniciar sesión con los usuarios finales en otros servicios del guardián de acceso para combinar datos personales

a menos que se le haya especificado al usuario final la opción y haya dado su consentimiento válido en virtud del RGPD.

El objetivo es evitar que los guardianes de acceso consigan una ventaja injusta al agrupar los datos de los usuarios de varias fuentes, y proteger la privacidad de los usuarios.

Esta disposición limita la capacidad de los guardianes de acceso y de las empresas de terceros para utilizar datos en distintas plataformas con el fin de crear perfiles de clientes para publicidad personalizada. La elaboración de perfiles de menores ya se prohíbe en el RGPD.

Sin embargo, la Ley de Mercados Digitales no prohíbe por completo la creación de perfiles, y los guardianes de acceso deben ser transparentes sobre cómo crean los perfiles de usuario. Deben proporcionar información auditada sobre los datos que recopilan, cómo se procesan, para qué se utilizan, durante cuánto tiempo se almacenarán para la elaboración de perfiles y el impacto que tendrá la creación de perfiles en los servicios de los guardianes de acceso.

Es importante destacar que los guardianes de acceso también deben mostrar cómo avisan a los usuarios sobre la creación de perfiles, cómo solicitan el consentimiento de los usuarios y, cómo ofrecen a los usuarios la opción de denegar o retirar el consentimiento para recopilar sus datos y usarlos para ello. Los datos personales de los usuarios que rechazan o retiran su consentimiento no se pueden utilizar para la elaboración de perfiles.

¿Cómo afectan las restricciones en la combinación de datos para la elaboración de perfiles a las empresas que utilizan servicios básicos de plataforma?

Las empresas no pueden combinar datos de usuarios de diferentes plataformas, incluso si esas plataformas son servicios de terceros, con el fin de elaborar perfiles sin el consentimiento explícito del usuario para ese tipo de uso compartido de datos.

Esto significa que las empresas deben disponer de sistemas para garantizar que los datos de los usuarios recopilados en diferentes plataformas permanezcan separados. En resumen, la DMA exige un enfoque más transparente y aislado de la gestión de datos para todos los implicados.

Esto último es especialmente importante en vista de los requisitos de interoperabilidad de la DMA. Los guardianes de acceso deben permitir a los usuarios cambiar entre distintos servicios, acceder a sus datos y transferirlos fácilmente, así como garantizar la compatibilidad e integración con otras plataformas o servicios. Las empresas y los anunciantes con acceso a los datos de los usuarios desde varias plataformas no pueden combinar estos datos para crear perfiles sin el consentimiento válido de los usuarios.

Riesgos asociados al incumplimiento de la Ley de Mercados Digitales

La Ley de Mercados Digitales regula a los guardianes de acceso, y no hay sanciones en virtud de la normativa para otras empresas que la incumplan. Sin embargo, hay posibles repercusiones para las empresas que no gestionen los datos de los usuarios de acuerdo con los requisitos de la normativa.

El incumplimiento puede limitar o suprimir el acceso a los servicios básicos de plataforma, que suelen ser canales importantes para que las empresas conecten con clientes potenciales y aumenten las ventas y los ingresos por publicidad. Las empresas pueden perder el acceso a sus datos y a su audiencia, lo que conlleva una pérdida de ingresos como resultado de dicha eliminación.

Una cuestión distinta, pero igual de importante, es el daño a la reputación. Si no se cumplen las normas de protección de datos de la DMA, puede mermarse la confianza de los clientes, lo que puede dar lugar a tasas de conversión más bajas, a la rotación de clientes y a la pérdida de ingresos.

Cómo pueden prepararse las empresas para la Ley de Mercados Digitales

Comprender la Ley de Mercados Digitales y cómo afecta a las operaciones y los servicios puede ayudar a las empresas a asignar recursos, ya sea en términos de personal o presupuesto, para cumplir con las normativas. De esta forma, las empresas pueden garantizar la seguridad jurídica y aumentar la confianza de los clientes.

Prepararse para la Digital Markets Act requiere que las empresas garanticen la recopilación del consentimiento de los usuarios conforme al RGPD y la directiva ePrivacy, así como la notificación de las preferencias de los usuarios en los sitios web o aplicaciones.

Utilice una plataforma de gestión de consentimiento para obtener el consentimiento válido del usuario

Para garantizar un consentimiento válido del usuario, se debe contar con una política de privacidad clara y de fácil acceso que explique qué datos se recopilarán, cómo se utilizarán y quién puede acceder a ellos.

Los banners de consentimiento de cookies también deben tener un lenguaje sencillo que transmita los datos que se recopilan y con qué fin. Estos banners deben estar diseñados para obtener un consentimiento que se dé libremente sin utilizar manipulación ni lenguaje engañoso.

Las empresas que buscan un enfoque simplificado para gestionar estos requisitos de consentimiento pueden utilizar una plataforma de gestión de consentimiento (CMP) como Usercentrics CMP. Usercentrics es un socio de CMP certificado por el modo de consentimiento de Google, y la CMP ayuda a las empresas a recopilar y documentar el consentimiento válido del usuario para cumplir con los requisitos normativos. Esto ayuda a las empresas a cumplir con la ley, evitar multas y mantener la confianza de los clientes a medida que dichas empresas crecen. Usercentrics CMP se integra con muchos sistemas de gestión de contenidos o CMS populares, lo que simplifica la configuración.

¿Desea configurar o pasarse a una CMP para prepararse para la Ley de Mercados Digitales? Inicie su prueba gratuita de 30 días de Usercentrics CMP.

Realice auditorías de privacidad de datos y comprobaciones de cumplimiento periódicas

Un calendario sistemático de auditorías internas puede servir como red de seguridad para supervisar el cumplimiento conforme evolucionan la DMA y otras normativas relevantes. Estas auditorías deben centrarse en las evaluaciones del impacto en la protección de datos o DPIA para evaluar los detalles de cómo se procesan, almacenan y comparten los datos de los usuarios en virtud de la Ley de Mercados Digitales.

Es igual de importante evaluar las prácticas de datos de los proveedores y socios externos. Si gestionan datos originados en las plataformas de una empresa, sus políticas de procesamiento de datos también deben ajustarse a las normativas. Cualquier error por su parte puede tener repercusiones en la relación comercial y posibles consecuencias legales. Muchas leyes de privacidad de datos requieren contratos con terceros que participen en el procesamiento de datos para definir las responsabilidades de acceso, protección y uso de datos.

Evolución al marketing basado en el consentimiento

Las empresas deben revisar sus estrategias de marketing como respuesta a las estrictas directrices de la Ley de Mercados Digitales sobre elaboración de perfiles de usuarios y las restricciones al retargeting. En lugar de depender de la segmentación basada en datos de usuarios combinados, las empresas deben adoptar el marketing basado en el consentimiento y explorar otras estrategias, incluida la publicidad contextual.

Este cambio hacia el contexto en lugar de la orientación específica del usuario se alinea mejor con el requisito de la DMA de consentimiento explícito del usuario para el uso de datos. También abre el camino para que las empresas mantengan estrategias publicitarias eficaces sin poner en riesgo la confianza de los usuarios. El marketing basado en el consentimiento protege la privacidad de los usuarios y ofrece una interacción más transparente entre la empresa y el consumidor, lo que puede dar lugar a relaciones de marca más sólidas y fiables.

Cree un enfoque sólido para la gestión de datos

Las empresas que recopilan datos de los usuarios en varias plataformas deben priorizar las estrategias de gestión de datos que protegen la privacidad de los usuarios y cumplen las distintas normativas. Cada paso del recorrido de los datos (recopilación, almacenamiento, uso y eliminación) debe examinarse para garantizar que están protegidos y que no se comparten con terceros innecesarios ni con otras personas o empresas no autorizadas. Las empresas también deben asegurarse de que no se combinan los datos de distintas plataformas para elaborar perfiles y ofrecer publicidad personalizada.

Comunicar la importancia de alinearse con la Ley de Mercados Digitales en la empresa

Conseguir que todos los miembros de la empresa se preparen para la DMA es una forma eficaz de tenerla presente en las operaciones diarias y reducir el riesgo de infringir sus requisitos.

Los equipos de cara al público, como el de marketing, ventas y éxito del cliente y que comparten mensajería unificada sobre la alineación con la DMA, refuerzan el compromiso de la empresa con la privacidad de los usuarios, las prácticas éticas y el cumplimiento legal.

Para lograrlo, los equipos internos necesitan una formación completa para saber cómo cumplir con la Ley de Mercados Digitales y poder acceder a temas de debate específicos sobre la DMA para reuniones con clientes y presentaciones de ventas.