No hace mucho saltaba a primera línea una noticia sobre ciertos cupones descuento de una conocida cadena de supermercados. Esta aprovechaba el uso de los cupones como autorización por sus clientes para la cesión de sus datos personales. Esta práctica no es legítima conforme al nuevo RGPD, de modo que la cadena se habría ahorrado un susto de contar si hubiera trabajado con una consultoría de protección de datos.
¿Pueden utilizarse los cupones descuento para autorizar la cesión de datos?
El RGPD es muy claro al respecto del modo de recabar el consentimiento de los terceros para ceder sus datos personales. Este debe ser expreso. Por eso se prohíben las casillas premarcadas en los formularios web y se recomienda que en los contratos en papel se firme específicamente la política de protección de datos.
Evidentemente, cuando los clientes de supermercados aprovechan una oferta, no están cediendo expresamente sus datos. Es decir, que si empleas una oferta del supermercado, en ningún caso estás consintiendo expresamente la cesión de tus datos personales. Y es que esta práctica no permite distinguir si querías ceder tus datos o tan solo aprovechar el descuento. De modo que la autorización es, literalmente, tácita.
¿Basta con advertir a los clientes de supermercados para ceder sus datos?
Precisamente el problema radica ahí. Hasta ahora podrían haberte informado de que se iban a ceder tus datos si aprovechabas una oferta y quedaría en tus manos hacerlo o no (aunque técnicamente la práctica era incorrecta según la LOPD). Sin embargo, el RGPD exige ese consentimiento expreso del que hablamos.
De modo que la información sobre el uso que se va a dar a tus datos de carácter personal es obligatoria, pero no suficiente. El RGPD establece la obligación de que el supermercado cuente con un registro de las acciones de tratamiento, donde se incluiría esta cesión. Pero esta obligación es complementaria a la del consentimiento expreso.
¿Se puede autorizar la cesión de datos “a terceros”?
En realidad, cuando se autoriza la cesión de datos debe conocerse con qué fin se hace y a qué partes se van a ofrecer. Es decir, que el texto “autorizas la cesión de tus datos personales a terceros” no tiene sentido, pues no sabes quiénes son esos “terceros”.
De modo que la protección de datos implica que tampoco vale con que te pidan la autorización para ceder tus datos a personas indeterminadas. Estas expresiones vacías han quedado relegadas, y se debe informar de quién va a ser el destinatario de tus datos si autorizas tal cesión.
¿Pueden enviarse cupones descuento sin autorización?
La cadena de supermercados que inició esta acción (ya la ha retirado del mercado) aseguró que el objetivo era poder enviar cupones al cliente, para que se beneficiara de sus ofertas. Según su argumentación, el propio cupón es una acción promocional, de modo que su envío requiere autorización.
Y aunque con su acción promocional buscaron “la fórmula más rápida” para recabar tal consentimiento, lo cierto es que extrajeron una conclusión errónea de una argumentación correcta.
Como comunicó la cadena, un negocio no puede enviarte cupones ni iniciar ninguna otra acción promocional sin tu autorización. Pero de ello no se deriva que puedan entenderla otorgada cuando aproveches sus ofertas.
Desde el RGPD, los clientes de supermercados no pueden recibir notificaciones comerciales gracias al uso de sus datos personales si no han autorizado este uso. Y si el supermercado quiere enviarte descuentos u otras ofertas, primero tiene que preguntarte si los quieres.
¿Cuáles son los efectos del RGPD en la forma de gestionar la autorización?
En definitiva, lo que ha conseguido el RGPD es que las empresas tengan que ser más cuidadosas con el uso de tus datos. Ya no vale con que argumenten que “si no querías recibir promociones, no haber usado mis cupones”. Además, ya no tienes la tarea añadida de retirar tu cesión si no estás satisfecho.
Ahora tienes una posición más fuerte, pues no podrán ceder ni utilizar tus datos personales sin tu consentimiento. Son ellos quienes deben obtener una autorización, y no tú quien debe retirarla, aunque con el RGPD podrás hacerlo en cualquier momento.
¿Cuáles son las consecuencias de incumplir el RGPD?
La Agencia Española de Protección de Datos inició una investigación sobre los cupones de los que hablamos. De modo que, como autoridad en la materia que es, la AEPD puede iniciar investigaciones de oficio. En estos casos, la persona (física o jurídica) investigada, debe colaborar con la Agencia para esclarecer los hechos.
En este momento es cuando cobran sentido las obligaciones de información, pues la cadena deberá haberlas cumplido para facilitar la investigación. Si el expediente se resolviera de modo adverso a la cadena de supermercados, la sanción consistirá en una multa de entre 40 000 y 300 000 euros.
De modo que las graves sanciones de la nueva regulación de protección de datos hacen muy recomendable el cumplimiento escrupuloso de la misma. Ya sabes, si tu supermercado ofrece cupones descuento a los clientes de supermercados, ello no le autoriza para vender tu información personal.