LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 12:38:59

LegalToday

Por y para profesionales del Derecho

Límites de la normativa de protección de datos a la creación de perfiles con fines comerciales

Laia Reyes Rico
Abogada de Uría Menéndez

Una de las técnicas que más está creciendo en el sector publicitario para ajustar el marketing a los gustos y preferencias de los usuarios es la utilización de herramientas aplicadas de inteligencia artificial que permiten analizar, a través de algoritmos de aprendizaje automático, datos personales a gran escala y extraer perfiles de los usuarios. No obstante, esas actividades se deben llevar a cabo teniendo en cuenta la normativa de protección de datos (el Reglamento General de Protección de Datos 2016/679 —“RGPD”— y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantías de los Derechos Digitales).

Dos figuras

Para que las compañías puedan identificar cuándo deben adoptar las garantías específicas exigidas por el RGPD para realizar perfilados, es necesario conocer qué actividades implicarían la elaboración de perfiles.

Actividades que conllevan la creación de un perfil

El perfilado es una categoría de tratamiento de datos que tiene lugar si concurren estos dos requisitos: a) que el tratamiento se lleve a cabo, al menos en parte, de forma automatizada (p.ej., a través de algoritmos) y b) que dicho tratamiento tenga por objeto evaluar a una persona física (i.e., crear "nuevos" datos o sacar conclusiones sobre una persona) con el fin de hacer predicciones o deducciones estadísticas sobre su capacidad de realizar una tarea, sus intereses o su comportamiento futuro.

La creación de perfiles es un tratamiento en sí mismo que, por regla general, está directamente relacionado con otros tratamientos de datos o es necesario para llevarlos a cabo. Este sería el caso, por ejemplo, del envío de newsletters personalizadas, ya que para llevar a cabo dicho envío sería necesario que, previamente, se haya realizado un perfilado. En este supuesto, por lo tanto, se habrían dado dos tratamientos diferenciados de datos (en primer lugar, el perfilado y, en segundo lugar, el envío de marketing que, además, estaría sujeto a reglas adicionales establecidas por la normativa aplicable sobre servicios de la sociedad de la información y de comercio electrónico que así lo exige).

Requisitos para elaborar perfiles

Las compañías que lleven a cabo perfilados deberían (entre otras obligaciones establecidas por el RGPD) comprobar si existe una base jurídica para llevar a cabo el perfilado e informar sobre él. En el contexto de la elaboración de perfiles con fines de marketing, las dos principales bases jurídicas (de las enumeradas en el art. 6 del RGPD) que podrían ser de aplicación son el consentimiento inequívoco de los usuarios o la existencia de un interés legítimo.
El Comité Europeo de Protección de Datos y la Agencia Española de Protección de Datos (la "AEPD") han interpretado que, por regla general, las siguientes categorías de perfilados exigen la obtención del consentimiento inequívoco de los usuarios: a) si se tratan datos especialmente protegidos (como datos de salud o de orientación sexual), b) si los datos se obtienen a través de cookies o tecnologías similares (ya que en estos casos sería de aplicación la normativa sobre servicios de la sociedad de la información y de comercio electrónico) o c) si los perfilados fuesen muy complejos o intrusivos. Así, dichas autoridades han interpretado que un perfilado muy intrusivo podría ser aquel que conllevase el seguimiento de un usuario en distintos sitios web, ubicaciones y dispositivos móviles, o cuando se tratasen y combinasen datos obtenidos de fuentes externas a las de la compañía que lleva a cabo la acción de perfilado.
En el caso de que los perfilados se basen en el interés legítimo de las compañías (y no en el consentimiento), se debe otorgar a los usuarios -de forma incondicional- un derecho de oposición para que estos puedan oponerse a que sus datos sean utilizados para elaborar perfiles. En el contexto de los perfilados para el envío de e-mails comerciales, cabría preguntarse si sería necesario dar un derecho de oposición diferenciado para que los usuarios se puedan oponer, por un lado, a la realización de perfilados y, por otro, al envío de comunicaciones comerciales. Al respecto, sería razonable defender que, en los casos en los que los perfilados solo se lleven a cabo con el fin de enviar marketing personalizado, solamente sería necesario otorgar un único derecho de oposición. No obstante, existe algún pronunciamiento preliminar de la AEPD que recomienda otorgar un derecho de oposición diferenciado a los usuarios.

Además, las compañías que realicen perfilados deben cumplir con el deber de la protección de datos por excelencia, que es el deber de informar. Esta obligación de informar debe llevarse a cabo incluyendo expresiones que permitan a los usuarios tener expectativas razonables de que se va a generar un perfil. En este sentido, las compañías deben a) especificar las consecuencias del perfilado (p. ej., la adopción de una decisión sobre la base del perfil generado) y b) detallar el nivel de dicho perfilado (p. ej., si se analizan solo los productos y servicios contratados o si también se tienen en cuenta otros factores).

Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas de vista a Actualidad Jurídica Aranzadi

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.