Entrevista con la Dra. Jana Moser: El marketing online en la era del GDPR y el reglamento sobre privacidad electrónica ePrivacy

El 25 de mayo de 2018 entró en vigor en la Unión Europea el Reglamento General de Protección de Datos (GDPR) con el propósito de poner límites a la recopilación descontrolada de datos. Con el Reglamento sobre privacidad electrónica, también conocido como el reglamento ePrivacy, la economía digital europea se enfrenta ahora a nuevos retos.

La última sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 1 de octubre de 2019 confirma lo que Commanders Act viene comunicando a sus clientes desde 2018: antes de poder establecer cookies o recopilar otros datos personales, es necesaria la inclusión voluntaria del interesado.

En una entrevista con Timo von Focht, director de país DACH en Commanders Act, la Dra. Jana Moser, experta en protección de datos estratégicos, explica lo que esto supone para las empresas europeas y el comercio electrónico. Aborda las condiciones y efectos generales de la nueva jurisprudencia del TJUE en materia de protección de datos y las estrategias de datos de las empresas europeas y, además, describe las prácticas actuales de marketing en la era del GDPR y del Reglamento sobre privacidad electrónica ePrivacy.

Timo von Focht: Hola, Jana, estoy encantado de hacer esta entrevista contigo. ¿Cuántos años llevas dedicada a la protección de datos y las estrategias de datos en empresas? En tu opinión, ¿qué evolución han experimentado estas cuestiones en los últimos años?

Dra. Jana Moser: Llevo diez años dedicada al tema de la protección de datos. Empecé como encargada de la protección de datos personales en studiVZ/schülerVZ. Entonces todavía era un tema muy específico. Recuerdo que era muy complicado explicar a los representantes de las autoridades y a los políticos la influencia positiva en las redes sociales de actitudes encaminadas a la protección de datos. Entonces casi estaba mal vista cualquier cosa que apuntara ligeramente hacia el tratamiento digital o la divulgación de datos personales.

En los últimos años tanto la sociedad como los políticos han ido acostumbrándose gracias a la rápida digitalización. Un claro ejemplo es Streetview de Google. Ha dejado de ser un problema. Casi todo el mundo utiliza WhatsApp y se está generalizando cada vez más el uso de herramientas tales como Trello, Office 365, Slack o Google Docs.

Y sin embargo, al mismo tiempo, hay más sentencias y movimientos en materia de protección de datos encaminados a proteger la intimidad de las personas. Es bueno que así sea y también lógico, ya que cuanta más gente utilice sus datos digitalmente mayor transcendencia tiene este tema y mayor probabilidad hay de que se produzcan diferencias de opinión claras al respecto.

Timo von Focht: En tu opinión, ¿el GDPR es un mal necesario, un avance o una oportunidad para la economía digital?

Dra. Jana Moser: El GDPR es un adelanto económico a este respecto, ya que trata de armonizar los reglamentos de protección de datos en toda Europa. Las normas uniformes siempre son beneficiosas ya que todo el mundo juega en el mismo campo. Sin embargo, aún deja mucho margen para que los estados miembros de la UE creen sus propias normativas y, por tanto, vuelva a haber disparidad en Europa. Además, la normativa europea es difícil de cumplir fuera de Europa. Ahí es donde chocan expectativa y realidad.

Por otro lado, los grandes beneficiados por el GDPR son claramente los abogados y asociaciones especializados en protección de datos, que tienen la oportunidad de presentar demandas contra las empresas que los incumplen.

A este respecto, el Reglamento General de Protección de Datos también beneficia a las empresas que actualmente dependen de la diferencia aún existente entre los niveles de protección de datos del mundo, sobre todo entre la UE y EE. UU. Los clientes que temen recibir quejas de los consumidores, las autoridades de supervisión y las asociaciones recurren a empresas locales para su salvación. Sin embargo, creo que esta ventaja del establecimiento local desaparecerá a medio plazo. Tanto a la UE como a EE. UU. les interesa colaborar. De esta forma, solo se tratará de si los servicios procedentes de Europa son suficientemente buenos y de si, para entonces, habrán podido conseguir un gran número de clientes para competir con las ofertas del resto del mundo.

Timo von Focht: Después de las tres sentencias del TJUE de este año sobre el GDPR, ¿a qué riesgos se enfrentan las empresas europeas si continúan basándose en las excepciones como el famoso interés legítimo (art. 6 1 (f) del GDPR) en la recopilación de datos personales en marketing?

Dra. Jana Moser: Si una empresa recurre al interés legítimo como fundamento jurídico y este no existe, es decir, si prevalecen los intereses o derechos y libertades fundamentales del interesado que requieren la protección de datos personales, el tratamiento de estos datos es simplemente ilícito.

Por supuesto, es posible aplicar otro fundamento jurídico, como un contrato con el interesado o su consentimiento. En la mayoría de los casos donde se aplica la frase 1 y epígrafe (f) del apartado 1 del artículo 6 del GDPR, no se ha obtenido tal consentimiento.

Por tanto, si no existe fundamento jurídico, los datos han sido tratados de manera ilícita. En tal caso, el interesado tiene, entre otras cosas, el derecho a que se supriman sus datos (ap. 1 epígrafe (d) del artículo 17 del GDPR). En este caso, la empresa debe, en principio, informar de la solicitud de supresión a los receptores de dichos datos.

El interesado también puede presentar una queja ante la autoridad de supervisión competente, que examinará el tratamiento de datos de forma pormenorizada. Esto puede derivar en la adopción de medidas tales como restricciones temporales o permanentes del tratamiento de datos o la revocación de certificaciones. Por último, pueden imponerse multas de hasta un 4 % de la facturación anual o 20 millones de euros.

Además, el interesado puede incoar un procedimiento legal directamente contra la empresa, por ejemplo, por daños y perjuicios o petición de información.

Timo von Focht: ¿A cuánto asciende la responsabilidad de la empresa correspondiente? ¿En qué medida tienen responsabilidad personal las personas encargadas de la protección de datos, los consejeros o la dirección de la empresa? ¿Qué penas se han impuesto en esta cuestión?

Dra. Jana Moser: La cuestión de la responsabilidad es muy relevante para las empresas responsables, no solo por la elevada cuantía de las multas que he mencionado anteriormente. Mientras que en el pasado la directiva de protección de datos establecía un máximo de 300.000 euros por caso, ahora las multas puedes ascender a 20 millones de euros o estar basadas en la facturación anual… y las autoridades las imponen. Recientemente se ha conocido la multa, aún no vinculante legalmente, de 14,5 millones de euros impuesta a Deutsche Wohnen por suprimir y archivar datos por error. Por ejemplo, la autoridad supervisora francesa impuso a Google una multa de 50 millones de euros por falta de transparencia en la información sobre protección de datos y el servicio de mensajería alemán Delivery Hero fue objeto de una sanción de unos 200.000 euros por no eliminar los perfiles de los clientes.

Además de los delitos administrativos establecidos en el GDPR, también cabe la posibilidad de que existan otros riesgos monetarios, como, sobre todo, reclamaciones por daños y perjuicios presentadas por el interesado u órdenes de prohibición que pueden provocar una caída de ingresos. Tampoco deben subestimarse los daños indirectos provocados por estos, digamos, desastres, así como el perjuicio para la reputación y la confianza de una marca o empresa.

También pueden entrar en juego las demandas civiles de información o exención. Por regla general, suelen conllevar gastos de abogados y costas judiciales. Además, es posible la imposición de sanciones penales, especialmente contra la dirección, en el caso de que se haya realizado un tratamiento de datos sin autorización de forma intencionada.

Sin embargo, el riesgo concreto de una empresa y de su equipo directivo o consejo de administración siempre depende de cada caso. Es importante destacar que los terceros, los cogerentes y los encargados del tratamiento de datos subcontratados no pueden rechazar su responsabilidad, ya que el GDPR concede al interesado un derecho directo a exigir daños y perjuicios tanto contra la parte responsable como contra el encargado del tratamiento. A esto debe añadirse la multa impuesta por las autoridades de supervisión.

Timo von Focht: En mayo de 2018 el gobierno de Donald Trump endureció la «Cloud Act» o Ley de la Nube, en virtud de la cual las empresas estadounidenses y aquellas que operan allí deben también revelar los datos que estén alojados en servidores extranjeros. ¿Qué relación deben mantener ahora las empresas con Google, Amazon y otros proveedores de servicios en la nube de EE. UU.? ¿Cómo pueden protegerse las empresas europeas en este sentido y qué dice el TJUE a este respecto? ¿Puede aún invocarse al acuerdo del Escudo de privacidad entre la UE y EE. UU.?

Dra. Jana Moser: Ya no basta con decir «los datos se tratan en la UE» . En vista de la legislación de EE. UU., no puede descartarse que los servicios de inteligencia estadounidense accedan a la información almacenada en la UE por las filiales en la UE de empresas estadounidenses.

Los requisitos estadounidenses para poder llevar a cabo dicho acceso siempre han sido diferentes a los europeos. Por ejemplo, se ha considerado inadecuado el antiguo «Acuerdo de puerto seguro» con Estados unidos, que servía de base para la transferencia de datos a EE. UU., no solo porque las empresas estadounidenses podían otorgarse a sí mismas el certificado de puerto seguro o por la falta de efectividad, desde el punto de vista de la UE, de los controles efectuados por la Comisión Federal de Comercio (FTC). Por el contrario, procesos judiciales como el de Microsoft, que tuvo que entregar información de la filial irlandesa a la matriz estadounidense, han puesto de manifiesto la contraposición de dos sistemas jurídicos y el riesgo que corre la protección de la intimidad de los europeos.

El sucesor del Acuerdo de puerto seguro, el Escudo de privacidad entre la UE y EE. UU., está siendo muy criticado por los defensores de la protección de datos por los mismos motivos. Sin embargo, en octubre de 2019 la Comisión Europea confirmó que su escudo base suficiente para la denominada transferencia a terceros países. Por tanto, sigue siendo una condición para que los datos puedan transferirse a un tercer país que de otro modo sería considerado «inseguro». Aunque el TJUE aún puede anular esta valoración. El procedimiento está pendiente de sentencia, y hay mucha impaciencia por conocer el resultado. Si el escudo de protección de datos deja de aplicarse, teóricamente pueden usarse cláusulas contractuales tipo u obtenerse el consentimiento correspondiente. Sin embargo, es difícil imaginar que una empresa procedente de un país que no tenga un nivel adecuado de protección debido a su legislación (como la «Cloud Act») pueda firmar y cumplir cláusulas contractuales tipo efectivas. Asimismo, el consentimiento deberá ser especialmente transparente y detallado para que el interesado sea consciente del riesgo de la falta de protección.

En la medida en que existan diferencias tan grandes de legislación en cuanto a la protección de los interesados y no haya acuerdo entre los países, siempre habrá un riesgo para las empresas que colaboren con socios no establecidos exclusivamente en la UE.

Timo von Focht: El consentimiento está adquiriendo cada vez mayor importancia como fundamento jurídico para la recopilación de datos personales y el establecimiento de cookies. Actualmente existen muchas plataformas de gestión de consentimientos y permisos. ¿Qué recomendaciones haría a las empresas que vayan a elegir a un proveedor?

Dra. Jana Moser: En principio, lo primero que debe informarse es sobre el concepto de protección de datos del proveedor de servicios de gestión de permisos. Es en esta cuestión donde se separa el trigo de la paja. Un experto puede reconocer fácilmente en el concepto cuando el proveedor sabe de lo que está hablando y si realmente se encarga de la protección de datos o solo la ve como una prometedora fuente de ingresos. En segundo lugar, yo comprobaría para qué utiliza exactamente el proveedor los datos tratados. No será raro que realizara un uso posterior de ellos o que los transfiriera a terceros países. Por último, es aconsejable que realicen una separación de clientes a fin de que los datos se traten de manera independiente para cada empresa.

La elección entre una empresa de la UE o de EE. UU. depende de tu gusto por el riesgo y del tratamiento realizado por el proveedor. Las soluciones prestadas exclusivamente in situ apenas tienen riesgo, mientras que las soluciones SaaS implican un alto riesgo para la protección de datos debido a la «Cloud Act».

Timo von Focht: ¿Qué ventajas tienen en marketing las soluciones con inicio de sesión? ¿Recomendarías la creación de una solución propia o el uso de una solución en red (como NetID o Verimi)? ¿Qué recomendarías a cada sector?

Dra. Jana Moser: Las soluciones con inicio de sesión y, por tanto, el registro de los usuarios serán fundamentales si se quiere documentar claramente el consentimiento a la protección de datos. Resulta interesante el reconocimiento de esta cuestión por parte de las empresas que actualmente ostentan un monopolio, como Google, Facebook, Apple, Amazon y Microsoft. Si no te registras en estas empresas, no puedes utilizar sus servicios. Mediante el registro se pueden almacenar y documentar los permisos personales. Es el fundamento para crear perfiles de usuario pormenorizados y, como resultado, hacer un uso económico de ellos.

Es correcta la afirmación de que no deben recopilarse más datos solo para cumplir el GDPR. Sin embargo, las personas responsables están sometidas a una responsabilidad y obligación de prueba en virtud del apartado 2 del artículo 5 del GDPR. Resulta casi imposible conservar de manera sostenida sin un registro el consentimiento que cumple la protección de datos, ni tampoco justificarlo en el resultado. El usuario sobre el que, por ejemplo, solo se almacene una ID de cookie u otro identificador puede modificar la configuración de su dispositivo y eliminar las cookies, lo que de hecho convertiría su perfil de usuario en anónimo, pero con mucha frecuencia se almacenan datos adicionales para que, al combinarlos, se pueda identificar nuevamente a una persona o un terminal. Si un usuario inicia sesión para solicitar la supresión de sus datos, resulta difícil identificarlo como usuario autorizado. Esta cuestión depende en gran parte de cada caso individual.

Aparte de esto, cada vez hay un menos usuarios dispuestos a dar un consentimiento total si no logran un valor añadido con ello. Dicho valor añadido suele estar relacionado con frecuencia con la persona en cuestión, por lo que el registro tiene sentido. En este punto, los líderes siempre llevan la delantera: aquellos que ya tengan datos de acceso con un proveedor que ya ofrece valor añadido a través de sus servicios los usarán en vez de tener que recordar nuevos datos de registro. Esta cuestión beneficiará aún más a los monopolistas y les permitirá obtener el consentimiento correspondiente y recopilar datos antes y con mayor frecuencia.

Si una empresa reconoce esta situación, ya es un adelanto, pero son las menos. Por tanto, son especialmente importantes iniciativas como Verimi y NetID: estas alianzas de registro pretenden ser una alternativa a los monopolistas. Hacen que el «dilema del registro» resulte cada vez más obvio. Lamentablemente, ni siquiera los legisladores han reconocido este hecho antes de la entrada en vigor del RGPD. Por tanto, es importante que cada empresa aborde estas alternativas y el registro.

En mi opinión, las grandes alianzas de registro alemanas Verimi y NetID persiguen objetivos totalmente diferentes. Nada más la estructura del accionariado muestra que NetID está orientada al marketing y a la publicidad en el sector de los medios de comunicación. Espero que todas las empresas de NetID obtengan conjuntamente el consentimiento para realizar un seguimiento exhaustivo. Verimi, por otro lado, abarca diversos sectores y se concentra en gran medida en el valor añadido para los usuarios a través del almacenamiento seguro de datos. Según mi punto de vista, se concentran en la protección de datos y la seguridad. Al parecer, también ello es debido al carácter conservador de los accionistas y empresas que engloba Verimi, como, por ejemplo, Allianz Versicherung, Deutsche Bank y Bundesdruckerei.

Timo von Focht: En tu opinión, ¿qué pueden o deben hacer actualmente las empresas europeas para protegerse de las advertencias y crear una estrategia de datos sólida a largo plazo?

Dra. Jana Moser: Las empresas deben abordar esta cuestión. No tiene sentido dilatarlo más y esperar a que otros la aborden. Con el GDPR los monopolistas lo han hecho muy bien presionando en favor de sus intereses. Si las empresas siguen esperando a ver qué ocurre, en caso de duda un competidor puede interesarse por su problema con la protección de datos y presentar una reclamación o llamar la atención de la autoridad supervisora.

Sin duda, el primer paso es realizar un análisis general del inventario: ¿qué datos, qué documentación y qué socios están disponibles? El segundo paso es determinar los riesgos por área: ¿qué riesgo existe y qué probabilidades hay de que se haga realidad?

Después de esto, yo abordaría y aplicaría medidas de forma gradual en cada área. Siempre recomiendo que a nivel interno sean dos personas las que se encarguen del asunto. Inicialmente, se pueden abordar los problemas con la ayuda de expertos externos y con el tiempo ir adquiriendo conocimientos para dejar esta dependencia externa. Al fin y al cabo, los compañeros de dentro son los que entienden mejor a la empresa, la conocen mejor que las personas ajenas y, con frecuencia, gozan de mayor confianza.

Timo von Focht: ¿Cómo ves el futuro de la privacidad electrónica? ¿Qué pueden esperar las empresas y los proveedores de soluciones?

Dra. Jana Moser: No es de esperar que el Reglamento de privacidad electrónica entre en vigor antes de finales de 2021. No obstante, las empresas deben prepararse ya que es un hecho que la cuestión del consentimiento irá adquiriendo cada vez mayor importancia. El interés legítimo antes mencionado, abordado en el GDPR, no debería recogerse en el nuevo reglamento, que probablemente será aplicable no solo a los datos personales, sino también a los metadatos y a los datos generados automáticamente. Sin embargo, aún no se han determinado los detalles. Por cierto, lo mismo puede aplicarse a la configuración predeterminada de los navegadores y de las cookies de terceros, que se impiden por defecto. Si se aceptan realmente las previsiones anteriores, la industria publicitaria actual pronto dejará de existir. Lo que es bueno para el consumidor y malo para el anunciante que se aferre al pasado. Es hora de nuevas ideas y conceptos publicitarios.

Timo von Focht: ¿Cómo pueden mejorar las empresas su configuración de privacidad para que más visitantes faciliten sus datos? Y, a propósito de esta cuestión, ¿cuándo es útil para los consumidores aceptar las cookies y cuáles?

Dra. Jana Moser: Transparencia, comodidad y valor añadido son, sin duda, las palabras clave a este respecto.

Cuanto más clara y transparente sea la configuración de la protección de datos, mayor será la confianza del usuario en el servicio que desea usar. Además, la configuración debe ser fácil de utilizar y comprender. No creo que sea necesario dar un exceso de información incluso sobre las cookies más insignificantes. No aporta ningún valor informativo añadido al interesado.

Aquellos que escondan las opciones de protección de datos no recibirán elogios de los usuarios. Hay que tener en cuenta que las redes sociales se hacen cada vez más eco de los ejemplos negativos. Por tanto, una mala estrategia de comunicación sobre la protección de datos puede ser una verdadera metedura de pata de una empresa.

En última instancia, los usuarios siempre estarán más predispuestos cuando esperan o reciben un buen servicio, o incluso, valor añadido, de una empresa. Y en tal caso, incluso se aceptan las normativas extensas o confusas en materia de protección de datos.

Como resultado, solo es posible afirmar a grandes rasgos qué acuerdo sobre cookies resulta de utilidad para un determinado consumidor y cuándo. Si un usuario quiere estar tranquilo y no quiere ningún tipo de personalización, no debería dar su consentimiento. Para quienes consideran que la personalización es positiva y beneficiosa, puede tener sentido la creación de perfiles. Sin embargo, debe darse el consentimiento a este respecto si la individualización ya no es una cuestión necesaria del contrato.

Timo von Focht: Muchas gracias por concedernos esta entrevista, Jana.

Dra. Jana Moser :