Luca Brighenti entrevista a Fabia Cairoli, Data Protection Specialist en Dentons Europe

Dentons es la mayor firma de abogados del mundo, con una fuerte y reconocida presencia en Europa y América del Sur. Luca Brighenti entrevista a Fabia Cairoli, Data Protection Specialist de Dentons Europe Tax Law Firm.

[LB] Ciao Fabia, empecemos hablando del targeting: ¿qué implicaciones tiene para la privacidad, a la luz de las aclaraciones realizadas por el CEPD acerca de la utilización de datos personales por redes sociales?

[FC] Ciao Luca. Los medios de comunicación informan a diario sobre el uso indisciplinado de los datos personales de los usuarios en la web: la comercialización de datos personales atrae cada vez más la atención del público. El uso cada vez más generalizado de la tecnología de la información y las redes sociales, permite que hoy en día se puedan almacenar una enorme cantidad de datos y utilizarlos para diferentes fines. En el pasado, los datos reunidos eran sólo un efecto secundario del uso de los servicios en línea por parte de los usuarios; ahora, sin embargo, es el producto.

A modo de resumen, y de acuerdo con lo ya señalado en innumerables contextos, los servicios en línea se ofrecen gratuitamente siempre y cuando las empresas de tecnología puedan beneficiarse de la utilización de los datos obtenidos. Además, se ha llegado a la conclusión de que la forma más común de monetizar los datos personales es utilizarlos para crear perfiles de usuario precisos y orientar las campañas publicitarias. La eficacia de la publicidad en línea, deriva de la capacidad de conocer al consumidor, sus preferencias, sus orientaciones y, a veces, incluso las características que el consumidor no conoce o no ha revelado directamente (los llamados datos inferidos). Al seleccionar a los clientes potenciales entre los que han mostrado mayor interés en el tipo de producto que se ofrece, la probabilidad de que el producto se venda aumenta exponencialmente (ahorrando tiempo y dinero a campañas ineficaces).

Con el fin de analizar las funciones de los agentes que participan en las campañas de marketing y los flujos de datos que tienen lugar entre bastidores, el CEPD publicó las Directrices 8/2020 sobre el targeting de  usuarios de redes sociales ("Directrices"), las cuales fueron sometidas a consulta pública hasta el 19 de octubre de 2020.

En este contexto, hemos decidido retomar algunos de los puntos clave recogidos en las Directrices y analizar junto con nuestro consultor Luca Brighenti -empresario, director general y fundador de B4Bind- las implicaciones de la publicidad online en relación con la protección de datos de los usuarios.

[LB]  ¿Por qué el CEPD consideró que era importante realizar un estudio a fondo de una cuestión sectorial de este tipo?

El tratamiento de los datos relacionados con la publicidad en línea, supone plantear una serie de cuestiones jurídicas complejas. No es ninguna novedad que estas prácticas requieran de un uso masivo de datos personales; sin embargo, el marco jurídico no está debidamente actualizado. La GDPR es una legislación reciente, que debe leerse junto con la Directiva sobre la privacidad y las comunicaciones electrónicas, que regula el uso de cookies y tecnologías similares (las cuales siguen siendo las herramientas más comunes para realizar campañas publicitarias en línea). Sin embargo, la Directiva sobre privacidad y las comunicaciones electrónicas está desfasada, pues las tecnologías utilizadas por los usuarios han evolucionado y evolucionan rápidamente. Luca Brighenti nos recuerda que "los datos se han convertido en una parte integral de la sociedad a medida que nos hemos ido 'conectando' cada vez más y el seguimiento de la actividad de los consumidores en línea/fuera de línea es cada vez más importante". Los editores y los anunciantes utilizan los datos de los usuarios, que recopilan mediante aplicaciones móviles, cookies de sitios web y terceros proveedores para identificar y llegar a los clientes actuales y potenciales en todas partes. Tras años de actividad sin control ni preocupación por la privacidad de los usuarios, en los que los vendedores han invertido miles de millones de euros en plataformas que utilizan datos cuestionables de terceros, cookies y prácticas de privacidad imprudentes, el sector de la publicidad está empezando por fin a adoptar un enfoque más consciente acerca de la privacidad (por ejemplo, aplicando políticas de privacidad, bloqueando las cookies de terceros y el paso de Apple a la IDFA), esperando poder recuperar la confianza de los consumidores frustrados. Si bien las políticas de privacidad y las actualizaciones de la industria han impactado la forma en que las marcas obtienen y utilizan los datos de los clientes, la industria publicitaria necesita ahora dar un paso atrás y volver a centrar su atención en el consumidor final y en el uso apropiado de los datos personales por parte de las empresas a la hora de desarrollar y realizar publicidad.

En consecuencia, y a pesar de que no haya indicaciones claras por parte de las autoridades competentes, se pide a las empresas que garanticen el cumplimiento de la legislación en materia de privacidad y protección de la intimidad en el sector de las comunicaciones electrónicas. El Tribunal de Justicia de la UE ("Tribunal de Justicia")  ha analizado recientemente  esta cuestión a través de varias sentencias de gran repercusión, con el objetivo de aclarar las relaciones entre los operadores en línea, lo cual resulta también relevante para la publicidad en línea (entre ellos, los conocidos fallos de la Wirtschaftsakademie y la FashionID). Mediante estas sentencias, parece que el Tribunal de Justicia pretende ampliar el concepto de responsabilidad conjunta (que en la práctica  se aplica de forma incorrecta por los operadores), para hacer a las empresas corresponsables del tratamiento de los datos de los usuarios. Asimismo, el CEPD, con las Directrices, parece ampliar aún más esta interpretación, esencialmente reconociendo un régimen de corresponsabilidad en la mayoría de las prácticas de publicidad en línea. Probablemente, la finalidad sea forzar a los operadores a presionar a los grandes jugadores, para corregir la deseducación digital a la que están acostumbrados. Sin embargo, resulta preocupante la forma en la que, en la práctica, los operadores puedan reaccionar, pues se les reconoce una coparticipación en la determinación de los tratamientos de datos, en ausencia, no obstante, de una capacidad real de influir en las decisiones de los gigantes de la tecnología.

[LB] ¿Quiénes son los operadores que participan en la selección de los usuarios?

La publicidad en línea gira en torno a las redes sociales (es decir, los operadores que permiten el desarrollo de redes y comunidades de usuarios), pues los contextos digitales que han creado, constituyen realidades paralelas a la analógica. Los datos, generados por usuarios, que recogen ofrecen a las empresas la oportunidad de conocer a sus consumidores (y a los consumidores potenciales), con un nivel de agudeza nunca antes alcanzado. Por ende, son capaces de conocer lo que los consumidores quieren antes de que ellos mismos lo sepan.

Los destinatarios, por otra parte, son personas físicas o jurídicas que utilizan los servicios de las redes sociales para dirigir mensajes específicos sobre la base de criterios concretos. Gracias a la enorme cantidad de información acerca de los usuarios y a la posibilidad de contar con datos actualizados, las plataformas de redes sociales son una fuente atractiva a la hora de obtener datos, tanto para fines legítimos (mejorar la calidad de los servicios personalizados, etc.) como para objetivos despreciables.

De acuerdo con las Directrices, las redes sociales y los destinatarios se consideran, en esencia, corresponsables en el tratamiento de  datos de los usuarios (aunque  únicamente en relación con  algunas partes de ese tratamiento).

Los destinatarios y las redes sociales intercambian datos de muchas maneras; para dirigirse a los usuarios, pueden utilizar banners, feeds o “historias”. Las páginas y aplicaciones de los destinatarios suelen integrar API o SDK de redes sociales. A pesar de ello, los API son un canal especialmente vulnerable a los ataques cibernéticos centrados en la interceptación de datos, por lo que es esencial que todas las organizaciones presten especial atención a este respecto.

[LB]  Las redes sociales no siempre comparten datos personales con el targeter: ¿por qué entonces se les considera corresponsables?

La imposibilidad de acceder a los datos personales no implica que no haya un tratamiento, de ahí viene la aplicación de la política de privacidad. Este es el enfoque principal desarrollado en la sentencia del caso Wirtschaftsakademie. Además, Las Directrices reafirman este principio al subrayar que "en efecto, la responsabilidad conjunta de varios agentes para el mismo tratamiento no exige que cada uno de ellos tenga acceso a los datos personales en cuestión. El CEPD recuerda que el acceso real a los datos personales no es un requisito previo para la responsabilidad conjunta".

[LB]  Una de las actividades más difíciles es identificar la base jurídica aplicable.

En algunas ocasiones el tratamiento de datos se fundamenta en la propia prestación del servicio, no obstante, en otras ocasiones los fines del tratamiento resultan inciertos. En estos casos, los responsables de los datos deben realizar un test de ponderación (prueba de compatibilidad, también llamada evaluación del interés legítimo), cuando deseen confiar en su interés legítimo el tratamiento de los datos de los usuarios. Para realizar la prueba, el responsable del tratamiento de datos debe comprender plenamente cómo se lleva a cabo el tratamiento y debe tener en cuenta múltiples factores (el CEPD proporciona una indicación útil en la nota al pie de página número 54, en la que se enumeran los aspectos fundamentales que deben tenerse en cuenta en el contexto de targeting: entre ellos, la finalidad, el nivel de detalle de los criterios, la combinación de criterios).

[LB]  ¿Qué novedades se establecen en relación con el soft spam?

Las Directrices, mediante la nota al pie de página número 59, realizan una interesante introducción al tema. De hecho, el CEPD parece estar abierto a la posibilidad de utilizar la excepción del correo electrónico no solicitado (soft spam) incluso cuando no se utiliza el correo electrónico (requerido en la actual legislación sobre privacidad electrónica). Sin embargo, la referencia no es inmediata al precisar que: "en los casos en los que el anuncio [...] se envíe directamente a través de una notificación "push" o un mensaje directo al interesado, se aplicará el artículo 13 de la Directiva sobre privacidad y las comunicaciones electrónicas". Sin embargo, en este ejemplo concreto no se requeriría el consentimiento, en la medida en que el párrafo 2 del artículo 13 establece que los datos de contacto electrónico de un cliente existente pueden ser utilizados por una entidad para "la comercialización directa de sus propios productos o servicios similares, siempre que se dé a los clientes la oportunidad de oponerse, de forma clara, sencilla, y de forma gratuita”. Además, cabe destacar que, las versiones recientes del proyecto de reglamento sobre privacidad electrónica, aún en proceso de validación, parecen sugerir una apertura hacia otros medios (se hace referencia a los "datos de contacto para el mensaje electrónico"), entre los que destacaría la notificación push. 

[LB]  ¿Por qué es importante comprender el flujo de datos en el contexto de las campañas publicitarias?

Luca nos recuerda al respecto que, "las sofisticadas plataformas de marketing y publicidad nos han dado (a los vendedores) el poder de recoger datos precisos de los clientes, que eliminan cualquier margen de error a la publicidad digital". Hoy en día vivimos en un mundo de publicidad basada en datos donde todo es medible y rastreable y donde las empresas tienen literalmente docenas de maneras de utilizar los datos para fines de publicidad en línea. Las marcas de todo el mundo recurren a la búsqueda de datos, estudian el comportamiento de navegación y compra, el historial de compras pasadas, el compromiso, los datos de ubicación, los datos de redes sociales y más, con el fin de personalizar la publicidad en línea. Además, los datos de los usuarios recopilados en línea ayudan a los comerciantes a predecir las pautas futuras, lo que a su vez se traduce en estrategias de comercialización más eficaces. Si bien es comprensible que la publicidad requiera de información acerca del consumidor para ser eficaz, los usuarios de Internet han mostrado su preocupación acerca de las tácticas utilizadas por las empresas de marketing que ofrecen anuncios personalizados. A pesar de los recientes avances legislativos en protección de datos, las empresas y los gobiernos violan o comprometen regularmente la privacidad del consumidor.

El CEPD expresa su preocupación al principio de las Directrices. Las redes sociales pueden utilizar los datos personales de los usuarios en mayor medida de lo que estos esperan, sin proporcionar suficiente información, lo que a veces puede incluso contribuir a generar situaciones de discriminación y exclusión. En este sentido, es de suma importancia asegurar la transparencia y dar a los usuarios la oportunidad de tomar decisiones informadas sobre la forma de utilizar sus datos. De lo contrario, los usuarios pueden ser manipulados, y no sólo con fines comerciales. El reciente caso de Cambridge Analytica es un ejemplo sorprendente de manipulación en masa, que parece haber tenido un impacto decisivo en el resultado de algunas de las elecciones más importantes de los últimos años (incluyendo) democracias occidentales. 

"El conocimiento es poder", dicen.

Fabia Cairoli - Asociada, Dentons Europe Tax Law Firm

Luca Brighenti - CEO y Fundador, B4Bind SL

Sobre Dentons: Dentons es la mayor firma de abogados del mundo (con una fuerte y reconocida presencia en Europa y América del Sur). Nuestros clientes se benefician del acceso a talentos jurídicos de primer nivel que proporcionan asesoramiento específico en cualquier lugar donde lo necesiten. Nuestra presencia mundial es una herramienta para garantizar servicios de la mejor calidad a nuestros clientes.

Descripción sobre el equipo digital Dentons (llamado TMT): 

El equipo de TMT de Dentons asiste a sus clientes (pequeñas, medianas y empresas multinacionales) en la más amplia gama de cuestiones relacionadas con la propiedad intelectual e industrial y el sector TMT. Nos centramos en el IdC, la ciberseguridad, los medios digitales, la publicidad digital y las oportunidades que ofrecen las nuevas tecnologías convergentes. Nuestros abogados asisten a los clientes en su viaje de transformación digital, así como en sus proyectos de digitalización y en el desarrollo de iniciativas de monetización de datos. Dentro del sector TMT, nuestros abogados son reconocidos como profesionales de primer nivel en cuestiones de privacidad, gestión de datos y gobernanza.

Key contacts:

Links:

Mario Torija