Nuevo código de conducta para el tratamiento de datos en publicidad
La publicidad, especialmente la programática, ha sido en 2022, y sigue siendo, uno de los asuntos estrella de las resoluciones de las distintas autoridades de control en materia de protección de datos. Cada vez son más los pronunciamientos en aspectos tales como la instalación de cookies, el consentimiento de estas, el uso de cookies de terceros y sus potenciales transferencias internacionales, etc., que están afectando a este sector de una manera clara.
En medio de esta vorágine, se ha publicado el Código de Conducta de “Tratamiento de datos en la actividad publicitaria” creado por Autocontrol, el organismo independiente de autorregulación de la industria publicitaria en España, y que ha sido aprobado por la Agencia Española de Protección de Datos (en adelante, “AEPD”).
Dicho código tiene como objetivo es facilitar a las entidades adheridas el demostrar el cumplimiento de sus obligaciones en materia de protección de datos y, en especial, establecer mecanismos de resolución de conflictos alternativos que descarguen a la AEPD de la gran cantidad de reclamaciones que se reciben por motivos relacionados con la publicidad.
Entre los aspectos más destacables, encontramos la posibilidad de la AEPD de remitir al Jurado de Publicidad, el organismo responsable de la supervisión del Código, las reclamaciones que surjan entre las entidades adheridas a este Código y los interesados con motivo de tratamientos de datos realizados en el ámbito de la actividad publicitaria. Este procedimiento tendrá una duración máxima de 27 días desde que el mismo se admita a trámite. Dicha admisión será obligatoria, salvo que se constate que falta alguno de los siguientes puntos en la información enviada por la AEPD al Jurado:
a) Nombre y apellidos, domicilio y, en su caso, los datos personales del representante, que deberá acreditar su representación.
b) Dirección de correo electrónico a la que puedan dirigirse las notificaciones.,
c) Detalle de los hechos objeto de la reclamación
d) Documentos acreditativos de los hechos.
En todo caso, dicha inadmisión deberá ser notificada por el Jurado en las primeras 72 horas desde la recepción de la información.
Este Código también establece sistemas de control “ex ante” que permiten a las empresas adheridas solicitar a Autocontrol, de forma voluntaria, que comprueben la conformidad del tratamiento con las materias sujetas al presente Código.
Dicha petición se materializará en un dictamen no vinculante del Gabinete Técnico, que podrá ser recurrido ante el Jurado en los 4 días siguientes a su recepción por el solicitante de este. De esta forma, se permite a las entidades adheridas mostrar su responsabilidad proactiva en el tratamiento de datos personales.
Más allá de esto, el Código regula muchos aspectos básicos del tratamiento de datos en materia de publicidad, tales como el envío de comunicaciones comerciales previa consulta obligatoria a las listas de exclusión publicitaria que publicite la AEPD en su sitio web, cómo deben realizarse las promociones realizadas con objeto de recoger datos personales para utilizarlos con fines publicitarios y cómo debe recogerse el consentimiento en estas, cómo debe recogerse el consentimiento para la instalación de cookies con fines publicitarios y cómo debe mostrarse la información de las mismas; la posibilidad de recabar el consentimiento combinado para la realización de actividades publicitarias con perfilado previo, y cómo debe informarse del interés legítimo en caso de que esta sea la base legitimadora para el envío de comunicaciones comerciales propias o de otras entidades del grupo empresarial al que pertenezca el responsable.
Por último, este Código regula un régimen sancionador, que divide los incumplimientos en tres categorías distintas: leves, graves y muy graves.
Si bien este régimen no contempla sanciones económicas, sí que contempla la posibilidad de suspender los derechos de la entidad adherida por periodos que pueden variar desde un mes, en las sanciones leves, a 5 años en las muy graves, y que pueden acarrear incluso la expulsión de la entidad adherida al Código.
Esto no significa que estos incumplimientos no puedan conllevar sanciones económicas, ya que los mismos serán reportados a la AEPD, la cual, por supuesto, podrá llevar a cabo los procedimientos que considere necesarios e imponer las sanciones oportunas conforme a lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.
Entre las entidades ya adheridas, se encuentran Atresmedia, Dentsu, Ikea, L'Oreal, Másmóvil, Orange, Procter & Gamble, Telefónica o Vodafone, siendo que algunas de estas entidades han sufrido grandes sanciones en materia de comunicaciones comerciales en los últimos años. Por lo tanto, es importante ver cómo se lleva a la práctica el contenido de Código y si la adhesión al mismo supone un compromiso real de las entidades a un mejor tratamiento de datos en este ámbito.
Enrique Extremera Maestro. Head of Privacy, Legal Army