Acceso a web como invitados y la Protección de Datos
La AEPD habla sobre el comercio en línea que cumple con la protección de datos mediante el acceso de invitados: ¿están justificadas las críticas?
Hace unos días se publicó una resolución de la Conferencia de Autoridades Independientes de Protección de Datos del 24 de marzo de 2022, que provocó un gran debate y críticas entre los proteccionistas de datos.
Esencialmente, la decisión contiene algunas declaraciones sobre los requisitos para el comercio en línea o el proceso de pedido en Internet. Entre otras cosas, las autoridades de supervisión exigieron que el acceso de invitados, es decir, hacer pedidos sin registrar una cuenta/acceso de usuario, también sea posible al hacer pedidos en línea. Esto se justifica indirectamente con el principio de minimización de datos según el Art. 5 párrafo 1. La continuidad de la cuenta de usuario sólo debe basarse en el consentimiento del interesado. Además, la AEPD establece que la evaluación del historial de contratos con fines publicitarios requiere el consentimiento informado.
Las cuatro afirmaciones clave son las siguientes (cita):
Los responsables que ofrecen bienes o servicios en el comercio en línea deben, en principio, proporcionar a sus clientes un acceso de invitado (negocio en línea sin crear una cuenta de cliente permanente) para realizar pedidos, independientemente de que también les proporcionen un acceso de usuario registrado (cuenta de cliente permanente).
Sin el acceso de los invitados o una opción de pedido equivalente, no se puede garantizar el carácter voluntario del consentimiento.
Las posibilidades de evaluar el historial de contratos con fines publicitarios asociados a una cuenta en línea en curso, así como el almacenamiento de información sobre los medios de pago, requieren el consentimiento informado.
Los datos tratados por los responsables del tratamiento deben ser tratados de forma transparente para los clientes.
Primera evaluación
La resolución de la AEPD no es jurídicamente vinculante (al menos según la situación jurídica actual), pero es mucho más que una simple indicación. Siempre se puede suponer que en el futuro las autoridades de control de la protección de datos se guiarán por las resoluciones y declaraciones de la AEPD y, por tanto, adoptarán el punto de vista jurídico correspondiente.
Sin embargo, este documento de la DPA, aunque pueda ser correcto en algunas partes, parece algo fallido a la vista de la relativamente corta exposición de motivos y de una redacción a veces poco clara. Una declaración como:
«En la medida en que existen circunstancias especiales en casos individuales en los que una cuenta de cliente continua puede considerarse excepcionalmente necesaria para la ejecución de un contrato (artículo 6 (1) (b) del RGPD, por ejemplo, para los minoristas especializados en ciertos grupos profesionales) y, por lo tanto, el consentimiento no se requiere excepcionalmente para esto, el principio de minimización de datos debe tenerse en cuenta, por ejemplo, eliminando automáticamente la cuenta del cliente después de un corto período en caso de inactividad».
no es muy comprensible en la práctica y es aún menos útil. También es cuestionable cómo puede producirse la «inactividad» de una cuenta de cliente según esta interpretación, si esta cuenta es realmente necesaria para cumplir un contrato y luego se prevé su uso permanente.
En cuanto a la evaluación del historial de contratos, por ejemplo la elaboración de perfiles con fines publicitarios, se requiere el consentimiento informado (adicional) del interesado. Esto es de agradecer en el resultado, pero no está más fundamentado y tampoco se explica con más detalle en cuanto a la aplicación.
En general, da la impresión de que el documento se basa en una visión jurídica muy alejada de la práctica, como se explicará a continuación:
Antecedentes legales
En primer lugar, es necesario presentar los antecedentes de la protección de datos en este debate.
En el contexto de la creación de una cuenta de usuario antes/en el momento de un pedido inicial en una tienda online, existen básicamente varias bases legales para el tratamiento de datos (o el almacenamiento permanente de los datos almacenados en ella). El consentimiento del interesado según el art. 6 párr. 1 frase 1 , así como la base jurídica del «cumplimiento del contrato» o la «aplicación de medidas precontractuales» según el art. 6 párr. 1 frase 1 serían concebibles. Además, el «interés legítimo» del responsable del artículo 6, párrafo 1, apartado 1, también podría utilizarse para este tratamiento de datos.
Consentimiento
El instrumento de consentimiento del sujeto de los datos de acuerdo con el Art. 6 párrafo 1 frase 1 lit. a del RGPD está disponible, en el cual cualquier procesamiento de datos (legalmente permisible) podría finalmente basarse. De acuerdo con esto, la persona puede disponer que sus datos sean tratados en la medida especificada y, en última instancia, por un período de tiempo específico o incluso indefinido hasta su revocación, tras haber sido informada/educada previamente. En términos de dogma jurídico, sería concebible el consentimiento para un tratamiento de datos interminable.
Para ello, sin embargo, deben cumplirse las condiciones explicadas con más detalle en el art. 4 nº 11 y en el art. 7 , como la voluntariedad de la decisión, la prestación específica del consentimiento, la información previa y también la referencia al derecho de revocación. En muchos casos, también es problemático obtener el consentimiento explícito del interesado de forma documentada. En Internet, se suele utilizar una casilla de verificación que debe confirmarse activamente (marcando) con una cláusula de consentimiento adjunta, así como una referencia a la normativa detallada sobre protección de datos. Aunque esta activación y el proceso de registro pueden registrarse, no resuelven completamente el dilema de si la persona realmente entiende y es consciente de las consecuencias del tratamiento de datos asociado (y, por cierto, también era capaz de dar su consentimiento), o si simplemente «hizo clic» en el sistema muy rápidamente a través de un pedido en línea. La comparación con las actuales banderas de las galletas sería concebible, pero hay que reconocer que es demasiado pesimista.
Cumplimiento de contratos
En lo que respecta a la ejecución de un contrato de compra o de un servicio, debería ser relevante principalmente la base jurídica según el art. 6 (1), ya que esta norma es más específica y está regulada explícitamente y el derecho de revocación parece problemático en el caso del consentimiento con respecto a las compras. Según el artículo 6, apartado 1, letra b), del RGPD, pueden tratarse todos los datos personales que sean necesarios para la ejecución del contrato según una norma estricta, que depende del contrato específico. Esto incluye algunos datos personales de la persona, datos de contacto y otra información relevante para el contrato. Sin embargo, si se pide un producto en la tienda online de una tienda de bricolaje o un comercio, pero se paga finalmente en efectivo sólo en el momento de la entrega, no se requiere ningún servicio de pago adicional, y si la recogida se realiza también in situ en la sucursal, no se requiere ninguna dirección de entrega. Lo mismo ocurre en el caso de que se notifique que la mercancía vuelve a estar disponible.
Interés legítimo
En ese caso, la consulta y el almacenamiento de más información sobre el pedido podrían responder al interés legítimo del comerciante en línea en el sentido del art. 6 (1) frase 1, por ejemplo, para verificar a la persona, evitar el fraude, optimizar el proceso de pedido o, en caso necesario, crear ofertas que se adapten exactamente a las necesidades del cliente y, en última instancia, aumentar las ventas. Sin embargo, para poder utilizar esta base jurídica, no deben prevalecer los intereses o los derechos y libertades fundamentales de las personas afectadas. Esto lleva a una compleja y verificable ponderación de intereses.
El diseño correcto
A la vista de estas bases jurídicas posibles, las empresas deben decidir cuál es la base jurídica pertinente y diseñar la oferta de acuerdo con la ley de protección de datos o, en consecuencia, garantizarla también de forma permanente.
En el centro de la aplicación está la elección de la base jurídica para el proceso de pedido hasta la creación de cuentas de usuario. Por regla general, el proceso de pedido como tal puede ser mapeado de acuerdo con el Art. 6 párrafo 1, es decir, la etapa de la aplicación de las medidas precontractuales hasta el cumplimiento del contrato, por lo que existe una base legal suficiente para los llamados campos obligatorios para las compras en línea. En este sentido, también hay acuerdo con la resolución.
Sin embargo, la FDPIC aparentemente no reconoce la posibilidad de que una cuenta de cliente también pueda celebrarse como un contrato adicional en el marco de las condiciones de uso entre el comprador y el comerciante en línea, que se refiere específicamente a la creación de dicha cuenta y a la provisión de la información personal correspondiente (dirección, servicio de pago), por ejemplo, para facilitar una devolución de la mercancía o un pedido futuro o para llevar un control de las facturas/pedidos, y por tanto permite esta libertad contractual. El almacenamiento de la dirección, así como de los datos bancarios o de la forma de pago para un futuro pedido con sólo «un clic» también sería aquí un objeto concebible del contrato. Además, podrían ofrecerse otras ventajas (ofertas o descuentos exclusivos), que en cualquier caso constituirían un contrato aparte.
Aunque hay muchos indicios de que cierta información dentro de un perfil, como la talla de calzado, el jugador favorito o un enlace al perfil de Instagram, no es ciertamente necesaria para la ejecución de este contrato y, por tanto, posiblemente sólo se solicite como información adicional voluntaria a modo de consentimiento de conformidad con el art. 6 (1), la creación de una cuenta de usuario a través del registro mediante la dirección de correo electrónico y el nombre y la presentación automática de documentos de pedidos individuales y adicionales debe, en principio, poder representarse sin más sobre la base de un contrato. De lo contrario, las empresas y los usuarios quedarían completamente aislados de la posibilidad de dicho contrato de usuario y esta situación legal quedaría totalmente desvirtuada. En la práctica, sin embargo, habría que dejar suficientemente claro a las personas que abren una cuenta de cliente que están celebrando un contrato con la empresa correspondiente y cuáles son las consecuencias de ello (como el almacenamiento permanente de sus datos más allá del pedido individual). Esta es la única manera de cumplir con el principio de transparencia según el Art. 5(1)(a) del GDPR. Además, también debe proporcionarse información clara sobre las «modalidades de cancelación» en la declaración de protección de datos, ya que el art. 6 (1) no permite la revocación ni la objeción. Esto último también se puede diseñar técnicamente.
Elegir el consentimiento como base de una cuenta de uso, por otro lado, tendría numerosas desventajas para las empresas que ofrecen bienes/servicios en las tiendas online: Los mayores requisitos de consentimiento documentado, probatorio, voluntario, activo y previamente informado, en particular también los avisos de protección de datos al respecto, están influidos por los riesgos legales. La referencia a la revocación en cualquier momento, que entonces -desde un punto de vista dogmático legal- debe ser «tan simple como otorgar el consentimiento» sobre la base del artículo 7 (3) frase 4 del GDPR, es decir, requiere tan pocos clics como el registro y entonces debería conducir automáticamente al bloqueo y más tarde a la eliminación de toda la cuenta, también juega un papel importante aquí. Si existen dudas sobre la eficacia del consentimiento, por ejemplo, debido a la falta de una casilla de verificación correcta, es probable que toda la cuenta y, por tanto, todas las operaciones de tratamiento de datos asociadas sean ilegales. Sin embargo, para los usuarios, esta solución debe ir acompañada de un alto grado de transparencia. La posibilidad de revocar el consentimiento de una cuenta de usuario con sólo unos pocos clics presumiblemente también conduciría a un menor número de usuarios inactivos en las empresas, ya que en la práctica la gente suele rehuir los correos electrónicos proactivos con solicitudes de borrado activas.
Sin embargo, debería haber un amplio acuerdo en que los numerosos datos adicionales y, sobre todo, la evaluación del comportamiento de la persona, en la medida en que debe entenderse como «seguimiento» y permite la elaboración de perfiles, deben basarse en el consentimiento de la persona afectada. Este proceso adicional suele perseguir un objetivo diferente (marketing/incremento de las ventas) y, por lo tanto, sólo debería tener lugar con el consentimiento de la persona. El interés legítimo según el art. 6 (1) permitiría estos fines y procesos legítimos, pero posiblemente no consideraría suficientemente el interés del interesado digno de protección en el contexto de una ponderación de intereses. Cuanto más complejos sean los análisis del comportamiento de la persona, como el seguimiento basado en los clics en una tienda web para reconocer patrones e intereses, más probable es que prevalezca el interés individual digno de protección, y en cualquier caso, la necesidad de consentimiento se justifica por las herramientas correspondientes en un sitio web según la jurisprudencia (por ejemplo, en Planet49).
Por último, está la cuestión del periodo de almacenamiento y de las posibles obligaciones/rutinas de eliminación con respecto a una cuenta de uso. Si se opta por el consentimiento, se podría argumentar a favor de un almacenamiento «sin fin» (hasta la revocación) de los datos personales por parte de esta cuenta – el mismo argumento podría asumirse también en el caso de una relación contractual intacta, porque entonces se asumiría el cumplimiento del contrato a través de la prestación del servicio y del contenido hasta la terminación. Por lo tanto, la sospecha de que esto llevaría a una retención interminable de datos existe con ambas alternativas.
Sin embargo, si la empresa prevé la eliminación de la cuenta tras un mensaje del usuario o incluso una función integrada («Eliminar la cuenta»), apenas habría diferencias en la aplicación. Sin embargo, la solución de consentimiento con los requisitos para que la revocación sea igualmente fácil (con el mismo número de clics) debería requerir una función de borrado integrada (automática), de modo que se reduzca el umbral para que los usuarios se borren.
Conclusión
Teniendo en cuenta las diferentes consecuencias jurídicas, las exigencias de conceptos de supresión adecuados y los principios de protección de datos, como la minimización de datos del artículo 5 (1) del RGPD, es discutible qué concepto conducirá a una mayor seguridad jurídica desde la perspectiva del responsable del tratamiento. Sin embargo, la decisión no es convincente en la medida en que se prescinde por completo de este ámbito. Por lo tanto, las críticas al documento por parte de los proteccionistas de datos no son del todo infundadas.
En nuestra opinión, sería lógicamente más eficaz para las empresas y los comerciantes en línea a largo plazo si, además de un «acceso de invitados», también se pudiera crear una cuenta de usuario sobre la base del contrato (art. 6 (1) ) y se pudiera asignar el tratamiento de datos posterior durante un período de tiempo más largo. Al mismo tiempo, esto no debe llevar a una consulta de datos ilimitada. Para los usuarios, la solución del consentimiento parece conducir a un mayor grado de autodeterminación informativa debido a los elevados requisitos para ser informados, ya que las empresas están obligadas a proporcionar información específica y explícita sobre las operaciones de tratamiento de datos al registrarse o dar su consentimiento. Sin embargo, siguen existiendo dudas sobre su aplicación.
A la vista de la decisión, las empresas deberían, no obstante, examinar si es posible, y en qué medida, realizar un pedido de invitados en la tienda online y, en el mejor de los casos, ofrecerlo también.
