GDPR: Cara B / Pista 4

GDPR: Cara B / Pista 4

 

Estimado Lector,

 

Espero que ya te hayas recuperado de nuestra última conversación (artículo anterior: Pista 3).

 

Hoy te contaré un poco más sobre otra de las bases jurídicas que legitiman el tratamiento, en concreto, el interés legítimo.

 

No todo se puede basar en el consentimiento. También podremos defender la legitimidad de un tratamiento en virtud del denominado “interés legítimo”…

 

Lector: Uffff… ¡¡menos mal!! Ya pensaba que se habían vuelto todos locos con el tema del consentimiento. Entonces no necesito el consentimiento cuando tenga un interés legítimo… ¡Espera! ¿Y cuándo es legítimo mi interés? ¿Lo decido yo?

Redactor: Ehhhmm…bueno, digamos que tú tienes que jugártela. Haces un juicio de proporcionalidad entre tu interés y el derecho de los afectados y si no supone un gran impacto para su intimidad, es posible que la AEPD te lo compre.

L: Eso no suena muy tranquilizador. ¿Y si la AEPD tiene un criterio distinto?

R: Probablemente te sancionará.

L: Eso no puede ser… ¿Qué seguridad jurídica es esa? Verás, yo tengo una pequeña web de música para un público joven. Es una empresa seria, y no voy a perjudicar a mis usuarios. Solo quiero enviarles de vez en cuando ofertas de mis partners sobre merchandising, entradas a conciertos, etc. Eso es legítimo porque es bueno para mis clientes… ¿verdad?

R: La verdad es que la AEPD considera que la publicidad solo se puede basar en el interés legítimo cuando sea sobre productos o servicios propios y similares a los que originalmente se hubiese contratado. Además, tendrás que ofrecerle la posibilidad de oponerse a este interés legítimo.

L: La madre que te p… ·$·&/·%/(@#·$¿!. Vaaale. Pues al menos aplicaré el interés legítimo para mis propias newsletters.

R: Tengo miedo a preguntarte, pero ¿no dijiste que tu web es para un público joven?

L: Sí, ya sabes… de reguetón, que es lo que les gusta a los chavales hoy en día. ¿Por qué lo dices?

R: Ejem, no, por nada… es que el interés legítimo no se puede aplicar para menores de 18 años. De hecho, no deberías recoger datos de menores de cierta edad salvo que lo autoricen sus padres.

L: Me estás vacilando. Pero si todos los niños tienen móvil y usan internet hoy en día. ¿Cómo no van a poder registrarse en una web? ¿Hasta qué edad necesitan autorización de sus padres?

R: Puessssss a día de hoy son 14, pero es probable que esa edad baje a 13, aunque podría llegar a subir hasta 16. Se supone que hasta esa edad los niños no son capaces de entender las implicaciones del tratamiento de sus datos y por lo tanto, su consentimiento no es válido sin el refuerzo del de sus padres.

L: A ver, a ver, a ver, que yo me entere. Resumiendo: Hasta los 14 años (o 13, o 15, o 16, todavía no se sabe con seguridad), no debería pedirles ningún dato salvo consentimiento de sus padres. A partir de esa edad, ya podrán consentir… PERO no podré aplicar el interés legítimo. ¿Es en serio? ¿Tú sabes lo complicado que es desarrollar todas las funcionalidades que me estás contando?

¿Y si el niño me dice que tiene más años de los que tiene?

R: Pues si no has puesto medidas diligentes para evitarlo, es posible que la AEPD te sancione.

L: Mira, Redactor. Te tengo aprecio, pero yo creo que a veces no piensas las cosas que dices. ¿Qué medidas diligentes puedo tomar yo para evitar que alguien mienta en un formulario web?

R: En su día la AEPD propuso como idea poner en el registro preguntas académicas acordes a un nivel educativo de 14 años.

L: ¿Preguntas académicas? ¿En Internet? ¿Dónde está toda la información del mundo? Eso no es diligencia. ¡Eso es una coartada!

 

Ok, entonces me estás diciendo que para cumplir con el RGPD en mi web tengo que pedir la edad. Si es menor de 14 años (o de la que sea cuando sea), prohibirle el paso (o desarrollar un subformulario para pedir consentimiento a sus padres). Si es mayor de 14 años, verificar que no me miente mediante “preguntas académicas”. Si supera el examen, entonces tendré que diferenciar entre menores y mayores de 18 años. Si son menores, tendré que ponerle casillas de consentimiento para mi propia publicidad y si son mayores, tendré que ponerles casillas de oposición.

 

Y todo eso sólo de cara al usuario. Internamente tengo que ser capaz de preparar mi base de datos para que pueda recoger esta información. ¿Y ya está? ¿Con eso ya estoy tranquilo?

 

R: Sí, con eso ya está… Bueno, no te olvides de definir una política de privacidad, verificar su dirección de email, ofrecerle la oposición en cada envío de publicidad, atender sus derech…

L: Amigo Redactor, no sigas. En el fondo te compadezco. A mí me basta con cerrar mi web para quitarme estos problemas, pero tú… tú te dedicas a esto. Venga, que te invito a algo y nos echamos unas risas.

 

 

José Carlos Moratilla

Legal Manager

Áudea Seguridad de la Información