Felicitaciones de Navidad y Protección de Datos
¿Sabías que puedes vulnerar el reglamento de protección de datos felicitando la Navidad? Se acercan las fiestas navideñas, y con ellas, la tradición de enviar felicitaciones a familiares, amigos o compañeros de trabajo. Las empresas se valen de estas fechas para conectar con sus empleados y clientes, felicitándoles la navidad a través de postales, imágenes o mensajes navideños que envían a través de correo electrónico o a través de mensajerías como WhatsApp o Telegram.
También han aparecido nuevas formas, como es a través de los conocidos NFT o Non-Fungible Token. Ya existen empresas que ofrecen la opción de obtener creaciones digitales en formato NFT, como es el caso del primer “jamón de NFT” creado por una agencia creativa de Barcelona “Fuego Camina Conmigo” para felicitar la navidad a sus clientes. También son muchas las empresas que se suman a los sorteos navideños a través de las redes sociales con el objetivo de felicitar a sus clientes o seguidores.
Sin embargo, detrás de esta tradición y las nuevas formas de felicitaciones navideñas que van más allá de los envíos en papel, hay tener en cuenta determinados aspectos legales, entre los que se encuentra la Protección de Datos de carácter personal.
Protección de los datos de carácter personal y los envíos de felicitaciones
El envío de felicitaciones supone el tratamiento de datos de carácter personal, y por ello, queda afectado por la normativa vigente en esta materia: El Reglamento General de Protección de datos de la Unión Europea (RGPD) y la Ley Orgánica de Protección de datos y garantía de los derechos digitales (LOPDGDD).
¿Qué requisitos establece la normativa para el envío de felicitaciones? ¿qué obligaciones especificas deben de cumplir las empresas?, ¿Qué pautas deben seguir las empresas para el envío de felicitaciones?, son algunas de las preguntas que pueden surgir al respecto.
Lo primero que hay que tener en cuenta es, que, si actuamos como personas físicas y no como empresas, es decir, no contactamos con nuestros clientes, el RGPD no resulta de aplicación. Así en su artículo 2 establece que las obligaciones impuestas por el reglamento no serán de aplicación cuando el tratamiento sea efectuado por una persona física en “el ejercicio de actividades exclusivamente personales o domésticas”. Esto quiere decir que cuando enviemos una felicitación a amigos, familiares o conocidos no quedará afectado por las obligaciones que impone el RGPD.
Sin embargo, no ocurre lo mismo si actuamos como empresa o persona jurídica. En estos casos las empresas no quedan exentas de las diversas obligaciones y requisitos que establece el RGPD.
Base Jurídica
Para enviar comunicaciones el RGPD establece que es necesario tener una base jurídica, es decir, una razón para que el tratamiento sea licito. Entre las bases jurídicas, será licita las comunicaciones cuando se apoyen en el consentimiento del interesado o interés legítimo por parte de la empresa.
- Consentimiento del interesado
El consentimiento del interesado es una de las bases legales que legitiman el tratamiento de datos. Este consentimiento debe ser informado, explicito, y deberá ser prestado mediante una manifestación o acción afirmativa por parte del interesado.
Para el envío de felicitaciones navideñas no solo debemos contar con este consentimiento, sino que también será fundamental demostrar que disponemos de él.
- Interés legítimo
El interés legitimo es otra de las bases legales a través de la cual podemos realizar comunicaciones. Este interés se basa en una serie de circunstancias o necesidades que la empresa tiene para comunicarse con sus clientes.
Si una empresa quiere enviar un correo de felicitación navideña a sus clientes actuales, esto podría enmarcarse en el interés legítimo, ya que podría entenderse como una relación conforme a las buenas costumbres de nuestro país.
Otras obligaciones que establece el RGPD
Además de las bases jurídicas que establece el RGPD, también se establecen una serie de obligaciones que debemos de tener en cuenta a la hora de enviar comunicaciones.
- Llevar a cabo un Registro de Actividades del tratamiento.
- Ofrecer un sistema sencillo para el caso de que el interesado quiera dejar de recibir este tipo de comunicaciones.
- Realizar análisis de riesgos que garantice que los datos estas protegidos de manera adecuada.
- Tener firmado un contrato de encargo de tratamiento cuando el envío masivo de felicitaciones lo gestione un tercero, como servicio externo de la empresa y tenga acceso a los datos personales. Así como asegurarse que este tercero cumple con las medidas de seguridad oportunas para la protección de los datos.
Por otro lado, cuando la finalidad de los envíos de comunicaciones sea comercial, en ese caso además de la normativa de protección de datos debemos acudir a lo dispuesto en la Ley de Servicios de la Sociedad de la Información (LSSI).
En DiG Abogados somos expertos en protección de datos, y ofrecemos asesoramiento para las empresas para adecuar sus actuaciones a la normativa de protección de datos.
Sobre el autor:
DiG Abogados
Abogada Digital Law, Blockchain & NFT