¿Compartir datos personales públicamente implica el consentimiento para su recopilación y procesamiento?
Supongamos que un ciudadano de la UE publica su información personal, como el nombre y los datos de contacto en línea, por ejemplo, en las redes sociales.
Si quisiera contactarlos en mi capacidad profesional por correo electrónico, ¿tendría su consentimiento implícito para hacerlo?
Según tengo entendido, tengo que realizar una multitud de acciones con sus datos personales antes de que nada les llegue:
- recopilar sus datos personalmente de un tercero (plataforma de redes sociales);
- procesarlo con el fin de escribir un correo electrónico;
- compartirlo con mi proveedor de correo electrónico, quien luego procede a almacenarlo indefinidamente mientras conservo acceso a él;
- todo el tiempo, sus datos pueden cruzar una serie de fronteras internacionales.
¿Constituye esto un uso legítimo?
¿Estoy obligado a informarles al contacto de estas acciones que se llevan a cabo?
¿Tengo que informarles de la oportunidad de optar por comunicarse conmigo?
Para el contexto de esta pregunta, estoy usando específicamente su correo electrónico personalmente, no como parte de un ataque de marketing de spam automatizado de "orar y rociar".
Respuestas
El RGPD protege los datos personales públicos prácticamente de la misma manera que los datos no públicos, lo que significa que puede procesar los datos solo si tiene un propósito claro y una base legal. Es el propósito lo que determina en qué base legal del RGPD puede confiar, como el consentimiento (opt-in) o el interés legítimo (opt-out).
Resumen:
- es posible que pueda comunicarse con ellos o no, según el contexto en el que se publicó la información de contacto y el propósito por el cual los contacta
- el consentimiento es complicado, pero hasta cierto punto puede estar implícito
- confiar en el interés legítimo requeriría una prueba de equilibrio
- sí hay que informar al interesado
- sí, tiene que dar la oportunidad de objetar o retirar el consentimiento
- Incluso debe estar preparado para obtener una objeción en cualquier momento y luego eliminar los datos.
Si no obtuvo los datos de contacto directamente del interesado, será difícil argumentar que obtuvo el "consentimiento". El consentimiento no tiene que ser una declaración como "Acepto", sino que también se puede dar a través de una "acción afirmativa clara". Lo importante es que los deseos del interesado sean inequívocos.
Entonces, por ejemplo, si hay una publicación en las redes sociales sobre la búsqueda de empleo y el sujeto de datos comenta públicamente con su dirección de correo electrónico, entonces es probable que esté bien contactar al sujeto de datos con una oferta de trabajo. Publicar detalles de contacto en ese contexto es una acción bastante inequívoca que indica los deseos del interesado. Pero el consentimiento tiene un propósito limitado. Usar esta dirección de correo electrónico con una oferta para pintar su casa no funcionaría utilizando el consentimiento como base legal, pero ¿podría tener un interés legítimo?
El interés legítimo requiere que expreses este interés y luego lo equilibres con los derechos y libertades del interesado. ¿Qué es más importante: que pueda enviar este mensaje o que no se moleste al interesado? ¿Esperaría el interesado este uso de sus datos? Este es un juicio de su parte. Agregar medidas de seguridad más allá de las requeridas por la ley puede cambiar la prueba de equilibrio a su favor, pero esto es difícil de hacer. El uso del interés legítimo da lugar al derecho de oposición (opt-out) del Art. 21 del RGPD.
Al enviar comunicaciones electrónicas no solicitadas, es importante tener en cuenta la directiva de privacidad electrónica además del RGPD. El ePD Art 13 prohíbe el marketing directo automatizado, como los correos electrónicos masivos, a menos que el destinatario haya dado su consentimiento. Sin embargo, leí ese artículo como que permite mensajes enviados por humanos o mensajes que no son "marketing directo". Pero, en cualquier caso, debe facilitar que el destinatario retire el consentimiento / se oponga a un procesamiento posterior.
Independientemente de si los datos se han obtenido de fuentes públicas o no públicas, es probable que el procesamiento de estos datos deba cumplir con el RGPD. Cuando utiliza servicios de terceros, estos deben actuar como su procesador de datos, lo que requiere un contrato según el Art. 28 del RGPD. Si utiliza un proveedor de correo electrónico o CRM para fines comerciales, deben convertirse en su procesador de datos. Cuando exporta datos a un país fuera de la UE, debe proteger esta transferencia internacional según el Capítulo 5 del RGPD, por ejemplo, a través de Cláusulas contractuales estándar con el importador de datos.
Además de las obligaciones generales de cumplimiento, debe tener en cuenta el artículo 14 del RGPD. Este artículo describe la información que debe proporcionar al interesado sobre su procesamiento cuando no obtuvo los datos directamente del interesado. Esencialmente, esto significa que debe darles una política de privacidad. Según el Art. 14(2)(f), debe indicar la fuente de sus datos, por ejemplo, la red social donde encontró sus datos de contacto. Debe proporcionar esta información cuando revele estos datos a otra persona, cuando se comunique por primera vez con el interesado o dentro de un período razonable después de obtener los datos, a más tardar dentro de un mes.