Análisis profundo de GDPR: ¿Qué cuenta como "interés legítimo"?

Publicado: 2018-03-01
Análisis profundo de GDPR: ¿Qué cuenta como "interés legítimo"?

Ya sabes lo que dicen: les das un dedo y te toman la mano.

Dales una excepción de interés legítimo y enviarán un correo electrónico frío a todo LinkedIn.

GDPR tiene seis motivos legales para procesar datos personales, como se describe en el Artículo 6. Y los intereses legítimos están bien configurados para ser los más mal utilizados. Todo vendedor que quiera evitar obtener el consentimiento para procesar datos, intentará utilizar el interés legítimo como una forma de evitarlo.

Pero ten cuidado... mucho cuidado. El interés legítimo es una disposición más estricta de lo que parece.

Entonces, hablemos sobre dónde se puede aplicar y cómo podemos comprender mejor sus intenciones.

Seis bases legales para el procesamiento de datos personales

Debe tener una base legal válida para procesar datos personales y hay seis que ahora se consideran legales.

Ninguna base individual es 'mejor' o más importante que las otras. Y qué base es más apropiada para usar dependerá de su propósito y la relación con el individuo.

Una cosa a tener en cuenta: debe determinar su base legal antes de comenzar el procesamiento. Debe tenerlo documentado y disponible, en caso de una posible auditoría. Los árbitros no verán con buenos ojos ningún cambio de última hora.

Su aviso de privacidad también debe incluir su base legal para el procesamiento y sus propósitos para el procesamiento. Si sus propósitos cambian, es posible que pueda continuar procesando bajo la base legal original, suponiendo que su nuevo propósito sea compatible con su base inicial (esto es suponiendo que su base legal no fuera el consentimiento). De cualquier manera: debe asegurarse de actualizar su política de privacidad.

En aras de la simplicidad, este artículo no se sumergirá en datos especiales, como pasaportes, datos biométricos, etc.

Mantendremos las cosas pertinentes para los especialistas en marketing: análisis, generación de clientes potenciales, correos electrónicos y pruebas a/b.

Esto es lo que puede usar como fundamento legal:

  1. Consentir
  2. Contrato
  3. Obligación legal
  4. Intereses vitales
  5. Tarea de interés público
  6. Intereses legítimos

Resumen de 10 segundos:

1. Debe obtener el consentimiento (esa casilla de verificación en sus formularios),
2. Debe tener un contrato con el individuo o la empresa (donde ambos acordaron que los datos personales debían procesarse).
3-5. Los dejaremos para otro momento, ya que no están destinados a los especialistas en marketing.
6. Interés legítimo. Eso suena lo más fácil, ¿verdad? Solo asegúrese de tener una buena razón "legítima" para procesar datos personales y termine con eso. ¿Adiós consentimiento?

Interés legítimo: ¿Qué es?

Los intereses legítimos son la base legal más flexible para el procesamiento, pero no puede asumir que siempre será la más adecuada.

Es probable que sea más apropiado cuando utilice los datos de las personas de la manera que razonablemente esperarían y que tengan un impacto mínimo en la privacidad. O cuando existe una justificación convincente para el procesamiento. Esto es lo que dice el considerando 47 del RGPD sobre el interés legítimo.

Los intereses legítimos de un controlador, incluidos los de un controlador al que se pueden revelar los datos personales, o de un tercero, pueden proporcionar una base legal para el procesamiento, siempre que se respeten los intereses o los derechos y libertades fundamentales del interesado. sin prelación, teniendo en cuenta las expectativas razonables de los interesados ​​en función de su relación con el responsable del tratamiento. Dicho interés legítimo podría existir, por ejemplo, cuando exista una relación pertinente y adecuada entre el interesado y el responsable del tratamiento en situaciones como cuando el interesado es un cliente o está al servicio del responsable del tratamiento. En cualquier caso, la existencia de un interés legítimo necesitaría una evaluación cuidadosa, incluso si un interesado puede esperar razonablemente en el momento y en el contexto de la recopilación de los datos personales que pueda tener lugar el procesamiento para ese fin. Los intereses y derechos fundamentales del interesado podrían, en particular, prevalecer sobre el interés del controlador de datos cuando los datos personales se procesan en circunstancias en las que los interesados ​​no esperan razonablemente un procesamiento posterior. Dado que corresponde al legislador establecer por ley la base jurídica para que las autoridades públicas procesen datos personales, dicha base jurídica no debe aplicarse al tratamiento por parte de las autoridades públicas en el desempeño de sus funciones. El tratamiento de datos personales estrictamente necesarios a efectos de prevención del fraude también constituye un interés legítimo del responsable del tratamiento en cuestión. El procesamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo.

Si elige confiar en intereses legítimos, asume una responsabilidad adicional de considerar y proteger los derechos e intereses de las personas .

Entonces, si tiene un sistema en el que está realmente seguro de garantizar la privacidad de los usuarios, ese es un indicador sólido de que puede usar un interés legítimo.

Hay tres elementos en la base de los intereses legítimos. Es útil pensar en esto como una prueba de tres partes. Necesitas:

  1. identificar un interés legítimo;
  2. demostrar que el procesamiento es necesario para lograrlo; y
  3. equilibrarlo con los intereses, derechos y libertades del individuo.

Los intereses legítimos pueden ser sus propios intereses o los intereses de terceros. Pueden incluir intereses comerciales, intereses individuales o beneficios sociales más amplios.

El procesamiento también debe ser necesario. Si puede lograr razonablemente el mismo resultado de otra manera menos intrusiva: los intereses legítimos ya no se aplican,

Además, debe seguir los siguientes pasos utilizando el interés legítimo:

  • Debes equilibrar tus intereses con los del individuo. Si no esperarían razonablemente el procesamiento, o si causaría un daño injustificado, es probable que sus intereses prevalezcan sobre sus intereses legítimos.
  • Mantenga un registro de su evaluación de intereses legítimos (LIA) para ayudarlo a demostrar el cumplimiento si es necesario.
  • Debe incluir detalles de sus intereses legítimos en su aviso de privacidad.

Lista de verificación de la autoridad de privacidad de ICO (Reino Unido) para intereses legítimos

El sitio web de ICO (Oficina del Comisionado de Información) tiene una lista de verificación destinada a ayudarlo a determinar si su procesamiento de datos está justificado por intereses legítimos.

Si desea ir a lo seguro, asegúrese de poder confirmar lo siguiente:

  • Hemos comprobado que los intereses legítimos son la base más adecuada.
  • Entendemos nuestra responsabilidad de proteger los intereses de las personas.
  • Hemos realizado una evaluación de intereses legítimos (LIA, por sus siglas en inglés) y mantenemos un registro de la misma, para garantizar que podamos justificar nuestra decisión.
  • Hemos identificado los intereses legítimos relevantes.
  • Hemos comprobado que el procesado es necesario y no hay forma menos intrusiva de conseguir el mismo resultado.
  • Hemos realizado una prueba de equilibrio y estamos seguros de que los intereses de la persona no anulan los intereses legítimos.
  • Solo usamos los datos de las personas de la manera que razonablemente esperarían, a menos que tengamos una muy buena razón.
  • No utilizamos los datos de las personas de manera que les resulte intrusiva o que pueda causarles daño, a menos que tengamos una muy buena razón.
  • Si procesamos datos de niños, tenemos especial cuidado para asegurarnos de proteger sus intereses.
  • Hemos considerado medidas de seguridad para reducir el impacto cuando sea posible.
  • Hemos considerado si podemos ofrecer una opción de exclusión.
  • Si nuestro LIA identifica un impacto significativo en la privacidad, hemos considerado si también necesitamos realizar una DPIA.
  • Mantenemos nuestro LIA bajo revisión y lo repetimos si las circunstancias cambian.
  • Incluimos información sobre nuestros intereses legítimos en nuestro aviso de privacidad.

Uso de intereses legítimos para pruebas A/B

En el futuro, el RGPD y la Directiva de privacidad electrónica serán los dos pilares legales para los especialistas en marketing digital.

Y como se describe: direcciones IP, cookies: estas cosas ahora se consideran "datos personales".

Dejando a un lado los intereses legítimos: lo más probable es que necesite consentimiento para las cookies y otros identificadores con sus herramientas de prueba A/B actuales.

Este es el por qué:

Es bastante difícil tener un argumento a favor de un interés legítimo y equilibrado si está utilizando software de terceros para enriquecer sus segmentos o almacenar cada movimiento de los visitantes de su sitio web. Este tipo de almacenamiento es una práctica común con herramientas como Heap, o cualquier programa similar que tenga capacidad de análisis predictivo o de segmentación posterior.

Con muchas soluciones líderes de pruebas A/B, almacena una gran cantidad de datos sobre un usuario. Y usas esos datos, después, como quieras, sin informar al usuario sobre ese proceso.

Volviendo a la lista de control...

¿Los usuarios que ingresan a su sitio web “esperan razonablemente” que use sus datos para predecir sus patrones de compra?

¿Es su "necesidad legítima" de almacenar un exceso de sus datos, seguramente anulará las objeciones que puedan tener para que usted los use?

Es probable que este tipo de recopilación de datos requiera un consentimiento específico. Lo que significa que no debe cargar cookies o experimentos sin una suscripción específica.

Pruebas A/B, menos almacenamiento de datos personales

Desde la aprobación del RGPD, hemos rediseñado Convert Experiences. Y seguimos trabajando en ello para estar 100 % listos antes del 25 de mayo de 2018.

Eso significa que cuando usa Convert en la configuración predeterminada, cumplirá con GDPR sin que sea necesario el consentimiento (consulte nuestra hoja de ruta aquí).

No se almacenan ID de cookies, identificadores únicos ni direcciones IP. Realmente todo se simplifica, tanto como sea posible, para que no se almacenen ni utilicen datos personales.

Esto significa que no se necesita consentimiento.

Lo que podría ser necesario es informar a los visitantes del sitio web sobre la forma en que maneja las pruebas A/B.

Tal vez, para estar más seguros, los usuarios deberían incluir un interés legítimo en sus políticas de privacidad, para señalar que esa cookie colocada para el software de prueba A/B no almacena datos personales. Y mencionar el interés estratégico para usted, como empresa, hace necesario colocar esta cookie de análisis para mejorar el rendimiento de su negocio.

En resumen:

El consentimiento y el interés legítimo son probablemente las bases legítimas más utilizadas por los especialistas en marketing digital.

Sin duda, el consentimiento es la forma más segura de evitar cualquier acción legal contra su empresa.

El interés legítimo debe usarse solo en el caso poco común en el que se encuentre con la espalda contra la pared y esté seguro de que no hay datos personales almacenados y procesados, o son muy pocos.

Asegúrese de que esté 100 % claro por qué cree que el interés legítimo es viable y guárdelo en caso de una auditoría.

Porque es complicado, pero no es ciencia espacial. Si suena astuto, pida su consentimiento. Si se trata de un procesamiento realmente inofensivo, presente argumentos sólidos para lograr un impacto mínimo en sus clientes y visitantes del sitio web.

Y recuerda: GDPR está a solo unos meses de distancia. Manténgase informado, hable con sus proveedores y prepárese para un panorama de procesamiento de datos más transparente.