Guía Legal Behavioural Advertising

¿De qué estamos hablando?

Las reacciones de los usuarios durante su navegación por una página web, el recorrido que hacen por ella, el tiempo que dedican a cada sección, la página de la que provienen y otros muchos parámetros, permiten obtener información (y mucha) de sus gustos y preferencias. De todos es sabido que esta información se utiliza sistemáticamente para, gracias a Internet, ofrecer a los usuarios anuncios y contenidos que puedan resultar de su interés, con la finalidad última de maximizar la eficacia de la inversión publicitaria.

Nadie cuestiona la ventaja que supone para los usuarios que la publicidad se adapte a sus preferencias, pero en algunas ocasiones pueden llegar a sentir que se están traspasando los límites de su privacidad, o que se llega más allá de lo que les gustaría. Ello ha motivado que el legislador regule determinados aspectos relacionados con esta forma de publicidad.

En esta guía abordaremos los principales aspectos legales que, con carácter general, deben tenerse en cuenta cuando utilizamos información sobre el comportamiento del usuario con fines publicitarios.

Descarga la guía aquí.

¿Cómo se regula en España?

Una de las principales formas de obtener información acerca de los hábitos y preferencias de los usuarios son las cookies, aunque también otras herramientas y dispositivos tales como, por ejemplo, los píxeles de seguimiento. Su regulación en España la encontramos  en el artículo 22.2 de la Ley 34/, de 11 de julio, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI), que debe ser completado con los criterios de la Agencia Española de Protección de Datos (AEPD) y del Grupo de Trabajo del Artículo 29 (GT29), entidad que agrupa a las autoridades de protección de datos de la U.E. Las publicaciones de IAB en relación a la utilización de cookies son muchas, y de entre ellas destaca la Guía elaborada conjuntamente con la Agencia Española de Protección de Datos, Autocontrol y Adigital.[1] A ella nos remitimos, para ceñir este documento a los elementos más singulares de este tipo de publicidad.

Cuando mediante el uso de esta tecnología se recabe información que permita identificar o hacer identificable a una persona física, habrá que atender a lo previsto en la Ley Orgánica 15/, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su reglamento de desarrollo (aprobado mediante el Real Decreto 1720/, de 21 de diciembre - RLOPD).

Al respecto de la publicidad comportamental en línea, el GT29 ha emitido el Dictamen 2/, de 22 de junio, y, aunque no existe otra legislación sobre la materia o directamente relacionada con ésta, sí se han publicado diferentes códigos de autorregulación, de entre los que cabe destacar el de IAB Europe, titulado “EU Framework for Online Behavioural Advertising” (abril ). Al respecto, el GT29 elaboró el Dictamen 16/, de 8 de diciembre, sobre la recomendación de mejores prácticas de EASA/IAB sobre publicidad comportamental en línea. Además, en cuanto al contenido de la publicidad, evidentemente habremos de tomar en consideración tanto la Ley 34/, de 11 de noviembre, General de Publicidad, como la Ley 3/, de 10 de enero, de Competencia Desleal.

Finalmente, y cuando el medio a través del que se hace llegar la publicidad a los usuarios es el correo electrónico, será necesario tener en cuenta el artículo 21 de la LSSI y los artículos 45 y siguientes del RLOPD.

Autorregulación

Como adelantábamos, la publicidad comportamental ha sido objeto de autorregulación a nivel europeo por parte de la industria, y a través de IAB Europe, EASA y EDAA, cuyo fin es autorregular la realización de actividades de publicidad comportamental en línea mediante el sometimiento a siete principios, de entre los que conviene destacar lo siguiente:

  • El proveedor de la red publicitaria debe publicar en su sitio web información acerca de su identidad, de la realización por su parte de actividades de publicidad comportamental, de la información que recoge y de las finalidades con que la usa.

Asimismo, debe declarar su sometimiento a los principios contenidos en el documento y habilitar un mecanismo que permita a los usuarios decidir si quieren ser objeto de publicidad comportamental o no, o si consienten o no que dicha información sea cedida a terceros. Cuando, además, un proveedor busque obtener información del conjunto de páginas web que el usuario visita (o de casi todas ellas), debe recabar antes el consentimiento de los usuarios.

  • El proveedor también debe publicar en su sitio web un enlace al sitio webhttp://www.youronlinechoices.com, creado por la Alianza Europea de Publicidad Interactiva para permitir a los usuarios configurar sus preferencias al respecto de la realización de actividades de publicidad comportamental.

Para cumplir esta obligación puede utilizar  este  icono (o incluirlo en el sitio web del editor, si ambos hubieran llegado a un acuerdo con aquél), siempre que dirija a http://www.youronlinechoices.com.

  • También deben emplearse medidas de seguridad físicas, electrónicas y organizativas adecuadas para proteger la información recogida y mantenida esté almacenada únicamente durante el tiempo que sea necesario para el desarrollo del negocio, salvo que la legislación vigente le exija lo contrario.
  • No deben crearse segmentos cuya finalidad específica sea ofrecer publicidad a niños menores de doce años. Cuando se creen segmentos con base en información sensible (origen racial, política, religión…) se recabará previamente el consentimiento expreso de los interesados.

Como se aprecia, las anteriores consideraciones se refieren, principalmente, a los proveedores de redes de publicidad, aunque algunas también afectan o pueden afectar a los editores. Es responsabilidad de todos dar a conocer su existencia, a efectos de generar una mayor confianza en estas técnicas entre los usuarios de Internet.

AUTOCONTROL es el órgano encargado de resolver en España las reclamaciones que se puedan presentar por infracción de los principios contenidos en el programa europeo de autorregulación sobre OBA

 

Protección de datos personales

Si el apartado anterior estaba dedicado, principalmente, a las redes publicitarias, a continuación nos centraremos en los anunciantes y en las agencias, desde una óptica clave en este negocio: la conversión del usuario que accede a su web por medio de campañas que emplean la técnica del behavioural advertising.

La información utilizada para definir qué concreto anuncio se muestra a cada usuario es, en la mayor parte de los casos, completamente anónima. Y ello porque no se apoya en personas, sino en audiencias, conformadas a partir de datos estadísticos e información agregada. La identidad de la persona a la que se impacta es irrelevante: importan los segmentos de mercado en la que pueda encajar en cada momento, los anunciantes interesados en hacerle llegar su mensaje y las perspectivas de compra que en cada momento se puedan inferir de su actividad en la Red.

Dejando a un lado la normativa de cookies, la preocupación que genera esta actividad, desde la perspectiva de la protección de datos, es escasa: si los datos son anónimos, no son personales, y no se aplica la LOPD. Y este sencillo razonamiento seguirá siendo válido, en tanto en cuanto no podamos identificar a la persona a la que se muestra la publicidad. Pero, ¿qué ocurre cuando esta premisa cambia?

Para explicarlo, pongamos un ejemplo: una mujer con estudios, con familia, de entre 30 y 40 años, con un nivel adquisitivo medio-alto, que nunca ha visitado nuestra web y es de Madrid, accede a nuestra landing page, a través de un anuncio colocado en un blog de viajes. Nuestro sistema detecta el target al que pertenece, a través de las etiquetas con las que configuramos la campaña, por lo que le muestra una página adaptada a sus teóricos gustos… y logramos, finalmente, que se registre. En ese momento nos facilita su nombre y apellidos, correo electrónico y teléfono móvil… ¡et voilá! Ya la tenemos identificada. La pregunta es: ¿puedo enriquecer su perfil con la información correspondiente a su segmento (pues me consta que se le aplica)? Y la respuesta es: sí, pero tienes que cumplir con la LOPD.

Un segmento inicialmente anónimo se convierte en dato personal en el momento en el que se lo asignamos a una persona. Y lo mismo ocurre con la información que logremos extraer de su navegación por nuestro site, aunque no hayamos obtenido los parámetros a través de un formulario. La forma de obtener, analizar y aplicar estos datos es a través de una política de privacidad clara, completa e inequívoca, que el usuario acepte en el momento de registrarse, y cada vez que se produzcan cambios relevantes en su contenido.

Dicho lo anterior, si decidimos mantener esta información en la base de datos, debemos de ser conscientes de que los usuarios tendrán derecho a conocer su contenido, a pedir que la eliminemos o que no la usemos para fines publicitarios, o a modificarla si algún dato es erróneo. Los derechos de acceso, rectificación, cancelación y oposición son, por tanto, plenamente aplicables.

¿Qué organismos son competentes para hacer cumplir la ley?

El cumplimiento de la normativa en materia de cookies y comunicaciones comerciales, así como, lógicamente, la normativa sobre protección de datos corresponde a la Administración a través de la Agencia Española de Protección de Datos.

Por otro lado, el incumplimiento de normas que se derivan de la firma voluntaria de un documento o de la pertenencia a una asociación no tiene más consecuencias que las previstas en el propio documento o en las normas que regulan la pertenencia a dicha asociación, que variarán según el caso.

En relación a los contenidos publicitarios, el control de su licitud correspondería a los Juzgados y Tribunales competentes, previa demanda, y si, además, con ello se incumpliera la normativa sobre consumidores y usuarios, su enjuiciamiento y sanción correspondería a las autoridades autonómicas competentes.


[1] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf