Economía Digital | Digital Business Marketing School
|
Recordar contraseña Introduce tu E-Mail y te enviaremos a tu dirección de correo electrónico tu contraseña de acceso.
Los derechos ARCO en la LOPD : Los datos personales en el Marketing Digital

Blog: Los datos personales en el Marketing Digital

Los derechos ARCO en la LOPD

septiembre 1, 2014 10:32 pm

Todos los ciudadanos, y en particular los clientes de Jorge, tienen una serie de derechos respecto al tratamiento de sus datos de carácter personal, que puede ejercer gratuitamente frente a cualquiera de las empresas que traten sus datos:

  • Acceso: Poder conocer de dónde o cómo ha obtenido la empresa sus datos, y qué comunicaciones ha realizado de los mismos o tiene previsto realizar. Por ejemplo, un suscriptor del newsletter se puede poner en contacto con Movilesbaratos.com para preguntar cómo obtuvieron su dirección de e-mail.
  • Rectificación: Poder solicitar la subsanación de datos inexactos. Por ejemplo, si un cliente cambia de dirección, puede solicitar a Movilesbaratos.com que modifique la dirección de envío de sus futuras compras.
  • Cancelación: Poder solicitar que la empresa deje de utilizar sus datos. Por ejemplo, un suscriptor que se da de baja en el newsletter.
  • Oposición: Negarse a que la empresa trate sus datos. Por ejemplo, un cliente que no quiere que se le manden comunicaciones comerciales.

 

Pero si le estoy dedicando un post a estos cuatro derechos, que a priori parecen sencillos, será por algo…

Vayamos paso a paso.

 

¿Cómo nos solicita un ciudadano ejercer cualquiera de sus derechos?

Siempre tendrá que ser por escrito, bien sea por e-mail, fax o carta. De este modo, queda constancia fehaciente de la solicitud que está realizando, y el día de mañana no podrá retractarse.

 

¿Qué tiene que aportar el ciudadano en el ejercicio de sus derechos?

Tenemos que asegurarnos de que quien ejerce su derecho es realmente quien dice ser… y esto es simpático porque ¿qué datos tenemos de la persona que ejerce ese derecho?

Veamos lo que dice el RLOPD en el artículo 24:

4. Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados al mismo, podrá concederse la posibilidad al afectado de ejercer sus derechos de acceso, rectificación, cancelación y oposición a través de dichos servicios. En tal caso, la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos.
5. El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos referidos en el párrafo 1 del artículo siguiente.”

Y en el artículo 25:

1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.

 

Separemos los dos casos que se nos pueden presentar:

a) En el caso de un cliente, disponemos de su dirección de e-mail, nombre completo y una dirección física.

¿Tenemos algún mecanismo en nuestra web por la que el cliente se autentique en nuestra web y nos solicite ejercer uno de estos derechos? A priori, no (podríamos pensar en utilizar un mecanismo a base de comentarios a una entrada, o montar un plugin…).

¿Bastaría con recibir la petición por e-mail del cliente? No es suficiente, NUNCA PODÉIS FIAROS DE LA DIRECCIÓN DEL REMITENTE DE E-MAIL. Hay muchas formas de falsificar correos electrónicos, por lo que esa, por si sola, no es una medida segura de identificar al solicitante.

Por lo tanto, no podremos aplicar el artículo 24, así que aplicaremos el artículo 25, es decir, que tendrá que remitirnos su nombre completo y fotocopia del DNI, junto con la solicitud.

Os dejo como ejemplo un formulario de una empresa, que lo deja muy claro:

Formulario de ejercicio de los derechos ARCO

 

Cabría la posibilidad de que le contestáramos a ese correo electrónico solicitando que nos confirme la petición, para asegurarnos de que es el propietario de la dirección de correo, pero eso no es obligatorio según el RLOPD… se lo dejaremos como recomendación a Jorge ;-)

 

a) En el caso de un suscriptor, sólo disponemos de su dirección de e-mail (y como mucho su nombre, pero recordemos que ese dato era opcional a la hora de suscribirse).

En este caso no tenemos más mecanismo de identificación que mediante su correo electrónico, por lo que si ejerce alguno de sus derechos ARCO (y no lo hace él mismo a través del enlace de MailChimp), la única forma de confirmar que es quien dice ser, es contestándole a dicho correo solicitando que nos confirme la petición, así nos aseguramos de que es el legítimo propietario de esa dirección de correo.

 

¿Cuántas veces puede solicitarnos dicho derecho?

En el caso del derecho de Acceso, como mucho una vez al año, a no ser que pueda alegar un motivo relavente.

El resto de derechos, puede ejercerlos cuando sea necesario, sin limitación (más allá de lo lógico, es decir, no se puede pedir dos veces que se cancelen los datos, no tiene sentido).

 

¿Cuánto tiempo tenemos para tramitar su petición?

Tenemos 10 días, por lo que no se nos puede ir el santo al cielo.

Una vez realizado lo solicitado, tendremos que confirmarle que la hemos tramitado.

 

¿Cancelar los datos significa borrarlos?

Según el RLOPD:

b) Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

 

Por lo tanto, si un cliente nos solicita que cancelemos sus datos, significa que debemos marcarlos para no utilizarlos nunca más (ni para mandarle publicidad, ni un resumen del IVA), pero podemos usar sus datos no personales con fines estadísticos, por ejemplo, para saber cuántos pedidos hemos tenido, cuánto hemos ingresado, etc.

En la práctica, ¿qué podemos hacer en el WordPress y en WooCommerce? Yo recomendaré a Jorge que, dado que no hay una opción en la aplicación de evitar que sus datos personales se puedan usar por error, cortaría por lo sano:

1º) Haría un backup de la BD (por si más adelante tenemos que atender a algún requerimiento legal o judicial).

2º) Borraría los datos personales del cliente (nombre, e-mail, dirección, teléfono, etc.).

3º) En MailChimp, lo marcaría como un cliente que no quiere recibir más comunicaciones (para que no se nos pueda volver a colar), mediante “unsubscribe”.

 

Qué, está entretenido esto de la LOPD ¿eh?

¡Pues seguiremos en el siguiente post!



Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Aceptar la política de privacidad



“Los comentarios y opiniones que exprese en este Blog serán de su exclusiva responsabilidad, no representando en ningún caso a El Instituto de Marketing Relacional, Directo & Interactivo (en adelante ICEMD). Antes de ser publicados, los comentarios deberán ser validados por el Titular del Blog, por lo que puede suceder que éste decida no publicarlos. En ningún caso serán publicados comentarios sexistas, racistas, que inciten a la violencia o que en general resulten ofensivos o intimidatorios. Sus comentarios deberán respetar las normas de propiedad intelectual e industrial de terceros, así como los derechos de imagen, honor e intimidad de acuerdo a la ley vigente. No está permitido que utilice este espacio para hacer publicidad a favor de terceros. ICEMD queda eximida de cualquier responsabilidad derivada de los perjuicios que pueda causar al contravenir estas normas”.

Los datos registrados pasarán a un fichero propiedad de ICEMD, adecuándose a la Ley Orgánica 15/99 de 13 de diciembre de Protección de Datos Personales.

ICEMD se compromete a tratar de forma confidencial los datos de carácter personal facilitados y a no comunicar o ceder dicha información a terceros.

Para ejercer sus derechos de acceso, rectificación, oposición o cancelación de sus datos se deberá enviar una carta a junto con copia del DNI a Avda. Valdenigrales s/n Edificio Esic, Pozuelo de Alarcón 28223 Madrid, por las dos caras, o pasaporte, con la referencia "PROTECCIÓN DE DATOS"”. CERRAR