Club DIA

El caso “Cupón DIA”

El 8 de agosto apareció publicado en las noticias la imagen de un cupón informativo de Club DIA que causó bastante polémica por su contenido:

“Desde ClubDIA queremos seguir beneficiándote con más descuentos. Para ello, con la utilización de cualquier cupón durante el mes de Agosto 2018, “Aceptas Recibir publicidad de socios comerciales del Grupo DIA, así como se cedan tus datos a dichos terceros”. Gracias por confiar en ClubDIA y recuerda que en la web https://clubdia.dia.es/ puedes registrarte, actualizar tus datos y consultar nuestra política de privacidad en cualquier momento.”

Dicha campaña del Grupo DIA ha suscitado un elevado número de quejas entre sus clientes y ha llevado a que la Agencia Española de Protección de Datos (la “AEPD”) iniciara de oficio una investigación al respecto. Al poco tiempo, Grupo DIA anunció la retirada de esta campaña.

Tras leer la noticia, quisimos por curiosidad ver el proceso para darse de alta online en Club Dia, así como su política de privacidad de datos, con el fin de compartir el análisis con nuestros lectores.

 

Proceso para darse de alta online en Club DIA:

1. Abrir una cuenta en la página web de DIA.

2. Facilitar los siguientes datos en la sección “Cuenta mi Perfil” de nuestra recién creada cuenta (los datos con asterisco son obligatorios):

  • Nombre y Primer Apellido*
  • Segundo Apellido
  • Tipo de Documento y numero de documento: CIF, NIE, DNI *
  • Fecha de Nacimiento *
  • Número de miembros en el hogar
  • País de Nacimiento *
  • Tipo Vía*, Nombre de Vía*, Numero*, Escalera, Piso, Letra, CP*, Provincia*, Localidad*
  • Teléfono Móvil*
  • Teléfono

Dicha sección contiene además dos casillas opcionales sin marcar con las siguientes dos opciones:

    • [_]

“Acepto recibir publicidad de DIA, sus filiales y participadas en función de mis intereses, de mis datos de localización y de información obtenida de fuentes internas y/o externas, así como que se cedan mis datos a dichas entidades”

    [_]“Acepto recibir publicidad de socios comerciales del Grupo DIA, así como que se cedan mis datos a dichos terceros”

3.Asociar/relacionar nuestra tarjeta. En el proceso online, como no tenemos una tarjeta física, debemos solicitar una tarjeta digital. Para ello, debemos apretar un botón que pone “Alta Digital” y marcar una casilla obligatoria donde pone: “Acepto las Bases del Club DIA y su Política de Privacidad”. Es aquí donde por fin podemos acceder al contenido política de privacidad de Club DIA.

 

Política de Privacidad del Club DIA:

En el apartado 1 – “Información básica sobre protección de datos” – se habla de dos bases legales que legitiman el tratamiento de mis datos personales:

a) El tratamiento de nuestros datos es necesario para la ejecución de un contrato de suscripción; y

b) por nuestro consentimiento expreso.

Es en el análisis de estas dos bases legales en donde vamos a centrarnos en el resto del post.

  1. Respecto a la base legal de que el tratamiento de nuestros datos es “necesario para la ejecución de un contrato de suscripción”:

En primer lugar, no sabemos de qué contrato hablan. En el proceso online no hemos visto un contrato de suscripción para leer ANTES de aceptar las Bases del Club DIA y su Política de Privacidad.

Asumimos que, al solicitar la tarjeta digital, estamos de alguna manera aceptando dicho contrato de suscripción.

También se hace mención en la política de privacidad de algo llamado “formulario de adhesión”, que probablemente sea un documento físico que se entrega a los clientes de DIA que quieren darse de alta en Club DIA, pero que no aparece en el tramite online de solicitud de la tarjeta digital.

Sin perjuicio de lo anterior, echemos un vistazo a lo que dice el RGPD en relación con esta base legal que legitima el tratamiento de datos:

Art. 6.1.b):el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”

Un ejemplo de un tratamiento de datos necesario para la ejecución de un contrato es si un interesado hace una compra online y el responsable de datos tiene que procesar la dirección postal del interesado con la finalidad de entregarle la compra.

La idea es que si se puede cumplir de forma razonable con lo dispuesto en un contrato sin tratar los datos personales, esta base legal no debería ser aplicable.

Con esto presente, surge la pregunta: ¿hasta qué punto el tratamiento de mis datos personales que hace DIA es necesario para la ejecución del contrato de suscripción?

No nos resulta posible hacer un análisis fiel para contestar a esta pregunta en la medida en que, como ya hemos indicado, no hemos encontrado el contrato de suscripción de Club DIA.

No obstante, observando las ventajas de suscribirse al Club DIA que se mencionan en su página web: (i) Cupones Descuento de hasta un 50%, (ii) descuentos en más de 250 productos y (iii) Consulta de tus compras online, parece razonable suponer que el espíritu del contrato de suscripción es el de ofrecer descuentos y facilidades a los miembros del Club DIA con el fin de fidelizarlos.

Con esto presente, vamos a examinar las distintas finalidades del tratamiento de datos que hace Club DIA, según su política de privacidad y que transcribimos literalmente:

“En DIA tratamos la información que nos facilitan las personas interesadas con el fin de:

    • gestionar y tramitar su pertenencia al Club DIA, así como las diferentes acciones derivadas de tal pertenencia;
    • gestionar la emisión y uso de la Tarjeta del Club DIA, así como de las diferentes tarjetas que se puedan emitir asociadas al mismo código de cliente;
    • gestionar y tramitar cada uno de los servicios solicitados por el Cliente;
    • diseñar y ofrecer las mejores ofertas a los miembros del Club DIA;
  • gestionar comunicaciones comerciales y publicitarias, tanto de DIA como empresas de su grupo empresarial y participadas por DIA así como de sus socios comerciales, respecto de productos, servicios, ofertas, promociones, y cualesquiera otras actividades publicitarias por cualquier medio, incluido electrónicos;
  • realizar encuestas, concursos, estadísticas y análisis de mercado;

 

  • elaborar un perfil, de tal forma que es posible que las comunicaciones comerciales se ajusten en cualquier momento a la información que se encuentra en su perfil, las cuales, se entienden necesarias como parte de su pertenencia al Club DIA, puesto que la finalidad principal del Club, no es otra que ofrecerle descuentos y cupones en función de sus intereses;
  • obtener el dato de localización, en el caso de los Usuarios de la aplicación móvil, y así poder remitir comunicaciones comerciales por medios electrónicos y,
  • enriquecer sus datos con fuentes internas y externas, incluso de redes sociales de las que sea usuario, con el fin de segmentar y contrastar su información.”

 

Tras leer dichas finalidades, hay varias que me llaman la atención:

Primero: “gestionar comunicaciones comerciales y publicitarias, tanto de DIA como empresas de su grupo empresarial y participadas por DIA así como de sus socios comerciales…”

Nos resulta difícil creer que la cesión de nuestros datos personales a un número indeterminado de terceros con fines comerciales sea algo necesario para que DIA pueda ejecutar debidamente nuestro contrato de suscripción.

Segundo: “obtener el dato de localización, en el caso de los Usuarios de la aplicación móvil, y así poder remitir comunicaciones comerciales por medios electrónicos”.

Esta finalidad nos llama la atención en primer lugar porque los datos de localización del interesado tampoco son necesarios para poder enviarle comunicaciones comerciales por medios electrónicos, véase emails.

En segundo lugar, porque esto no es solo una finalidad, sino que es un aviso de que DIA va a obtener datos personales adicionales a los que ya hemos facilitado, siendo en este caso nuestra localización.

Tercero: “enriquecer sus datos con fuentes internas y externas, incluso de redes sociales de las que sea usuario, con el fin de segmentar y contrastar su información.”

Esta finalidad la hemos tenido que leer varias veces para intentar entenderla. Nuestra interpretación es que DIA puede rastrear otros datos personales del interesado mediante distintos métodos como a través de otras empresas de su grupo, buscadores de internet o redes sociales para añadir esta información personal a los datos que el interesado ya ha facilitado, con el fin de comprobar su veracidad y ordenar a los clientes en distintos grupos utilizando criterios indeterminados.

Nos parece una finalidad desproporcionada, intrusiva e innecesaria. Primero porque no hay ningún límite, no se especifica qué información adicional del interesado se va a rastrear. Segundo, porque en la política de privacidad de Club DIA ya aparece la frase “Asimismo, el cliente garantiza la exactitud y veracidad de los datos facilitados“, por lo que CLUB DIA no necesita rastrear esta información para contrastar los datos del interesado. Tercero, nos resulta difícil creer que para ofrecer cupones descuento a los miembros del Club DIA, sea necesario rastrear y guardar toda la información posible de éstos que se encuentre en internet.

En definitiva, respecto a la base legal de “El tratamiento de nuestros datos es necesario para la ejecución de un contrato de suscripción”: Para poder legitimar el tratamiento de datos usando esta base legal, hay que demostrar que el tratamiento en cuestión es necesario para la ejecución del contrato.

Por lo que hemos visto en la política de privacidad del Club Dia, hay varios tratamientos cuyas finalidades se podría argumentar que no son estrictamente necesarias para la ejecución del contrato de suscripción de Club Dia, por lo que esta base legal puede no ser la más apropiada para el tratamiento de nuestros datos.

 

2. Respecto a la base legal del Consentimiento:

El RGPD establece que el tratamiento de datos será legítimo si: “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”

El RGPD define el consentimiento como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

 

Para determinar si el consentimiento es libre, los recitales del RGPD establecen:

    • Recital 32:

“…El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos…

    • Recital 43:

“…Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento”

Puesto que no es posible dar el consentimiento por separado para cada una de las finalidades del tratamiento que recoge la política de privacidad de Club DIA, parece razonable asumir que el consentimiento no puede considerarse una manifestación libre por parte del interesado, y que por lo tanto no es válido.

Asimismo, el Art. 7.4 del RGPD establece:

“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

Esto significa que supeditar la ejecución de un contrato a mi consentimiento al tratamiento de datos personales innecesarios para su ejecución, como por ejemplo mi localización geográfica o datos indeterminados que se encuentren en mis redes sociales, afecta a la libertad de mi consentimiento y podría considerarse que no es válido.

En definitiva, la base legal del consentimiento para legitimar el tratamiento de nuestros datos, en nuestra opinión, no debería ser válida.

 

Conclusión:

Si bien resulta evidente que la política de privacidad de Club DIA sí ha hecho un esfuerzo por adaptarse al RGPD, todavía quedan ciertos aspectos relativos a las bases legales que legitiman su tratamiento de datos, que en nuestra opinión, podrían mejorarse, como por ejemplo:

  • Realizar una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Ofrecer la posibilidad de aceptar o denegar el consentimiento para cada una de las finalidades incluidas en su política de privacidad.
  • Ofrecer una copia digital del contrato de suscripción y del formulario de adhesión para el interesado que quiera darse de alta online en Club DIA.

La AEPD nos dará más información al respecto pronto.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

 

Para más información sobre abc Compliance, pulse aquí.

Comentarios

Sea el primero en comentar este articulo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir al TOP

Esta página web utiliza cookies de Google para prestar sus servicios y para analizar su tráfico. Su dirección IP se comparte con Google, junto con las métricas de rendimiento y de seguridad, para garantizar la calidad del servicio, generar estadísticas de uso y detectar y solucionar abusos. En caso de que se suscriba al blog, también usaremos cookies de Mailchimp con el fin de poder recopilar los datos necesarios para el envío de newsletters. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar