El caso “Cupón DIA”

10/12/2018 Gonzalo Sánchez-Jara No hay comentarios

El 8 de agosto apareció publicado en las noticias la imagen de un cupón informativo de Club DIA que causó bastante polémica por su contenido:

“Desde ClubDIA queremos seguir beneficiándote con más descuentos. Para ello, con la utilización de cualquier cupón durante el mes de Agosto 2018, “Aceptas Recibir publicidad de socios comerciales del Grupo DIA, así como se cedan tus datos a dichos terceros”. Gracias por confiar en ClubDIA y recuerda que en la web https://clubdia.dia.es/ puedes registrarte, actualizar tus datos y consultar nuestra política de privacidad en cualquier momento.”

Dicha campaña del Grupo DIA ha suscitado un elevado número de quejas entre sus clientes y ha llevado a que la Agencia Española de Protección de Datos (la “AEPD”) iniciara de oficio una investigación al respecto. Al poco tiempo, Grupo DIA anunció la retirada de esta campaña.

Tras leer la noticia, quisimos por curiosidad ver el proceso para darse de alta online en Club Dia, así como su política de privacidad de datos, con el fin de compartir el análisis con nuestros lectores.

Proceso para darse de alta online en Club DIA:

1. Abrir una cuenta en la página web de DIA.

2. Facilitar los siguientes datos en la sección “Cuenta mi Perfil” de nuestra recién creada cuenta (los datos con asterisco son obligatorios):

Nombre y Primer Apellido*
Segundo Apellido
Tipo de Documento y numero de documento: CIF, NIE, DNI *
Fecha de Nacimiento *
Número de miembros en el hogar
País de Nacimiento *
Tipo Vía*, Nombre de Vía*, Numero*, Escalera, Piso, Letra, CP*, Provincia*, Localidad*
Teléfono Móvil*
Teléfono

Dicha sección contiene además dos casillas opcionales sin marcar con las siguientes dos opciones:

“Acepto recibir publicidad de DIA, sus filiales y participadas en función de mis intereses, de mis datos de localización y de información obtenida de fuentes internas y/o externas, así como que se cedan mis datos a dichas entidades”

[_]“Acepto recibir publicidad de socios comerciales del Grupo DIA, así como que se cedan mis datos a dichos terceros”

3.Asociar/relacionar nuestra tarjeta. En el proceso online, como no tenemos una tarjeta física, debemos solicitar una tarjeta digital. Para ello, debemos apretar un botón que pone “Alta Digital” y marcar una casilla obligatoria donde pone: “Acepto las Bases del Club DIA y su Política de Privacidad”. Es aquí donde por fin podemos acceder al contenido política de privacidad de Club DIA.

Política de Privacidad del Club DIA:

En el apartado 1 – “Información básica sobre protección de datos” – se habla de dos bases legales que legitiman el tratamiento de mis datos personales:

a) El tratamiento de nuestros datos es necesario para la ejecución de un contrato de suscripción; y

b) por nuestro consentimiento expreso.

Es en el análisis de estas dos bases legales en donde vamos a centrarnos en el resto del post.

Respecto a la base legal de que el tratamiento de nuestros datos es “necesario para la ejecución de un contrato de suscripción”:

En primer lugar, no sabemos de qué contrato hablan. En el proceso online no hemos visto un contrato de suscripción para leer ANTES de aceptar las Bases del Club DIA y su Política de Privacidad.

Asumimos que, al solicitar la tarjeta digital, estamos de alguna manera aceptando dicho contrato de suscripción.

También se hace mención en la política de privacidad de algo llamado “formulario de adhesión”, que probablemente sea un documento físico que se entrega a los clientes de DIA que quieren darse de alta en Club DIA, pero que no aparece en el tramite online de solicitud de la tarjeta digital.

Sin perjuicio de lo anterior, echemos un vistazo a lo que dice el RGPD en relación con esta base legal que legitima el tratamiento de datos:

Art. 6.1.b): “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”

Un ejemplo de un tratamiento de datos necesario para la ejecución de un contrato es si un interesado hace una compra online y el responsable de datos tiene que procesar la dirección postal del interesado con la finalidad de entregarle la compra.

La idea es que si se puede cumplir de forma razonable con lo dispuesto en un contrato sin tratar los datos personales, esta base legal no debería ser aplicable.

Con esto presente, surge la pregunta: ¿hasta qué punto el tratamiento de mis datos personales que hace DIA es necesario para la ejecución del contrato de suscripción?

No nos resulta posible hacer un análisis fiel para contestar a esta pregunta en la medida en que, como ya hemos indicado, no hemos encontrado el contrato de suscripción de Club DIA.

No obstante, observando las ventajas de suscribirse al Club DIA que se mencionan en su página web: (i) Cupones Descuento de hasta un 50%, (ii) descuentos en más de 250 productos y (iii) Consulta de tus compras online, parece razonable suponer que el espíritu del contrato de suscripción es el de ofrecer descuentos y facilidades a los miembros del Club DIA con el fin de fidelizarlos.

Con esto presente, vamos a examinar las distintas finalidades del tratamiento de datos que hace Club DIA, según su política de privacidad y que transcribimos literalmente:

“En DIA tratamos la información que nos facilitan las personas interesadas con el fin de:

- gestionar y tramitar su pertenencia al Club DIA, así como las diferentes acciones derivadas de tal pertenencia;
- gestionar la emisión y uso de la Tarjeta del Club DIA, así como de las diferentes tarjetas que se puedan emitir asociadas al mismo código de cliente;
- gestionar y tramitar cada uno de los servicios solicitados por el Cliente;
- diseñar y ofrecer las mejores ofertas a los miembros del Club DIA;

gestionar comunicaciones comerciales y publicitarias, tanto de DIA como empresas de su grupo empresarial y participadas por DIA así como de sus socios comerciales, respecto de productos, servicios, ofertas, promociones, y cualesquiera otras actividades publicitarias por cualquier medio, incluido electrónicos;
realizar encuestas, concursos, estadísticas y análisis de mercado;

elaborar un perfil, de tal forma que es posible que las comunicaciones comerciales se ajusten en cualquier momento a la información que se encuentra en su perfil, las cuales, se entienden necesarias como parte de su pertenencia al Club DIA, puesto que la finalidad principal del Club, no es otra que ofrecerle descuentos y cupones en función de sus intereses;
obtener el dato de localización, en el caso de los Usuarios de la aplicación móvil, y así poder remitir comunicaciones comerciales por medios electrónicos y,
enriquecer sus datos con fuentes internas y externas, incluso de redes sociales de las que sea usuario, con el fin de segmentar y contrastar su información.”

Tras leer dichas finalidades, hay varias que me llaman la atención:

Primero: “gestionar comunicaciones comerciales y publicitarias, tanto de DIA como empresas de su grupo empresarial y participadas por DIA así como de sus socios comerciales…”

Nos resulta difícil creer que la cesión de nuestros datos personales a un número indeterminado de terceros con fines comerciales sea algo necesario para que DIA pueda ejecutar debidamente nuestro contrato de suscripción.

Segundo: “obtener el dato de localización, en el caso de los Usuarios de la aplicación móvil, y así poder remitir comunicaciones comerciales por medios electrónicos”.

Esta finalidad nos llama la atención en primer lugar porque los datos de localización del interesado tampoco son necesarios para poder enviarle comunicaciones comerciales por medios electrónicos, véase emails.

En segundo lugar, porque esto no es solo una finalidad, sino que es un aviso de que DIA va a obtener datos personales adicionales a los que ya hemos facilitado, siendo en este caso nuestra localización.

Tercero: “enriquecer sus datos con fuentes internas y externas, incluso de redes sociales de las que sea usuario, con el fin de segmentar y contrastar su información.”

Esta finalidad la hemos tenido que leer varias veces para intentar entenderla. Nuestra interpretación es que DIA puede rastrear otros datos personales del interesado mediante distintos métodos como a través de otras empresas de su grupo, buscadores de internet o redes sociales para añadir esta información personal a los datos que el interesado ya ha facilitado, con el fin de comprobar su veracidad y ordenar a los clientes en distintos grupos utilizando criterios indeterminados.

Nos parece una finalidad desproporcionada, intrusiva e innecesaria. Primero porque no hay ningún límite, no se especifica qué información adicional del interesado se va a rastrear. Segundo, porque en la política de privacidad de Club DIA ya aparece la frase “Asimismo, el cliente garantiza la exactitud y veracidad de los datos facilitados“, por lo que CLUB DIA no necesita rastrear esta información para contrastar los datos del interesado. Tercero, nos resulta difícil creer que para ofrecer cupones descuento a los miembros del Club DIA, sea necesario rastrear y guardar toda la información posible de éstos que se encuentre en internet.

En definitiva, respecto a la base legal de “El tratamiento de nuestros datos es necesario para la ejecución de un contrato de suscripción”: Para poder legitimar el tratamiento de datos usando esta base legal, hay que demostrar que el tratamiento en cuestión es necesario para la ejecución del contrato.

Por lo que hemos visto en la política de privacidad del Club Dia, hay varios tratamientos cuyas finalidades se podría argumentar que no son estrictamente necesarias para la ejecución del contrato de suscripción de Club Dia, por lo que esta base legal puede no ser la más apropiada para el tratamiento de nuestros datos.

2. Respecto a la base legal del Consentimiento:

El RGPD establece que el tratamiento de datos será legítimo si: “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”

El RGPD define el consentimiento como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

Para determinar si el consentimiento es libre, los recitales del RGPD establecen:

“…El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos…”

“…Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento”

Puesto que no es posible dar el consentimiento por separado para cada una de las finalidades del tratamiento que recoge la política de privacidad de Club DIA, parece razonable asumir que el consentimiento no puede considerarse una manifestación libre por parte del interesado, y que por lo tanto no es válido.

Asimismo, el Art. 7.4 del RGPD establece:

“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

Esto significa que supeditar la ejecución de un contrato a mi consentimiento al tratamiento de datos personales innecesarios para su ejecución, como por ejemplo mi localización geográfica o datos indeterminados que se encuentren en mis redes sociales, afecta a la libertad de mi consentimiento y podría considerarse que no es válido.

En definitiva, la base legal del consentimiento para legitimar el tratamiento de nuestros datos, en nuestra opinión, no debería ser válida.

Conclusión:

Si bien resulta evidente que la política de privacidad de Club DIA sí ha hecho un esfuerzo por adaptarse al RGPD, todavía quedan ciertos aspectos relativos a las bases legales que legitiman su tratamiento de datos, que en nuestra opinión, podrían mejorarse, como por ejemplo:

Realizar una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
Ofrecer la posibilidad de aceptar o denegar el consentimiento para cada una de las finalidades incluidas en su política de privacidad.
Ofrecer una copia digital del contrato de suscripción y del formulario de adhesión para el interesado que quiera darse de alta online en Club DIA.

La AEPD nos dará más información al respecto pronto.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.

El caso “Cupón DIA”

Artículos relacionados

Comentarios

Podría interesarle

La Agencia Española de Protección de Datos (AEPD) impone a Vodafone la tercera mayor multa en España por infracción del RGPD por no poder acreditar el consentimiento de un cliente

El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

1 Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

2La Agencia de Protección de Datos Irlandesa tiene hasta el 12 de mayo para emitir su decisión final sobre la legalidad de la transferencia de datos personales de Facebook de la UE a EEUU

3Multa de 170.000 euros a Vodafone por faltas de medidas de seguridad para evitar la suplantación de identidad

4Una startup californiana de telesalud compartió datos personales de más de 3 millones de pacientes con empresas tecnológicas

5Multa de la AEPD a una empresa por almacenar las contraseñas de sus usuarios sin encriptar

6El Garante de Protección de Datos Italiano impone a la empresa creadora del chatbot “Replika” una limitación temporal del tratamiento de datos en Italia por posibles infracciones del RGPD

7La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD

8Sylvia Enseñat de Carlos: “Cada vez hay más profesionales que eligen especializarse en Compliance para desarrollar su carrera profesional en este ámbito”

9El RGPD Blog finalista a los Premios ASCOM 2022 en la categoría “Medio de Comunicación”

10Multa récord de 10 millones de euros de la AEPD a Google por infracción del RGPD

11Ranking de las 10 multas más altas en España por infracción del RGPD – 2º Trimestre 2022

12Ranking de las 10 multas más altas en España por infracción del RGPD – 1er Trimestre 2022

13Multa de la AEPD a CaixaBank de 2,1 millones de euros por condicionar la exención de comisiones a clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato

14La AEPD impone a una empresa del grupo Amazon una multa de 2 millones de euros por solicitar a sus candidatos un certificado de ausencia de antecedentes penales

15La AEPD impone a Vodafone una multa de 3,94 millones de euros por faltas de medidas de seguridad adecuadas en su proceso para expedir duplicados de la tarjeta SIM

16Ranking de las 10 multas más altas en España por infracción del RGPD – 4º Trimestre 2021

17Procedimientos sancionadores de la AEPD por no tener designado a un delegado de protección de datos

18Feliz Navidad y próspero 2022

19Conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD. ¿Qué sucede cuando un contrato identifica a una de las partes como el responsable del tratamiento y en la práctica no es el caso?

20La AEPD impone a CaixaBank una multa de 3 millones de euros por insuficiencias en su proceso de obtención del consentimiento de sus clientes para la elaboración de perfiles

21Consecuencias de imponer solo apercibimientos a las administraciones públicas por la infracción del RGPD

22Ranking de las 10 multas más altas en España por infracción del RGPD – 3er Trimestre 2021

23¿Cómo beneficia al responsable del tratamiento el tomar medidas para paliar los daños y perjuicios sufridos por los interesados cuando se produce una infracción del RGPD?

24Multa de 200.000 euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por falta de medidas de seguridad en el tratamiento de datos

25La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 2/2)

26La AEPD impone a Mercadona una multa de 3,15 millones de euros por varias infracciones del RGPD relacionadas con su sistema de reconocimiento facial (Parte 1/2)

27Multa en Italia de 2,6 millones de euros a Foodinho, filial italiana de Glovo, por infracción del RGPD

28La Comisión Europea aprueba la decisión de adecuación para la libre transmisión de datos entre la Unión Europea y el Reino Unido

29Ranking de las 10 multas más altas en España por infracción del RGPD – 2o Trimestre 2021

30Amazon se enfrenta en Luxemburgo a una posible multa de 350 millones de euros por infracción del RGPD