Autor: Eric Gracia. Abogado en Derecho.com
Son frecuentes en la mayoría de organizaciones las dudas relacionadas con la aplicación del Reglamento General de Protección de Datos (RGPD) a las tarjetas de visita, esos rectángulos de papel que muchos intercambiamos con clientes y proveedores para darnos a conocer y posibilitar que podamos contactarnos más adelante.
1. ¿Aplica el RGPD a las tarjetas de visita?
Resulta incuestionable que dichas tarjetas de visita contienen datos personales, normalmente nombre y apellidos, cargo, empresa en la que se trabaja y datos de contacto profesional tales como e-mail, teléfono y dirección postal. Por tanto, cuando cogemos la tarjeta de visita de alguien (recogida) y nos la guardamos en el bolsillo (conservación) estamos haciendo un tratamiento de datos personales, tal y como deja claro el artículo 4.2 del RGPD:
“«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”
Como la tarjeta es de papel, dicho tratamiento lo estamos haciendo de forma “no automatizada”, por lo que resulta necesario ver lo que dice al respecto el artículo 2.1 del RGPD:
“El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.”
Es decir, a esa tarjeta de visita que tenemos guardada en el bolsillo sólo le resultará de aplicación el RGPD en dos casos:
- Cuando hagamos un tratamiento automatizado de los datos que contiene, por ejemplo, escaneando la tarjeta o grabando los datos en un CRM; y
- Cuando, aún no haciendo un tratamiento automatizado de los datos que contiene, la guardemos en un fichero. ¿Y que es un fichero a efectos del RGPD? Pues “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (art. 4.6 RGPD)«, es decir, por ejemplo esto:
Esta es la interpretación que también parece hacer la Information Commissioner’s Office (ICO), autoridad de protección de datos del Reino Unido, cuando dice lo siguiente en su sitio web:
“The GDPR only applies to loose business cards if you intend to file them or input the details into a computer system.”
Por tanto, a nadie se le escapa que las empresas, sobre todo sus equipos comerciales, hacen tratamientos de las tarjetas de visita claramente sujetos al RGPD, principalmente para el envío de comunicaciones comerciales por vía electrónica.
2. Aspectos importantes para cumplir con el RGPD
Una vez constatado que las tarjetas de visita son fuente de datos personales cuyo tratamiento, dependiendo de lo que vayamos a hacer con ellos, va a estar normalmente sujeto al RGPD, debemos ver cómo cumplir con las obligaciones que impone tal norma. En este sentido, considero que hay dos cuestiones principales a tratar:
a) ¿Qué base jurídica del tratamiento escoger?
Si lo que pretendemos es enviar una o varias comunicaciones comerciales por vía electrónica a las personas que nos han dado su tarjeta, por ejemplo adjuntando un catálogo, propuesta o información comercial sobre nuestros productos y/o servicios a un correo electrónico, entonces vamos a necesitar el consentimiento del interesado (art. 6.1.a RGPD). Dicho consentimiento debe ser previo y expreso, de conformidad con el artículo 21.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Conviene tener presente que el simple hecho de tener la tarjeta de visita de alguien no sirve como prueba de haber obtenido su consentimiento expreso para poder enviarle comunicaciones comerciales por vía electrónica.
Si por el contrario queremos hacer una comunicación comercial por vía no electrónica, por ejemplo enviando el catálogo, propuesta o información comercial sobre nuestros productos y/o servicios por correo postal, podremos alegar nuestro interés legítimo (art. 6.1.f RGPD) en realizar acciones de marketing directo. Así lo establece el RGPD en su Considerando nº47 al decir que “el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.”
b) ¿Cómo cumplir con el deber de informar al interesado?
Cuando los datos personales se obtienen directamente del propio interesado, como ocurre cuando alguien nos da su tarjeta de visita, debemos facilitarle toda la información que establece el artículo 13 del RGPD. Dicha información debería darse en el momento en que obtenemos los datos, lo cual plantea importantes problemas prácticos cuando se trata de coger una tarjeta de visita.
No obstante, ya hemos visto que el simple hecho de coger una tarjeta de visita no implica que a la misma se le aplique el RGPD, por lo que parece factible que el deber de información se pueda cumplir en un momento posterior, cuando efectivamente el RGPD sea de aplicación (por ejemplo, cuando ya en la oficina decidamos que vamos a volcar los datos de la tarjeta en nuestro CRM).
Así, por ejemplo, se podría tener preparada una plantilla de correo electrónico con la información requerida que deberíamos enviar al interesado. Téngase en cuenta que si vamos a necesitar su consentimiento, el interesado deberá a su vez realizar alguna clara acción afirmativa para que podamos demostrar que lo tenemos, como por ejemplo responder a ese correo electrónico que le hemos enviado o bien “pinchar” en algún enlace contenido en el mismo.
_________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02 o bien escribiéndonos a legal@derecho.com
Disculpa, debes iniciar sesión para escribir un comentario.