GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

RGPD EN LA UE

Procesamiento de datos personales por parte de empresas que prestan servicios en línea

Aquí puede leer información sobre el procesamiento de datos personales por parte de empresas que prestan servicios en línea. 

Definición de servicios en línea

Los «servicios en línea» se denominan legal y formalmente «servicios de la sociedad de la información» con arreglo al Derecho de la UE y al Derecho nacional de algunos Estados miembros. El término jurídico se define en el artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535, a menudo denominada «Directiva de notificación».  

Un servicio en línea es un servicio prestado por una empresa a distancia. Esto significa que el proveedor y el destinatario del servicio en línea no están presentes simultáneamente en el mismo lugar.

También es un servicio en el que el proveedor obtiene una ventaja económica, por ejemplo, a través de los ingresos publicitarios, la remuneración de los usuarios por el uso o los datos recopilados que confieren una ventaja económica.

Además, el servicio en línea se prestará por vía electrónica, por ejemplo a través de internet u otros medios de transmisión por medios electrónicos. Además, los servicios en línea se prestan a petición individual del destinatario del servicio y, por lo tanto, no a través de la distribución masiva, como la radiodifusión televisiva o radiofónica.

What breaches of the GDPR can lead to an administrative fine?

Ejemplos de servicios en línea

  • Redes sociales
  • Plataformas de comercio electrónico
  • Motores de búsqueda

Tratamiento de datos personales por parte de empresas que prestan servicios en línea

Las empresas que prestan servicios en línea casi siempre procesan datos personales. Por lo tanto, es importante conocer las reglas para cumplirlas. Además, es importante que el proveedor de servicios adapte el servicio en línea al RGPD, por ejemplo, implementando la protección de datos desde el diseño, como tener configuraciones para que el usuario retire su consentimiento dado. 

Finalidad del tratamiento de los datos personales

Las empresas sujetas al RGPD siempre deben tener una finalidad con cada uno de sus tratamientos de datos personales. Es importante que el proveedor de un servicio en línea analice cuál es la finalidad del tratamiento y qué datos personales son necesarios para lograrlo. Esto constituye una base fundamental del RGPD, de conformidad con el principio de limitación de la finalidad, tal como se regula en el artículo 5, apartado 1, letra b), del RGPD.

Transparencia hacia los interesados en relación con el tratamiento

Las empresas deben ser siempre transparentes con los interesados al tratar sus datos personales. Esto también se aplica a los proveedores de servicios en línea. 

Por ejemplo, muchas aplicaciones móviles suelen procesar ciertos tipos de datos personales para que el usuario registre su cuenta de usuario y utilice el servicio. En tales casos, la base jurídica suele ser el contrato con el interesado de conformidad con el artículo 6, apartado 1, letra b), del RGPD. La información sobre la base legal se establecerá en un aviso de privacidad, que el usuario debe certificar que ha leído. 

Tratamiento de datos personales para otros fines

Es común que una empresa desee procesar los datos personales que ha recopilado en relación con la celebración del contrato para llevar a cabo marketing conductual. Sin embargo, no está permitido apoyar dicho tratamiento sobre la base jurídica del contrato con los interesados. Esto se debe a que el procesamiento no es necesario para la celebración o ejecución del contrato. En su lugar, la empresa puede utilizar el consentimiento de conformidad con el artículo 6, apartado 1, letra a), del RGPD o los intereses legítimos de conformidad con el artículo 6, apartado 1, letra f), del RGPD como base jurídica para el tratamiento. 

Normas más estrictas cuando los interesados son niños

Muchos servicios en línea están dirigidos a niños, o tienen muchos niños como usuarios. Por ejemplo, las redes sociales. Está permitido obtener el consentimiento de un niño para un procesamiento de datos personales de acuerdo con el RGPD. Sin embargo, las reglas son más estrictas. El límite de edad para un consentimiento válido de un menor en relación con el tratamiento de sus datos personales en el contexto de los servicios en línea es de dieciséis años, de conformidad con el artículo 8 del RGPD. Los Estados miembros tienen derecho a reducir el límite de edad, a un mínimo de 13 años, si así lo desean en su legislación nacional. 

Sanción para una empresa que informó a los niños sobre el procesamiento de datos personales en inglés

Una empresa que opera una aplicación móvil con muchos niños como usuarios recibió una multa emitida por la Autoridad Holandesa de Protección de Datos por sus violaciones del RGPD. La empresa, entre otras cosas, había informado a los interesados sobre el procesamiento de datos personales en inglés, a pesar de que eran niños. La empresa debería haber transmitido la información en holandés, ya que el inglés no es el idioma nacional del país. Cuando los interesados son niños, la empresa debe asegurarse de que los niños comprendan la información sobre el procesamiento de sus datos personales.  

Bases jurídicas que pueden utilizar las empresas que operan servicios en línea

Contrato con el interesado de conformidad con el artículo 6, apartado 1, letra b), del RGPD

Esta base jurídica significa que una empresa tiene derecho a tratar los datos personales del interesado necesarios para la celebración y ejecución del contrato. Por ejemplo, el proveedor de una plataforma de comercio electrónico necesita procesar el nombre y la dirección del cliente, para poder completar la entrega de los bienes que ha pedido el cliente.

Procesar datos personales para:
Measures that companies need to take to comply with GDPR
Desarrollar un servicio

Es común procesar datos personales para desarrollar un servicio, como las redes sociales o un mercado. Sin embargo, en la mayoría de los casos estas operaciones de procesamiento no son necesarias para la ejecución del contrato celebrado con el usuario. Por lo tanto, el contrato con el interesado no es una base jurídica adecuada. El consentimiento o el interés legítimo pueden ser una mejor opción en tales casos.

Sensitive personal data according to GDPR
Prevención de la delincuencia

Muchas empresas trabajan para prevenir el crimen, como el fraude, y muchas también tienen la obligación de hacerlo. Las bases jurídicas sobre las que las empresas suelen apoyar dicho tratamiento de datos personales en estos casos son la obligación legal o el interés legítimo.

What is the definition of anonymised data?
Publicidad comportamental

Muchos servicios en línea son gratuitos para el usuario y, en cambio, se financian a través de ingresos publicitarios y publicidad conductual. En tales casos, el procesamiento de los datos personales de los usuarios con fines de marketing generalmente se basa en el consentimiento o el interés legítimo como base legal. El CEPD emitió un dictamen sobre los modelos de «consentimiento o pago».

Es importante tener en cuenta que las empresas deben llevar a cabo un equilibrio de intereses para ver si tienen un interés legítimo, así como documentar el resultado, antes de utilizar esta base legal para apoyar el procesamiento. 

La aceptación de las condiciones contractuales y el consentimiento para un determinado tratamiento de datos personales no son lo mismo

Cuando una empresa opera un servicio en línea, necesita tener términos y condiciones generales. Regula, entre otras cosas, los respectivos derechos y obligaciones de la empresa y del usuario. Para que el usuario tenga derecho a utilizar el servicio en línea, debe aceptar las presentes condiciones generales. Cuando el usuario lo hace, surge una relación contractual entre el usuario y la empresa. La base jurídica para el tratamiento de los datos personales del usuario por parte de la empresa, con el fin de poder celebrar y ejecutar el contrato, se convierte así en un contrato con el interesado. 

Sin embargo, la empresa solo puede procesar los datos personales que sean necesarios para la celebración y ejecución del contrato. La empresa no debe procesar los datos personales para otros fines incompatibles, como llevar a cabo marketing conductual. En tales casos, la empresa necesita una base legal diferente para el procesamiento. Por ejemplo, consentimiento o interés legítimo. 

Tenga en cuenta que puede no ser un requisito que el usuario deba dar su consentimiento para un determinado procesamiento con el fin de utilizar el servicio en línea. En tales casos, el consentimiento no se da libremente, ya que conlleva una consecuencia negativa para el interesado si no se da el consentimiento y, por lo tanto, el consentimiento no es válido.

APRENDE MÁS SOBRE RGPD

Cookies en sitios web

Es común que los sitios web almacenen cookies en el dispositivo del visitante. Por ejemplo, para llevar a cabo una comercialización específica o analizar el uso del sitio web. Las cookies pueden recopilar datos personales cubiertos por el RGPD. Como las direcciones IP, y en tales casos la empresa debe cumplir con el RGPD. Hay una diferencia entre las cookies esenciales y las no esenciales. Si la empresa desea procesar cookies no esenciales, la empresa debe obtener el consentimiento explícito del usuario. Esto es diferente de las cookies esenciales, que no requieren ningún consentimiento para ser utilizadas.

¿Quieres saber más?

Leer más
Scroll al inicio