El nuevo Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2018. Lo menos que podemos decir es que han pasado muchas cosas antes y después. Hay pocos temas que hayan sido noticia y sobre los cuales se haya publicado tanto. Sólo en mayo, el término «GDPR» y su equivalente español «RGDP» fueron buscados más de 500.000 veces por los españoles.
Sin embargo, como suele ocurrir con las noticias de primera plana, es difícil distinguir entre verdad y ficción, entre mitos y realidad. Muchos artículos presentan soluciones milagrosas o metodologías infalibles para el cumplimiento. Pero esta afluencia de información no ha hecho necesariamente que las empresas sean más responsables del tratamiento y la protección de datos, sino que ha creado confusión general.
El ejemplo más evidente es la avalancha de correos electrónicos recibidos antes y después del 25 de mayo, que le pedían que volviera a dar su consentimiento o que lo hiciera por primera vez, o simplemente para informarle de que, debido a la falta de consentimiento, ya no recibiría el boletín mencionado. ¿Cuál es el enfoque correcto? Muchas preguntas, pero pocas respuestas concretas.
Por esta razón, lawpilot y nuestros socios de ISiCO Datenschutz (una empresa consultora de protección de datos y seguridad de la información con más de 10 años de experiencia) han reunido para usted los mitos de mayor consenso y han intentado responder a preguntas clave sobre uno de los puntos clave del GDPR.
«El Consentimiento: distinguir la verdad de lo falso.»
Según el RGPD sobre la protección de datos personales, el consentimiento libre e informado de los interesados debe obtenerse antes de la puesta en marcha de la operación de tratamiento de datos. El consenso es una de las piedras angulares del RGPD, que impone requisitos estrictos en el momento de la recolección. Pero, ¿cuáles son realmente estos requisitos? ¿Es correcto todo lo que escuchas sobre el consentimiento? Aquí están las 9 ideas falsas sobre el consenso bajo el GDPR:
El RGPD tiene la tarea de regular la obtención del consentimiento de los individuos, pero no de hacer la vida imposible a las empresas. Cualquier acción positiva tomada por la persona en cuestión es suficiente. En teoría, un guiño podría ser suficiente. Sólo en teoría, porque los responsables del tratamiento tienen que demostrar que el consentimiento se ha obtenido de forma válida (obligación de documentación y prueba), lo que resulta difícil con un guiño. Un click en una casilla de verificación (opt-in) es la forma más común de consentimiento digital.
Atención: una casilla que ya ha sido marcada y debe ser desactivada (opt-in pasivo) no se considera un consentimiento válido.
así como casillas de verificación para denegar el consentimiento (opt-out activo) o, peor aún, el acuerdo obligatorio sin posibilidad de denegación (opt-out pasivo).
Las autorizaciones obtenidas antes del 25.05.2018 siguen siendo válidas, siempre que se hayan obtenido de acuerdo con los requisitos del RGPD. Esto es muy plausible, ya que los requisitos de consentimiento de la LOPD 15/1999 de 13 de diciembre eran relativamente similares a los del RGPD. Si no es así, basta con actualizar el consentimiento con las personas físicas.
Atención: se aplican condiciones especiales para el consentimiento de los menores de edad.
Es cierto que el RGPD establece un límite de edad para que la cuestión del consentimiento se defina como válida. Sin embargo, esto no significa que los menores no puedan dar un consentimiento válido. De hecho, el RGPD establece que los niños sólo pueden dar su consentimiento efectivo para el tratamiento de sus datos personales en España es a partir de los 13 años de edad. Por debajo de los 13 años, se necesitará el consentimiento del «titular de la patria potestad», algo que puede resultar muy complicado. El artículo 8 ofrece más información al respecto, aunque no describe cómo resolver el problema ni cómo las autoridades de control pueden determinar que se ha cumplido este requisito.
El mito de que la fecha de consentimiento no es importante es obviamente falso. «Consentimiento» es un término legal que podría ser sustituido por «acuerdo previo». El consentimiento debe obtenerse antes de la recogida y el tratamiento de los datos, así como para cualquier otra operación de tratamiento de datos. El consenso no es un concepto retrospectivo. Lo que en sí mismo es bastante lógico. Obtener el consentimiento después de que los datos hayan sido procesados sería como (absurdamente) tomar el teléfono de un compañero delante de él, usarlo, y luego, antes de devolverlo, preguntarle si está dispuesto a prestártelo porque te lo olvidaste en casa.
En primer lugar, es importante señalar que el RGPD firmó el final del opt-in pasivo, el opt-out activo y el opt-out pasivo. Los consentimientos que se recogen a través de las casillas de inclusión voluntaria deben concederse «activamente» (con un solo click). El doble opt-in implica obtener dos veces el consentimiento de los individuos. Por ejemplo, para recibir un boletín debe marcar una casilla y hacer click en un enlace para confirmar su suscripción. La ventaja de este procedimiento es que proporciona una prueba auténtica del consentimiento, que es absolutamente necesaria para cumplir con la obligación de documentación y prueba del consentimiento. Si estas pruebas también pueden aportarse a través del procedimiento de consentimiento único, no es necesario el consentimiento doble. Digamos que el doble opt-in ofrece más seguridad contra las sanciones! Conclusión, esto no es obligatorio (excepto en casos específicos), pero se recomienda encarecidamente. Como dicen, ¡mejor dos veces que una!
La idea de que el consentimiento permite el tratamiento ilimitado de todos los datos personales proviene directamente de un casquillo de cilindro. La validez de un consentimiento se verifica sobre la base de 4 criterios fundamentales: debe ser libre, informado, inequívoco y específico. Informado y específico, significa que las personas deben ser informadas en detalle de los fines para los que se utilizarán sus datos. Deben ser capaces de decidir por sí mismos qué tratamientos desean consentir.
Atención: con el consentimiento no se da libremente si la ejecución de un contrato, incluida la prestación de un servicio, está sujeta a un consentimiento para el tratamiento de datos personales que no es necesario para la ejecución del contrato.
Ejemplo: un cliente hace un pedido en una tienda online. En el momento del pedido, se informa al cliente de que los datos introducidos (por ejemplo, dirección de correo electrónico, dirección postal, número de teléfono) también pueden ser utilizados con fines publicitarios. Para continuar con el proceso de pedido, el cliente debe dar su consentimiento para el uso de sus datos con fines publicitarios. Dado que el consentimiento para el tratamiento de los datos no es necesario para la prestación del servicio – envío del producto – el consentimiento no se dio libremente.
Una vez dado el consentimiento, debe ser posible retirarlo en cualquier momento. La disposición del artículo 7, apartado 3, del RGPD aclara este punto: «El interesado tendrá derecho a revocar su consentimiento en cualquier momento…». Es tan fácil retirar el consentimiento como concederlo. Sin embargo, esto no significa que el procedimiento de revocación deba ser exactamente el mismo que el procedimiento de consentimiento. Especialmente en el comercio electrónico en línea, el consentimiento se da generalmente mediante una casilla de inclusión voluntaria al inicio del proceso de procesamiento de datos, sin posibilidad de borrado posterior, excepto en el caso de una cuenta de cliente. La palabra clave es simplicidad. Mientras haya una manera fácil de revocar el consentimiento, eso es suficiente. Para los boletines de noticias (newsletter), por lo general encontrará un enlace en la parte inferior del mensaje que le permite darse de baja de la lista de correo.
A falta de consentimiento con arreglo al artículo 6, apartado 1, letras b) y c), del RGPD, el tratamiento puede, en determinadas condiciones, basarse también en intereses legítimos (por ejemplo, comerciales), siempre que ello no prevalezca sobre los derechos fundamentales de las personas (artículo 6, apartado 1, letra f), del RGPD). Dependiendo de la situación, el RGPD puede reconocer los intereses económicos de una empresa como intereses legítimos, como la exploración o la publicidad. Sin embargo, las empresas deben encontrar un equilibrio entre sus intereses, que deben estar a favor de la empresa.
El tema de las cookies y el consentimiento ya se confunde en la antigua situación legal y, lamentablemente, sigue confundiéndose en la nueva Ley de Protección de Datos. En cualquier caso, es cierto que las cookies son datos personales protegidos por el RGPD. Esto significa que el uso de cookies está prohibido en general, a menos que la persona interesada haya dado su consentimiento o exista uno de los motivos de autorización previstos en el artículo 6 del RD-PIB. Tal y como se ha descrito anteriormente, el tratamiento de datos puede autorizarse de conformidad con el artículo 6, apartado 1, letra f), del RGPD si existe un interés legítimo en ello. Esto incluye, entre otras cosas, los intereses económicos de las empresas (por ejemplo, la publicidad). Es necesario determinar si el interés del interesado en el tratamiento de datos es superior al interés del interesado en la protección de datos.
Sin embargo, existen buenas razones por las que el uso de las cookies también puede basarse en un interés predominante en el sentido del artículo 6, apartado 1, letra f), del RGPD; la razón citada con más frecuencia es la optimización del sitio web y de la experiencia del usuario. Esto no es un problema siempre y cuando los datos recogidos sean seudónimos. La seudonimización es una buena forma de proteger los datos de los usuarios. En cualquier caso, también desde este punto de vista, es aconsejable utilizar un banner cookie para informar al usuario del sitio web sobre la recogida de cookies y su uso.
Atención: el interesado debe tener siempre la posibilidad de oponerse al uso de sus cookies.
*Si quieres saber más acerca del consentimiento, tratamos este y otros temas que conciernen al RGPD en nuestro curso online »Protección de datos para empleados».