El nuevo Reglamento Europeo de Protección de Datos Personales publicado en 2016 y que será plenamente exigible el 25 de mayo de 2018 viene a suponer un paso adelante en la protección real y activa de los derechos de los titulares de los datos personales.
Uno de los aspectos principales de la norma es que pretende que los titulares de los datos dispongan de un verdadero control sobre los mismos.
Como profesionales o empresas que tratamos datos personales hemos de ser conscientes que los datos con los que trabajamos NO SON NUESTROS por el mero hecho de que nos los hayan facilitado. Diríamos que NOS CEDEN SU USO mientras se mantenga la necesidad de tratarlos (para cumplir un servicio o contrato determinado que estamos prestando a sus titulares, para cumplir con una obligación legal, etc).
Los datos personales son HERRAMIENTAS necesarias para prestar ese servicio, entregar un producto, cumplir una obligación legal, prestar una asistencia vital, etc. Y además, estas HERRAMIENTAS serán SÓLO LAS NECESARIAS. Por ejemplo, para colgar un cuadro en la pared, lo normal es que necesitemos un taladro, un martillo, tacos y tornillos. Si un vecino nos pide que le hagamos el favor de colgarle un cuadro le pediremos esas herramientas. Poca utilidad para él tendrá si además le pedimos una sierra de calar y un kilo de arroz. Es decir, que solamente hemos de solicitar los datos necesarios para prestar el servicio que nos han requerido.
En este sentido, le debemos informar a nuestro vecino qué herramientas vamos a necesitar realmente.
En materia de protección de datos personales ocurre algo similar, con la salvedad de que además, con el nuevo RGPD deberemos acreditar que hemos facilitado esta información a los interesados y además éstos nos han facilitado su consentimiento inequívoco a tratar sus datos personales.
En lo que respecta al consentimiento para tratar los datos personales de nuestros clientes, usuarios, contactos, seguidores, etc, debemos tener muy en cuenta que la LOPD actual nos indica que el consentimiento ha de ser:
[box type=»warning»] INEQUÍVOCO: Que no haya lugar a dudas de que el interesado ha manifestado su consentimiento (ya sea por una acción del interesado por la acción de “no llevar a cabo ninguna acción, como por ejemplo, si el interesado era informado de la activación de cookies, pero este en lugar de no aceptar la política de cookies o bloquear algunas de ellas seguía navegando. En estos casos se entendía como una acción que legitimaba el uso de cookies. En otros casos incluso se admitía en determinados ámbitos el “consentimiento por omisión”). LIBRE: Que no se haya visto forzado a dar el consentimiento para poder recibir el servicio, producto, información, etc. INFORMADO: De manera que antes de que se lleve a cabo el tratamiento, el interesado haya sido informado de lo que conllevaría dicho tratamiento. ESPECÍFICO: Describir cada finalidad para la cual se obtienen datos personales, obteniendo el consentimiento específico para ellos. [/box]
Además, el consentimiento tiene que ser EXPRESO en estas situaciones:
- Tratamiento de datos sensibles (salud, religión, creencias, sindicales..).
- Adopción de decisiones automatizadas (basadas en algoritmos, por ejemplo).
- Transferencias internacionales de datos (Revisar dónde se encuentran los servidores donde alojamos los datos de nuestra web, por ejemplo).
A partir del 25 de mayo de 2018, NO SE PODRÁ OBTENER EL CONSENTIMIENTO AL TRATAMIENTO DE DATOS POR OMISIÓN, pero no solamente eso, sino que, si hemos obtenido el consentimiento por OMISIÓN hasta la fecha en algún tipo de tratamiento de datos o con alguna finalidad concreta DEBEREMOS ADAPTARNOS A LA NUEVA NORMATIVA Y OBTENER UN CONSENTIMIENTO ESPECÍFICO PARA ELLO.
Es decir, A PARTIR DE 25 DE MAYO DE 2018 TODOS LOS TRATAMIENTOS DE DATOS que lleva a cabo la empresa han de haber sido legitimados de forma INEQUÍVOCA por el interesado.
Esto supone que tengamos que revisar nuestros procesos de captación y obtención del consentimiento al tratamiento de datos llevados a cabo hasta la fecha, de manera que es posible que tengamos que realizar algún tipo de actuación para captar el consentimiento INEQUÍVOCO de los interesados (los anteriores a la normativa europea).
Además, tener en cuenta que en algunos casos deberá ser EXPRESO (tal y como hemos comentado antes).
Otra opción que permite la AGPD y que cita textualmente en su GUÍA DE CUMPLIMIENTO DEL DEBER DE INFORMACIÓN es la de basar el tratamiento en otra base legal diferente al consentimiento, como puede ser el interés legítimo del responsable o del cesionario respecto al tratamiento y que se haga una ponderación por la cual quede por delante este interés.
Al margen de esto, el interesado conserva intactos sus derechos, en especial el derecho a ser informado de forma previa acerca del objeto y finalidad del tratamiento de sus datos personales.
[box type=»info»] Por último, el nuevo Reglamento Europeo establece la necesidad de que todo este proceso se encuentre DOCUMENTADO, de manera que podamos demostrar quién, cómo y cuándo nos ha otorgado el consentimiento.[/box]
Así pues, cualquiera de las dos opciones supone llevar a cabo un análisis de los procesos actuales de la empresa o negocio, de manera que obtengamos el consentimiento acorde a la normativa europea de los tratamientos anteriores a su entrada en vigor, ya que en este sentido sería RETROACTIVA.
En resumen, las tareas con las que nos vamos a encontrar de manera inmediata son:
- Analizar cómo hemos obtenido los datos personales que obran en nuestra empresa, negocio, despacho, etc.
- Verificar si se ha obtenido el consentimiento de manera que se cumpla la normativa europea.
- Comprobar si todo este proceso está documentado o disponemos de registros que permiten verificar QUIÉN, CÓMO Y PARA QUÉ nos han facilitado el consentimiento.
- En caso de que no sea así, estudiar si la obtención o no del consentimiento tiene amparo legal en el interés legítimo.
- Si tampoco se dispone de esa cobertura legal, hay que estudiar la manera en que se les puede solicitar antes de la exigibilidad de la nueva normativa.
En definitiva, son varios los procesos que hemos de llevar a cabo para verificar si estamos en condiciones de cumplir con este apartado concreto de la normativa europea de protección de datos personales, pero es necesario comenzar con estas tareas si queremos afrontar con garantías el resto de exigencias del RGPD.
Álvaro Orts Ferrer // Abogado ICAV 10935 // Miembro Senior Asociación Profesional Española de Privacidad. // alvaro.orts@ortsconsultores.es // www.ortsconsultores.es