Una nueva era para el consentimiento de cesión de datos personales

Los días de los formularios con casillas pre-marcadas para otorgar dicho consentimiento están contados, y teniendo en cuenta las importantes sanciones  derivadas de su incumplimiento, es importante que las empresas estén preparadas.

A partir del 25 de Mayo de 2018, las famosas palabras de Platón -“Asumo que su silencio da su consentimiento” - no serán suficientes para recoger y gestionar lícitamente datos personales. Conviene estar al tanto de los cambios que trae esta nueva regulación.

Cuando la Oficina del Comisionado de Información (ICO) realizó una consulta popular sobre el contenido  de su Guía para el entendimiento del RGPD recibió más de 300 respuestas, lo que demuestra la importancia de este asunto. Un correcto tratamiento del consentimiento no sólo beneficia a la seguridad de los datos a nivel individual y general, sino que también contribuye a reforzar la confianza del consumidor y la reputación corporativa.

El RGPD entra en vigor en Mayo de 2018 y su importancia es tal que incluso, el gobierno británico ha confirmado que la salida del Reino Unido de la UE no afectará la adopción del nuevo Reglamento.

El incumplimiento del RGPD establece una grave penalización máxima –hasta el 4% de la cifra global de negocio o 20 millones de euros, la que sea mayor– por recoger, almacenar o procesar datos personales de forma incorrecta. Aunque aún está por ver en qué medida los reguladores impondrán la sanción máxima, las consecuencias de obtener consentimiento de forma inapropiada son potencialmente devastadoras.

El Reglamento es de aplicación a los datos de carácter personal, pero el alcance de la definición de lo que entendemos por datos de carácter personal se encuentra más detallada que la recogida en la anterior Ley Orgánica de Protección de Datos de 1999, abarcando ahora elementos tales como los identificadores online, incluyendo las direcciones IP. Cualquier dato recogido como tal en el marco de la Ley de 1999, también lo estará en el nuevo Reglamento.

Todo lo relacionado con el consentimiento en la nueva regulación busca garantizar que las compañías obtengan una autorización legítima de los usuarios para poder recabar y procesar sus datos personales, si es que no hay otra base legal para hacerlo. Las personas tendrán un control real sobre quién hace qué con sus datos. Es tanto una cuestión de transparencia y responsabilidad como de dar al individuo la oportunidad de elegir libremente. La transparencia es un tema recurrente en toda la legislación.

Bajo el nuevo RGPD, el consentimiento requerido como base legítima para el procesamiento de los datos  debe ser informado y otorgado libremente, de manera específica e inequívoca, algo que no siempre sucede en la actualidad. Atrás quedan las casillas pre-marcadas que otorgan el consentimiento en base al silencio o la inactividad del individuo. Cuando hablamos de consentimiento, el poder está ahora en manos del individuo. Cualquier consentimiento debe darse en un tono afirmativo, explícito y no puede ser inferido. Además, las casillas para tal fin no pueden estar pre-marcadas, el usuario tiene que hacerlo de forma deliberada. El consentimiento debe presentarse por separado de otros términos y condiciones y no debe constituir un obstáculo para poder comprar algo.

Cualquier consentimiento original dado por un individuo debe ser fácilmente revocado (no tendrá que sortear una multitud de obstáculos para hacerlo) en cualquier momento. De hecho, el RGPD indica que debe ser tan sencillo revocarlo como darlo.

Es de esperar que los formularios de consentimiento y revocación sean comunes en las paginas webs, así como los formularios de contacto. Tan pronto como el individuo retire su consentimiento (cancelando su suscripción a una lista de distribución, por teléfono o mediante formulario por email), debe ser recogido y evidenciado.

El consentimiento es sólo una entre otras justificaciones para el procesamiento de datos personales; hay otras legítimas razones por las que puede ser solicitado, como en los casos en los que es necesario que los datos se procesen en interés legítimo de terceros (en los que puede ser necesario dar información sobre alguna otra persona para salvar su vida, por ejemplo, una llamada al 112), en estos casos otras reglas son de aplicación.

Si una organización ofrece un “servicio social de información” (como una línea de ayuda telefónica) a niños, puede ser necesario para procesar los datos de los menores tener el permiso de uno de los padres o tutor. Los menores de 16 no pueden dar consentimiento por sí mismos, por lo que tiene que venir de alguien con responsabilidad parental. El Reglamento deja bien claro que esta protección es especialmente significativa cuando la información personal de los niños se utiliza para crear perfiles digitales y acciones de marketing. Sin embargo, el consentimiento paterno no se necesita si el procesamiento de los datos está relacionado con servicios de prevención o asesoramiento ofrecidos directamente a los niños.

La nueva regulación tiene un especial impacto en la forma en que las empresas almacenan los datos. Es fundamental que éstas conozcan exactamente donde y cómo se almacenan estos datos por si alguna persona quiere revocarlos. Deben poder demostrar que los datos han sido eliminados (documentando que ha sido borrada de un sitio concreto, por ejemplo).

La consolidación de los datos deberá ser  integral para hacer que esto funcione, sin embargo aún hay un sorprendente elevado número de compañías que no están 100 % seguras de dónde y cómo se guardan los datos de los que son responsables. Los sistemas y procesos de las empresas necesitarán ser actualizados, lo que supone una potencial gran carga de trabajo para muchas organizaciones. En los casos en los que la compañía almacena información de individuos, habrán de asegurarse de que tienen el consentimiento para continuar almacenándolos con independencia de cuanto tiempo hace que están haciéndolo.

Claves para una correcta obtención del consentimiento

1. Establecer estrictos criterios de categorización para los datos sensibles que recopilará y no hacer uso de casillas pre-marcadas
2. Presentar el apartado del consentimiento de forma clara e independiente de otros términos y condiciones
3. Evitar la confusión o cualquier ambigüedad siendo claro y conciso
4. Nombrar a cualquier tercero que pueda depender del consentimiento
5. Evitar la obtención del consentimiento como condición previa a la provisión de un servicio u oferta
6. Evaluar si existe otra base legal para el procesamiento de los datos, el consentimiento debe utilizarse preferentemente como último recurso
7. Contar con un buen seguro que provea cobertura adecuada a los incidentes derivados de la protección de los datos