Entradas

¿Y si no acepto la política de privacidad?

Poco antes del 25 de mayo de 2018, la bandeja de entrada de nuestro email se llenaba de mensajes solicitándonos renovar el consentimiento para adaptarlo a la nueva política de protección de datos. Es un hecho que muchos de esos mensajes ni siquiera han sido abiertos. ¿Qué va a pasar ahora con los datos de todos esos clientes que no han renovado el consentimiento?

Es muy habitual dejarlo todo para el final, y la protección de datos no iba a ser una excepción. El Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; en adelante RGPD), entró en vigor el 25 de mayo de 2018, y lo hizo con una “vacatio legis” de dos años, precisamente porque, dada la complejidad de la norma, se entendió desde el legislador comunitario que era necesario un periodo de adaptación.

El pasado 25 de mayo de 2018, fecha en que el RGPD comenzó a ser plenamente aplicable en todos los Estados de la Unión, fuimos sometidos a un bombardeo sin precedentes, especialmente a través del email, en el cual las empresas nos instaban a renovar nuestro consentimiento para seguir tratando nuestros datos de carácter personal.

Como ciudadanos, hemos reparado en que nuestros datos constaban en los registros de muchas empresas, de las cuales ni siquiera éramos conscientes de su existencia y, en la mayoría de los casos hemos aprovechado la ocasión para dejar de recibir sus comunicaciones, simplemente dejando de aceptar su solicitud.

¿Pero es necesario el consentimiento de los interesados para tratar sus datos de carácter personal?

El RGPD nos habla de legitimación para el tratamiento de datos (principalmente en su art. 6, utilizando el término “licitud”), reconociendo el consentimiento como una de las condiciones para poder tratar datos de carácter personal, pero no la única.

Así, el responsable podrá tratar los datos para fines legítimos siempre que sea necesario para la ejecución de un contrato en el que el interesado sea parte, cuando el tratamiento sea necesario para cumplir con una obligación legal del responsable, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física; cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; o el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En caso de encontrarnos fuera de cualquiera de estos supuestos, los datos únicamente podrán ser tratados con el consentimiento del interesado.

Pero no todo el consentimiento es válido, el RGPD impone en su considerando 32, que el consentimiento “debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, no se admite, por tanto el silencio, las casillas ya marcadas o la inacción. Además, el consentimiento ha de darse para cada uno de los fines del tratamiento.

Si antes del 25 de mayo de 2018 ya contábamos con el consentimiento del interesado y el mismo había sido prestado con estas características, no es necesario volver a solicitarlo, lo mismo sucede si el tratamiento puede ampararse en alguno de los otros supuestos de licitud.

Es un hecho que muchas empresas se han prestado a solicitar consentimientos que ya tenían (sin duda mal asesoradas) y han perdido con ello gran parte de su base de datos, con todos los perjuicios que ello conlleva.

Debemos distinguir en todo momento el deber de informar de la necesidad de obtener el consentimiento.

Así, el considerando 60 del RGPD  exige que, para cumplir con los principios de transparencia y lealtad, se informe al interesado de la existencia de cualquier tratamiento y sus fines. Debemos informar a los interesados sobre el uso que estamos dando a sus datos, pero como ya hemos visto, muchas veces no necesitaremos su autorización para tratar los mismos.

Y esta distinción puede suponer una gran diferencia a nivel operativo.

La Agencia Española de Protección de Datos (AEPD), junto con las Autoridades Vasca y Catalana, han desarrollado una “Guía para el cumplimiento del deber de informar” cuya finalidad principal es “orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asistenhttps://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

¿Qué pasa entonces si el interesado no consiente?

Puede ser que el titular de los datos no haya abierto el email, no lo haya entendido, o simplemente no haya querido realizar la acción positiva de aceptar. Da igual el motivo, pues en principio tenemos que considerar que el consentimiento no ha sido otorgado.

A partir de aquí va a depender de si ese consentimiento era imprescindible o podemos reconducir la legitimación para el tratamiento a alguna otra fuente de las contenidas en el art. 6 del Reglamento General de Protección de Datos.

Si no existe otra base legítima, el consentimiento se hace obligatorio y por tanto, si no lo tenemos, no podemos seguir tratando esos datos.

Se hace necesaria entonces su supresión, pues tal y como dispone el art. 17 del RGPD: los datos han de ser suprimidos cuando retire el interesado retire el consentimiento. Podemos entender que el consentimiento con los requisitos del RGPD nunca ha sido otorgado y, por tanto, la permanencia de esos datos en poder del responsable no sería lícita.

Sí debemos mantener los datos cuando los mismos sean necesarios para el ejercicio del derecho a la libertad de expresión o información, para cumplir con una obligación legal derivada del derecho de la Unión; o para el cumplimiento de una misión realizada en interés público o en ejercicio de los poderes públicos; por razón de interés público en el ámbito de la salud; con fines de archivo, de investigación científica o histórica o fines estadísticos; o para el ejercicio de reclamaciones.

Por lo tanto, y a modo de conclusión, hemos de determinar en primer lugar, si existe o no necesidad de solicitar de nuevo el consentimiento, bien porque ya lo tuviéramos anteriormente con los requisitos que marca el RGPD, bien porque el tratamiento sea lícito de acuerdo a otra base de legitimación.

En caso de ser necesaria esa solicitud de consentimiento, si no ha sido otorgado correctamente, el responsable tendrá que abstenerse de hacer uso de los datos y proceder sin demora a su supresión, salvo que deba conservarlos en virtud de lo dispuesto en el  art. 17.3 del RGPD.

Marian Rojo Setién

Responsable del Área de Protección de Datos de Letradox Abogados

www.letradox.com

Asociada de ENATIC

El corta y pega…¡ya no se lleva!

Aunque el título de este artículo tiene todo su sentido,  la triste realidad es otra: “está de moda el corta y pega en las políticas de privacidad y en los avisos legales de muchos negocios cuyo escaparate es internet”.

Corta y Pega avisos legales políticas de privacidad ENATIC Abogacía Digital

Corta y Pega avisos legales políticas de privacidad ENATIC Abogacía Digital

En los tiempos que corren, todo aquel que se precie,  y más aún, todo aquel que quiera triunfar y conseguir hacerse un hueco en el mercado actual, debe contar con presencia en internet, por ello, tanto los más afortunados, aquellos que optan por tirar la casa por la ventana y tener una salida sonada, sin escatimar en la inversión que para ello deben realizar, como los más conservadores que prefieren subirse al carro de “hágaselo usted mismo”, abren sus puertas virtualmente con sus mejores galas, pero ¿cuántos lo hacen cumpliendo la normativa vigente?

Al igual que cuando se monta un negocio a pie de calle, en la nueva realidad que nos depara internet, cuando montamos nuestro negocio digital, somos conscientes de que tenemos que invertir, tanto en la imagen que queremos transmitir como en que se nos vea, y para ello, no pocos, nos rodeamos de los mejores profesionales que nos hagan diferenciarnos de nuestro competidores, pero, ¿somos conscientes de las consecuencias que comporta el principio “ignorantia iuris non excusat”?

En varias de las Jornadas sobre Privacidad y LSSI a las que he asistido, he coincidido con asistentes, entre ellos, algunos compañeros, que no dudaron en confirmarme que nunca se habían parado a mirar con detalle la política de privacidad y el aviso legal de su negocio digital, dando por hecho que los profesionales y diseñadores de páginas webs a los cuales habían contratado el servicio,  daban fiel cumplimiento a la legislación vigente en esas materias, pero, ¿realmente sus negocios digitales están cumpliendo la Ley?

En algunos casos, ni tan siquiera contaban con Política de Privacidad y Aviso Legal.

Llegados a este punto, cabe decir que, sí importante es el principio “ignorantia iuris non excusat” no lo es menos el dicho “Zapatero a tus zapatos”.

Vaya por delante que, lo que voy a exponer no es una generalidad, pero sí puedo decir que muchos desarrolladores web que diseñan verdaderas maravillas, ofreciendo con ello un escaparate y una imagen del cliente fabulosa, no cumplen ellos mismos con la normativa, por cuanto, mucho menos, van a poder ofrecer ese cumplimiento a sus clientes, a pesar de que la mayoría sí son conocedores de su existencia, quedando obligado todo negocio digital a su cumplimiento, sin estar exentos ni ellos, ni ninguno de sus clientes.

De lo expuesto, significar que, todo diseñador de webs debe ofrecer a sus clientes las máximas garantías y confianza, y lo hará, por un lado, dando ejemplo él mismo, al dar cumplimiento a la normativa vigente y por otro, entregando sus diseños aptos para la apertura al mercado digital, y para ello, debe contar, bien con sus propios expertos en privacidad y comercio electrónico, bien, con un partner de confianza, especialista en la materia,  al que acudirá para externalizar este servicio; no obstante, de contrario, y mucho más lejos de esta realidad, y reitero, sin que sirva ni se interprete como una generalización, son muchos los que se dedican a “cortar y pegar” las políticas de privacidad y los avisos legales de empresas del mismo sector sobre el que está trabajando, sin tener, o sí, conocimiento de los perjuicios que tal hecho puede comportar a sus clientes, y, por supuesto, pasando por alto, los derechos de los usuarios.

Como anécdota, podría dar más de un nombre de algún que otro escaparate digital de renombrados negocios que, en la actualidad,  en sus Avisos Legales, los desarrolladores han hecho tal labor de cortado y pegado, entiendo acción usual y rutinaria para ellos, que se han olvidado de cambiar las denominaciones, dando cumplimiento al Art. 10 de la LSSI no en nombre de su cliente, sino en nombre de otro, lo cual, dice muy poco del profesional, y por ende no deja bien al negocio, sin pasar por alto las consecuencias que lleva aparejado el incumplimiento del artículo 10, como es la imposición de sanción por comisión grave con multa de 30.001€ hasta 150.000€.

Mi intención con este artículo no es otra que, animar tanto a profesionales como a clientes a reflexionar sobre la importancia del cumplimiento de la legislación vigente en materia de LOPD y LSSI, por cuanto, por un lado, los clientes, tanto en el supuesto de que decidan hacérselo ellos mismos, como sí deciden contratar los servicios de profesionales, deben tener presente que existe una normativa al respecto, que como tal, está para cumplirla, sin olvidarse del principio “ignorantia iuris non excusat”, y por otro, los profesionales deben garantizar a sus clientes que “la entrega de la obra se hará con todas las licencias preceptivas y cumpliendo la normativa vigente”,  más que nada, para no encontrarse con la sanción y el consiguiente Derecho de repetición.

Es por todo lo expuesto, por lo que, os ánimo a que empecéis a tener en cuenta que el corta y pega, ya no se lleva, y que consideréis que contáis con profesionales que nos ponemos a vuestra disposición, en aras de dar cumplimiento a la legislación vigente en materia de LOPD y LSSI.

Fotografía: #46796759.

Autor: Sielan. Licencia Libre de Derechos. Fotolia

 

Eva María Calderón Palomar

Abogado. Responsable del Departamento de Derecho Digital y TIC en Epiqueya Abogados. Twitter

Directora de sicumple.com Twitter