Nuevo Reglamento General de Protección de Datos

¿Has pensado cómo vas a obtener o actualizar el consentimiento de tus clientes para poder tratar y usar sus datos personales en todas las interacciones de tu empresa con ellos?

A partir del 25 de mayo de 2018 entró en vigor el nuevo Reglamento Europeo de Protección de Datos (RPGD, también conocido como GDPR por sus siglas en inglés), en toda la Unión Europea. A partir de ese momento, las empresas no podrán utilizar los datos de sus clientes a menos que puedan demostrar para ello que tienen su consentimiento inequívoco.

Desde Telco te ayudamos a cumplir el RGPD explicándote a qué se refiere exactamente el nuevo Reglamento General de Protección de Datos con la expresión “consentimiento inequívoco”, qué opciones existen para cumplir con este requerimiento, y cómo podemos ayudarte nosotros a obtener dicho consentimiento inequívoco de forma fácil y rápida.

En cuanto al consentimiento, el artículo 3.h) de la Ley Orgánica 15/1999 lo define como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

A juicio de la Agencia Española de Protección de Datos, la interpretacioón que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, serán las siguientes:

• Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.

• Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD.

• Informado, es decir, que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.

• Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

¿Qué ocurre con los consentimientos obtenidos de mis clientes antes del 25 de mayo de 2018?

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD (el 25 de mayo de 2018) solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, cuando sean consentimientos inequívocos de la voluntad, pero también verificables.

El Grupo Europeo de Protección Datos del Artículo 29 (GT29) aconseja que todas las empresas revisemos los sistemas y procedimientos de recogida de datos personales para garantizar el cumplimiento de los requisitos previstos en el Reglamento. Es probable que, en muchos casos, estos sistemas y procedimientos deban ser actualizados.

Las empresas también debemos comprobar que los mecanismos para revocar fácilmente el consentimiento estén disponibles, y que se proporciona la información al interesado sobre los mismos. Así que para evitar la situación en la que el tratamiento de los datos personales se presentase como ilícito al no cumplir las exigencias del nuevo Reglamento, se recomienda conseguir de nuevo el consentimiento para todos aquellos clientes cuyo consentimiento se consiguió antes del 25 de mayo de 2018, probablemente sin tener en cuenta los requisitos que estipula el nuevo RGPD.

¿Qué opciones tenemos las empresas para cumplir con los requerimientos del consentimiento?

El Reglamento señala que la manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro. En su Considerando 32, el RGPD dice lo siguiente acerca de la declaración o acto afirmativo claro:

“Podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales” de manera que “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento“. Queda claro por tanto que el consentimiento tácito no es válido a partir del 25 de mayo de 2018.

El Grupo Europeo de Protección de Datos del Artículo 29 (GT29), indica que el concepto de “clara acción afirmativa” implica la realización de una acción deliberada por parte del interesado para mostrar conformidad con un tratamiento concreto de datos personales.
En el caso de los datos que se obtienen de forma online será válido insertar una casilla en un formulario web que permita acreditar que el interesado consiente la propuesta de tratamiento de sus datos personales. Como ya hemos comentado, esta casilla de ninguna forma puede estar premarcada.

Pero aunque pueda parecer sencillo incluir una casilla en una web que el usuario tenga que marcar para poder registrar su consentimiento, para que sea legítimo, tiene además que poder ser demostrable. Ya no basta con obtenerlo conforme a lo que estipula el RGPD , también debemos ser capaces de acreditar que así lo hemos hecho. El consentimiento debe ser acreditable gracias al principio de “accountability” o de “responsabilidad proactiva”.

¿Qué hay que hacer para que el consentimiento sea acreditable?

Para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente:

• ¿Quién otorgó su consentimiento?

Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento.

En caso de que se revoque, se debe poder demostrar cuándo fue revocado.

• ¿Cuándo y cómo se otorgó el consentimiento?

Si el consentimiento se realiza de forma online, es necesario obtenerlo con un sello de tiempo.
En el caso de que se obtenga el consentimiento de forma offline, hay que aportar una copia –con fecha y firma del interesado– del documento (consentimiento) con sus cláusulas informativas.

• ¿Qué información recibió la persona que consintió?

Para cumplir con la exigencia de mayor información que establece el RGPD, se recomienda implantar un modelo de información por capas o niveles:

• Primera capa: información básica
Esa información básica debe presentarse de forma que sea fácilmente visible para el interesado. Para identificarla se debe utilizar un título como “Información básica sobre protección de datos”.

• Segunda capa: información adicional
Esta información debe completar con todos los detalles la información resumida, así como añadir información adicional, requerida por el RGPD, y que no estuviera incluida en la primera capa.

Es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos. Varios casos:

• Formularios online: Se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes.

• Formularios offline: Se debe tener el formulario en papel, con la fecha y la firma del dueño de los datos, y con las cláusulas informativas que se le proporcionaron.

• Doble opt-in: Este es el caso en el que se envía al interesado un correo electrónico de verificación para confirmar su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.

• Telefónico: En una llamada telefónica se informa al interesado que para recoger su consentimiento vamos a grabar esa conversación. A continuación se le pide que se identifique, y se le lee toda la información referida al uso de sus datos. Por último, se le pregunta si da consentimiento o no para el uso de sus datos, en las condiciones y términos que le hemos informado.

¿Cómo se puede obtener el consentimiento inequívoco de forma fácil y rápida?

Como hemos comentado, hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento.

Por ello, es importante revisar los sistemas de registro del consentimiento, para que sea posible verificarlo ante una auditoría.

El responsable del tratamiento de los datos tiene libertad para implementar la forma de obtención del consentimiento que más se adapte a los procesos internos de la empresa, así como las medidas técnicas y organizativas más idóneas para demostrar el correcto procedimiento de obtención de la información.

Desde Telco podemos ayudarte construyendo un modelo de conversación que nos permita hacer entender al cliente la importancia de este proceso para el futuro modelo de relación. Puedes consultarnos si quieres recibir una propuesta.

Conclusión

Aquellas empresas que se pongan en marcha para cumplir con el nuevo Reglamento Europeo de Protección de Datos tienen una sola opción: realizar una análisis exhaustivo de cómo recogen y tratan datos y verificar si cumplen íntegramente con el Reglamento de Protección de Datos.
Las empresas no pueden fiarse de que actualmente estén cumpliendo con el nuevo RGPD, puesto que ha introducido cambios importantes con respecto a la ley anterior.

Además, es importante destacar que, junto con las altas sanciones previstas por incumplimiento de alguna de sus exigencias, debemos tener en cuenta el hecho de que la carga de prueba no recae sobre el demandante, sino sobre el demandado.

Para los nuevos clientes, debemos adaptar los mecanismos de recolección y tratamiento para respetar la nueva visión del Reglamento, que refuerza el consentimiento del usuario para que su voluntad no arroje dudas, es uno de los retos más importantes que los responsables del tratamiento tendrán que asumir en las empresas.

Solicítanos una propuesta para actualizar el consentimiento de tus Clientes

He leído y acepto la

7 + 11 =