El Reglamento 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016, que lleva dos años en vigor, pero no empieza a aplicarse hasta el día 25 de mayo de 2018, ha introducido muchos cambios respecto a la manera que las empresas deben tratar los datos de sus clientes y usuarios. Uno de los más significativos ha sido la profunda revisión del consentimiento otorgado.
Si tienes un negocio online o eres internauta (estás leyendo esto, así que lo eres) estás de enhorabuena, puesto que estás apunto de conocer cómo afecta el nuevo consentimiento de la RGPD a Internet.
Realmente no es que haya puesto patas arriba la red, pero sí que ha hecho sudar a más de una empresa por el miedo a no realizar los cambios pertinentes antes de la aplicación del reglamento. Pero tranquilo que no es el apocalipsis y, al igual que hicimos con los nuevos derechos incluidos en el reglamento, vamos a explicarte qué hay de nuevo.
La obtención del consentimiento en la GDPR
El GDPR exige que el consentimiento sea libre, informado, específico e inequívoco –ahí es nada-.
El consentimiento inequívoco podríamos decir que es la novedad estrella, y puede ser definido como aquel que ha sido prestado mediante una manifestación del interesado o una acción que sea claramente afirmativa. ¿Y esto qué quiere decir? Pues muy sencillo, ¡Desaparece el consentimiento tácito!
Lo decimos gritando porque Nostradamus ya lo predijo. ¡Es broma!, en realidad, creemos que no lo predijo, pero sí que es muy importante tenerlo en cuenta.
Para que se entienda, el consentimiento tácito es aquel que se da cuando podemos manifestar un acto de voluntad contrario y, aun así, no lo llevamos a cabo, de esta manera se presume que aceptamos el acto mediante nuestra inacción. Este tipo de consentimiento ya no es válido para guardar datos de nuestros usuarios, es importante saberlo.
El consentimiento exige, por lo tanto, una acción positiva del interesado, por lo que ya no se podrán instalar formularios de recolección de datos con la casilla de “acepto” marcada, sino que el usuario deberá dar el check para que el consentimiento sea válido.
Obligación de informar con claridad
Como hemos dicho, el consentimiento debe ser informado. Esto ha creado algunos problemas interpretativos entre los juristas, ya que, en principio, casi todos los permisos dados por los usuarios en Internet correspondían a la aceptación de una serie de cláusulas que el propietario de la web incluía en su política de protección de datos y que todos, sin excepción, leíamos. Ya, ya…
La práctica es la siguiente:
Hace unos años, la web de la empresa británica GameStation incluyó para el día de los santos inocentes británicos, el April Fool's Day, un mensaje en su aviso legal y que hizo picar a más de 7.500 clientes. El mensaje en cuestión decía: "Al enviar una orden de compra por la web el primer día del cuarto mes del año 2010, Anno Domini, estás de acuerdo en concedernos la opción no transferible de reclamar, por ahora y para siempre, tu alma inmortal”.
Nadie lee los avisos legales, pero si no quieres arder en las laderas del averno junto al marketing intrusivo lee, por favor.
Para facilitar que los usuarios no tengan que descifrar grandes parrafadas y difícil terminología jurídica, el RGPD exige que la información que se proporcione para conseguir el consentimiento para el tratamiento de datos sea concisa, transparente, inteligible y de fácil acceso.
Es decir, que se realice en un lenguaje sencillo y claro, para que cualquiera pueda leerlo sin mayores problemas y sepa lo que está aceptando.
Los consentimientos otorgados antes de la entrada en vigor
El reglamento tiene aplicación retroactiva en lo que a la obtención del consentimiento se refiere, por lo que, si queremos conservar los datos personales de nuestros usuarios, estos deberán haber sido recabados sin contradecir los principios del RGPD.
Si no tenemos seguridad de que los datos que estamos tratando hayan llegado a nuestra base de datos por medio de un consentimiento informado, libre, específico e inequívoco, entonces nos veremos en la obligación de contactar con las personas afectadas y conseguir un nuevo consentimiento, que se adecúe al reglamento.
Esto puede resultar engorroso y también puede que nos haga perder datos por el camino, pero hay que hacerlo para no arriesgarnos a que cualquier tipo de reclamación nos exponga a una investigación por parte de la Agencia Española de Protección de Datos –cuyas multas no son moco de pavo-.
En el caso de que hayamos conseguido los datos de la manera reglamentaria, no deberemos hacer nada, que será en la mayoría de los casos, ya que las tendencias y buenas prácticas marcadas por el marketing online, que suelen ser seguidas por la mayoría de los e-commerces y blogs, llevaban años centrándose en un consentimiento de estas características.
Modificación del motivo de la obtención de datos
Distinto al caso anterior, es cuando ha variado el fin por el que recabamos los datos a tratar.
Para este caso, el RGPD exige que se recabe un nuevo consentimiento. Pero no siempre, solo se requiere para cuando los nuevos fines sean contrarios al originario.
Por ejemplo, si en un principio informamos que los datos serían utilizados para actividades relacionadas con el marketing, pero que no se cederían a terceros y finalmente lo hacemos, necesitaríamos tener un nuevo permiso del afectado que nos habilite para ello.
Recuerda que el reglamento será de aplicación el 25 de mayo de 2018 y para entonces todas las webs deberán estar adaptadas a la nueva normativa. El consentimiento es la piedra angular sobre la que gira el derecho de protección de datos en el ordenamiento jurídico europeo, sin él o si ha sido recabado de manera defectuosa nadie podrá tratar nuestros datos. Pero no solo eso, el consentimiento es esencial hasta para firmar un contrato hipotecario y su defecto sería la base sobre la que se basaría un equipo jurídico para reclamar el IRPH de una hipoteca. Ya conoces cómo afecta el nuevo consentimiento de la RGPD a Internet y todos sus secretos. ¡Nos vemos pronto!
