Nuevo Consentimiento en el Reglamento General de Protección de Datos

El Nuevo Consentimiento en el Reglamento General de Protección de Datos

El Reglamento Europeo de Protección de Datos (que ya ha entrado en vigor) se aplicará a partir del próximo 25 de mayo de 2018.

La nueva configuración del consentimiento es un buen ejemplo del “impacto múltiple” que el Reglamento va a tener en nuestra forma de trabajar -como empresa- y de conducirnos -como usuarios-.

Como ejemplo ilustrativo de este impacto múltiple, os propongo este bonito fragmento de la película “Gravity”: vean, vean.

Se ha destacado como novedad importante del Reglamento, el fin del consentimiento tácito al tratamiento de datos. Es decir, la prohibición de considerar otorgado el consentimiento en determinados casos cuando el titular de datos no se oponga expresamente al tratamiento.

Y la necesidad de «regularizar» los consentimientos tácitos recabados hasta la fecha.

Si quieres saber más sobre este tema, te recomiendo este post.

En mi modesta opinión, si hablamos de consentimiento, esta no es la novedad más importante: la consagración del estándar de la privacidad desde el diseño obligará a las organizaciones a reinventar  aspectos esenciales de sus tratamientos.

Como veremos en este post, esto ya está ocurriendo con el consentimiento.

Veamos.

Bienvenidos al «Consentimiento Vertebrado»: un consentimiento informado, pero de verdad

Con el nuevo Reglamento Europeo de protección de datos, será necesario que el interesado o titular de datos, entienda de verdad las consecuencias de su consentimiento.

Y ello a consecuencia de la consagración del estándar de “privacidad desde el diseño” o «privacy by design«.

El consentimiento ya no será un “Sí, quiero (para siempre)”: algo que se presta, como en el matrimonio de una inocente pareja de mozalbetes: una vez y para siempre (y, como ellos, sin tener mucha idea de lo que se les viene encima).

El consentimiento tiene que ser, de verdad, informado. No como hasta ahora.

Una de los medios más llamativos y eficaces para conseguir este noble objetivo es la vertebración o estructuración del consentimiento.

Importantes empresas se han adelantado a la vigencia del Reglamento y nos solicitan ya consentimientos parciales (y revocables) a medida que, como usuario, demandamos prestaciones concretas de sus servicios.

Lo veremos con un par de ejemplos reales y cotidianos.

¿Por qué, señor, por qué?

El nuevo Reglamento Europeo de Protección de Datos exige la aplicación simultánea de distintos principios. En lo que ahora interesa: privacidad por defecto, integrada en el diseño, minimización de datos, transparencia y empoderamiento del usuario.

El principio de privacidad por defecto exige que el sistema este concebido para funcionar de la forma más respetuosa para la privacidad del usuario, hasta que éste no autorice activamente otra cosa.

El principio de privacidad desde el diseño exige que esa privacidad por defecto esté integrada en el propio sistema desde su concepción, en vez de ser una capa de seguridad aplicada a posteriori sobre el mismo.

Si quieres saber más sobre el estándar “Privacy by design” o privacidad desde el diseño, puedes leer este post.

El principio de minimización de datos impone la reducción al mínimo imprescindible en cuanto a datos tratados, perímetro del tratamiento, tiempo de custodia y acceso de terceros.

Si quieres saber más sobre el principio de minimización de datos y sus ventajas, puedes leer este post.

El principio de transparencia exige que la política de protección de la privacidad (de un sistema, servicio, empresa) sea pública y además verificable por usuarios y resto de partes interesadas en los tratamientos de datos que se desarrollen.

El principio de empoderamiento del usuario exige que el usuario tenga el control último sobre sus datos y los tratamientos realizados sobre los mismos por terceros.

Si quieres saber más sobre estos dos principios (transparencia y empoderamiento del usuario), puedes leer este post.

Estos principios aplicados en el ámbito de las apps explican la atomización y vertebración del consentimiento: las nuevas solicitudes de permisos o “pequeños consentimientos” en las últimas versiones de nuestros teléfonos Android y Apple, para ejecutar determinadas acciones.

Ahora, el consentimiento se presta en pequeñas dosis o vértebras, que se enganchan entre sí. De este modo, puedes autorizar o consentir determinadas cosas y otras no.

consentimiento RGPD

Doble factor de autenticación en Google

Primera autenticación en Gmail-Android

Como soy un chico informado y me tomo estas cosas en serio, tengo mi cuenta de Gmail protegida con doble factor de autenticación (“2FA”): por eso, la primera vez que accedo a mi cuenta de Gmail desde un móvil android nuevo, Google me solicita un código de seguridad que es enviado por sms a mi móvil.

Vale, los expertos dicen que el SMS no es un método completamente seguro, pero ¡bien!, es una mejora: una capa de seguridad que se agradece para evitar el robo de cuentas.

Si quieres saber más sobre el doble factor de autenticación y la LOPD, puedes leer este post.

Pero ¡un momento! Cuando me llega el SMS con el código de seguridad, de pronto la app de Gmail me pide acceso a mis SMS… para ahorrarme el “trabajo” de copiar y pegar el código de seguridad del sms recibido a la pantalla de seguridad.

Buen intento, Google. Ese acceso me parece excesivo.

Deniego mi consentimiento, invierto un par de segundos en copiar a dedo el código.

Compruebo que todo sigue funcionando perfectamente.

Estupendo. A otra cosa.

Otro ejemplo: Transferencia desde app bancaria

Ordeno una transferencia bancaria desde el móvil. Mi banco me envía una clave específica (o «token») via SMS.

En ese momento, la aplicación “Mensajes” de google me pide dos autorizaciones:

La primera, para acceder al almacenamiento del dispositivo:

consentimiento y RGPD

No, no quiero.

La segunda, para acceder a mi ubicación.

consentimiento y RGPD

Tampoco quiero

Mi respuesta es “no”, en los dos casos.

De acuerdo con mi criterio, la solicitud de acceso a mis datos almacenados (y a mi ubicación, también) es desproporcionada en relación con la finalidad de la aplicación (y sobre todo de la mía).

Sin acritud, Google.

Compruebo que la transferencia se ha producido a pesar de mis negativas.

¿¿POR QUÉ EL CONSENTIMIENTO VERTEBRADO ES MEJOR QUE EL «SÍ QUIERO” DE TODA LA VIDA??

Lo importante es que las solicitudes de estos permisos (estas vértebras o dosis de consentimiento) son autoexplicativas, transparentes para el usuario.

Este sistema me permite, como usuario, comprender perfectamente las circunstancias y finalidad del consentimiento que se me solicita.

Si quiero incluir un gif en un tuit, twitter me pide permiso para acceder a mis archivos.

Si no lo doy, me quedo sin gif.

Y siempre puedo dar el permiso y revocarlo después.

Lo bueno es que se me pide mi consentimiento precisamente en el momento en que estoy pidiendo algo al servicio, a la aplicación.

De este modo comprendo perfectamente por qué se me pide mi permiso. Y puedo valorar de forma simple e intuitiva si lo que me piden está justificado para lo que quiero. Y aceptar o no aceptar.

Todo ello en un segundo, sin tener que leer y comprender cincuenta páginas de términos y condiciones, como hasta ahora.

Las vértebras o permisos están conectadas entre sí, de modo que en algunos casos, y de la misma forma transparente y comprensible para el usuario, mi denegación de algún permiso, me impedirá el acceso o alguna de las prestaciones del servicio, o a un conjunto de ellas.

Fácil. Y justo, creo yo.

VENTAJAS PARA EL USUARIO, Y PARA LA EMPRESA

De este modo, mi consentimiento es objetivamente más informado y consciente, y además –y esto es muy importante- más reconfortante como usuario, porque siento que tengo el control y que se me ha tenido en cuenta.

Es un Win-win “de libro”: se consigue un consentimiento jurídicamente más perfecto, y adicionalmente más valioso en la relación con el usuario, que pasa a tener control sobre sus datos, y confianza en el servicio.

Es un ejemplo muy simple de los cambios múltiples (y no tan simples) que, como asesor, estoy ayudando a implementar a organizaciones que realizan tratamientos de datos.

Y que disfrutaré como usuario.

El tiempo corre inexorable, y la lluvia de meteoritos está cada vez más cerca.

Espero que el Reglamento no le pille en el vagón de los que no hicieron los deberes.

Muy buena semana.

Jorge García Herrero, Abogado

Image by Lucien Monfils – Own work, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=15958591