legalización de consentimientos

Lega legalización de consentimientos con el RGPD

Legalización de consentimientos

De lo poco realmente interesante que hemos sacado de las (esperadísimas) guidelines sobre el consentimiento que el Grupo de Trabajo del 29 publicó en diciembre de 2017, estaba este parrafito que abre una autopista para la legalización de consentimientos:

 

Quien considere que los consentimientos obtenidos no cumplen el nuevo estándar del RGPD (consentimiento separado e inequívoco, explícito en sus debidos casos, etc… -como explico por aquí-) deben evaluar si podrían continuar su tratamiento pasándose a otra base legal (contrato, disposición legal, interés legítimo, interés general, etc).

Pero ¡ojo cuidado! esta es una oportunidad excepcional derivada de la entrada en vigor del RGPD.

Cuando éste entre en vigor, ya no será posible hacerlo como hoy, sin dar más explicaciones.

Es muy importante entender esto para evitar meterse en «territorio comanche». Entendiendo por «comanche» a la AEPD.

¿Cómo hacer esto de la legalización de consentimientos? Te lo explico

Quiero decir lo siguiente:

Si tus consentimientos no te sirven porque no cumplen los nuevos requisitos, puedes:

  • “saltar” a otra base legítima (el Grupo de Trabajo del 29 sólo apunta, pero la AEPD sí dispara en su guía para encargados del tratamiento: la más obvia es el interés legítimo), pero hay otras vías, como la de tratamientos compatibles del art. 6.4 del mismo RGPD).
  • Siempre que, por supuesto, esta nueva opción cumpla con el RGPD. Si no, no te quedará otra que paralizarlo.
  • Pero hay que hacerlo antes de la aplicación del RGPD (25 de mayo de 2018). Este tren sólo pasa una vez (“one off”, como dicen las guidelines).

Este tren sólo pasa una vez

Lo importante es esto último: este “salto” no se podrá hacer con posterioridad “sin dar mayores explicaciones”: el RGPD obliga ahora a informar (antes no era necesario) de la base legítima de tu tratamiento antes de captar los datos del titular (si lo haces directamente de él) o a la primera ocasión (en todo caso, no más tarde de un mes) si no.

Este mayo, las explicaciones serán: “Ya sabes, el RGPD

 

Pero una vez que el RGPD sea completamente aplicable, si informaste en su día de que tu base de legitimación era el consentimento, al saltar al, por ejemplo, interés legítimo, tendrás que notificarlo de nuevo a los interesados, exponiéndote a que te hagan preguntas incómodas (“¿por qué me pediste inicialmente mi consentimiento?” “¿por qué cambias ahora?” “¿lo que has hecho mientras con mis datos, estaba bien hecho?” “¿en qué me afecta este inopinado cambio?”).

O directamente, que te denuncien. Cuanto más tiempo pase desde mayo de 2018, más complicado se pondrá lo de encogerse de hombros…

Este es el objeto de las obligaciones de transparencia: permitir a los interesados tener la información suficiente como para poder confiar en las organizaciones que tratan sus datos, y verificar que estas hacen lo que dicen hacer. «Trust but verify«, como postula la Dra Cavoukian en uno de los siete principios de su estándar Privacy by design o privacidad desde el diseño.

Peor el remedio que la enfermedad

La otra opción es “saltar” a la nueva base legítima sin decir nada a nadie, algo que infringiría frontalmente la obligación de transparencia (art. 13 y 14 del RGPD) por no hablar de que dejaría al responsable hecho unos zorros en términos de accountability. Y no me lo invento, lo dice el GT29 en las mismas guidelines citadas:

El riesgo de no hacer nada

Este tren sale el próximo 25 de mayo.

No mires por encima del hombro: te estoy hablando a ti.

Ya sabemos que la senda del interés legítimo no es, precisamente, un camino de rosas. (Para saber más pincha por aquí, aquí o aquí o visita mi guía sobre el RGPD aquí).

Pero es el camino. Y se hace al andar.

Jorge García Herrero

Abogado y Delegado de protección de datos.

jorge garcia herrero. abogado puntocero