reciclar consentimientos

Mucho Ojo al Reciclar Consentimientos

 

Que el titular recupere el control sobre sus datos es uno de los pilares del estándar de la “privacidad desde el diseño” o “privacy by design”.

En consecuencia, sabemos que el nuevo Reglamento Europeo de Protección de Datos acabará con cosas que hoy son habituales, como el consentimiento presunto, el consentimiento “ómnibus” sobre múltiples tratamientos de datos, las incomprensibles e interminables páginas de términos y condiciones, etc…

Pero todo esto ya lo hemos visto en detalle.

Bye, bye, baby

[ ] No, no deseo recibir comunicaciones comerciales.”

Ya debo saber que si he captado datos personales con fórmulas opt-out como ésta, en junio de 2018, por aplicación del RGPD, mi tratamiento de esos datos pasará a ser ilícito.

Desde esa fecha sólo valdrán este otro tipo de fórmulas opt-in:

[ ] Sí, acepto el tratamiento de mis datos.”

Y probablemente no me caiga una sanción de 10 millones de euros, pero tampoco es que me apetezca saber cuál será la cifra exacta de la multa. En mis carnes.

¿Entonces? ¿Cómo va a funcionar la cosa en junio del 2018?

Una solución quiero

El Reglamento General de Protección de Datos regula el consentimiento junto con otras bases que legitiman el tratamiento de datos personales: (contrato, obligación legal, interés público, interés legítimo del responsable).

Las soluciones posibles son tres. Hoy hablaremos de la primera. (Las otras dos son el interés legítimo -que comento aquí, aquí y aquí– y los tratamientos para finalidades compatibles (finalidades para las que no has pedido consentimiento pero que son compatibles con las consentidas).

Reciclar consentimientos

Solicitar de cada titular que reconfirme su consentimiento, pero esta vez cumpliendo las nuevas reglas.

O sea:

  1. Informar en detalle de cada uno de los distintos tratamientos proyectados.

  2. Captar el consentimiento inequívoco, en los casos en que dichos tratamientos así lo requieran.

Por suerte, el consentimiento explícito no es siempre necesario. Los tratamientos que requieren consentimiento explícito son, entre otros:

Precisamente el marketing directo es uno de los sectores más afectados por la nueva regulación: la mayor parte de los players ha obtenido datos personales bajo un marco normativo que tiene fecha de caducidad.

La misma fecha de caducidad que esas bases de datos, cuyo valor será nulo en unos meses.

La Zona gris

Y ojo aquí, porque las nuevas reglas no están tan claras como parece. Por ejemplo veamos este curioso tweet de hace unos días:


El caso es el siguiente. Y atención porque estamos hablando del «truco del almendruco»:

Una empresa solicita la confirmación o refresco del consentimiento de Rubén para seguir explotando comercialmente sus datos.

Si Rubén no lo otorga, no participará en el sorteo de un premio. Así que Rubén pregunta:

Querido Twitter de mi vida:

¿esta técnica es conforme con los exponendos del Reglamento General, en concreto el 42, al final?:

El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

¿El hecho de no poder participar en el sorteo si no “reconsientes”… ¿es un “perjuicio” invalidante del nuevo consentimiento?

La respuesta, en el hilo.

Peeeeero, como dice la suma sacerdotisa del Privacy by design, Mrs Ann Cavoukian, lo cierto es que la regulación de un concepto tan crítico como el consentimiento, no debería dejar lugar a dudas.

 

 

(Continuará)

Jorge García Herrero, Abogado.

jorge.garcia.herrero.com