Seguramente, te habrás preguntado «¿cómo consentimiento expreso de RGPD?» cuando has oído hablar de lo que exige el nuevo Reglamento Europeo sobre permiso de tus clientes para manejar sus datos. Porque eso del consentimiento expreso te habrá parecido poco claro.
Y es que, hasta la entrada en vigor de la citada norma el pasado 25 de mayo, bastaba con que obtuvieses de aquellos una suerte de consentimiento tácito respecto al archivo y uso de sus datos personales. Sin embargo, ahora los requisitos para poder hacerlo se han endurecido, pasando a exigirte el mencionado consentimiento expreso.
Vamos a explicarte las principales diferencias entre uno y otro para que no tengas dudas y, sobre todo, para que no te veas sancionado con alguna de las importantes multas que prevé el citado RGPD en caso de mala práctica.
Consentimiento en LOPD y consentimiento en RGPD
Hasta el pasado 25 de mayo, la norma que estaba vigente respecto a la protección de datos era la LOPD. Esta igualmente te obligaba a obtener consentimiento de tus clientes respecto al archivo y utilización de sus datos. Pero, salvo para los especialmente sensibles como información médica o creencias religiosas, bastaba una especie de consentimiento tácito.
Este consistía por ejemplo, en algunas páginas web, en que ya venía marcada la casilla correspondiente y, si no querían prestarlo, tenían que desactivarla. Dicho de otra forma, era un consentimiento libre e inequívoco en el sentido de que exigía una omisión por parte del interesado: la de eliminar la citada casilla.
Podría decirse que el consentimiento en la LOPD era laxo. Sin embargo, el nuevo RGPD es más estricto al respecto. El consentimiento sigue siendo uno de los principios esenciales de la protección de datos, pero en este reglamento te exigen que seas mucho más minucioso al recabarlo y siempre ha de ser expreso.
El consentimiento en el Reglamento Europeo de Protección de Datos
El RGPD define el consentimiento como una afirmación libre del interesado mediante la cual acepta que sus datos sean archivados y tratados, pero solo para una finalidad determinada y bajo unas condiciones concretas respecto a las que debe estar informado con anterioridad.
Debes, por tanto, obtener un consentimiento explícito de tus clientes para manejar sus datos personales y tienes una responsabilidad proactiva respecto a ellos. Y ese consentimiento se rige por cuatro parámetros.
En primer lugar, deben estar informados. Ello requiere que les comuniques la finalidad para la cual deseas su información, como vas a utilizarla, el nombre de quien va a hacerlo y, finalmente, cuáles son sus derechos al respecto. Explicado con un ejemplo práctico. Tendrías que hacer saber a tus clientes que vas a usar su información para enviarles publicidad, dónde va a quedar archivada aquella, bajo la responsabilidad de quien y que les asiste el derecho a cancelar su consentimiento e incluso el derecho al olvido, este último una de las grandes novedades del nuevo Reglamento y del cual te hablaremos.
En segundo término, ese consentimiento debe ser dado en libertad. Para obtenerlo, por ejemplo, no puedes ofrecer descuentos en tus productos u otras condiciones.
En tercer lugar, tiene que ser específico. Ello significa que solo podrás utilizar los datos para la finalidad que les has explicado. Continuando con el ejemplo anterior, únicamente podrás usarlos para enviarles publicidad.
Finalmente, ese consentimiento debe ser inequívoco, es decir, tienes que hacer entender perfectamente a tu cliente a qué está dándolo. Así, no puedes camuflar la prestación del consentimiento entre las condiciones de un servicio que le vas a prestar.
Por otra parte, el Reglamento Europeo de Protección de Datos te exige una serie de condiciones para que el consentimiento que has recabado sea legítimo.
Primeramente, debes ser capaz de demostrar que han consentido en que trates sus datos personales, por ejemplo, guardando una declaración firmada por parte de ellos.
Asimismo, el consentimiento tiene que ser distinto. Es decir, en el mismo caso, que la citada declaración no se refiera, además, a otros temas. Igualmente, debe ser inteligible (en lenguaje llano) y de acceso sencillo para el cliente.
También tiene que prestarlo, como te decíamos, en absoluta libertad. No cabe la posibilidad de que lo haga, por ejemplo, supeditado a que realices un trabajo para él y luego uses sus datos personales con otra finalidad como la de enviarle publicidad.
Finalmente, has de saber que ese consentimiento puede ser revocado. Tu cliente puede rectificar su autorización en cualquier momento y debe tener la posibilidad de hacerlo de una manera tan fácil como le fue prestarlo.
Además y respecto a esta última condición, tenemos que hablarte del derecho al olvido. Es una de las grandes novedades del RGPD y está pensado especialmente para Internet, aunque es aplicable para todos los ámbitos. Consiste, básicamente, en que tu cliente tiene derecho a borrar todos sus datos que se hallen en la Red.
Pensemos, por ejemplo, en que tengas usuarios registrados en tu web. En su momento, lo hicieron por propia voluntad, pero ahora quieren borrar sus datos. Pues bien, estás obligado por el nuevo Reglamento a permitirles que puedan hacerlo por sí mismos.
Probablemente, te estarás preocupando al pensar cómo puedes hacerlo. Sin embargo, las nuevas tecnologías han pensado en todo y existen plugins para ello. Por ejemplo, Delete Me. Basta que lo añadas en tu página a disposición del cliente. No obstante, debe estar en un lugar de fácil acceso para él. Por ejemplo, en «Mi cuenta» a través de una nueva pestaña.
Si, en cambio, tienes un negocio físico y has solicitado del cliente el consentimiento mediante un documento escrito. Para garantizar su derecho al olvido puedes incluir adjunto a tal documento otro con el cual pueda ejercer ese derecho cuando quiera con solo enviártelo.
En conclusión, si te hacías la pregunta mencionada al principio («¿cómo consentimiento expreso en RGPD?»), esperamos haberte aclarado las cosas. A modo de resumen, te diremos que el nuevo Reglamento Europeo de Protección de Datos es más estricto que la ley anterior. Te exige que recabes el consentimiento de tus clientes de forma libre, informada, explícita, clara e inequívoca. Y, además, estos deben tener la posibilidad de ejercer su derecho al olvido.