El derecho de cancelación de los datos está reconocido en la normativa de protección de datos y supone, en la práctica, la posibilidad de rescindir o anular el acuerdo entre un ciudadano y una empresa o entidad por el que se había autorizado a esta la utilización de datos personales con unos fines concretos.
Si tienes una empresa o manejas, habitualmente, datos personales, lo ideal es que profundices todo lo que puedas en el conocimiento del nuevo Reglamento General de Protección de Datos (RGPD), ya que su incumplimiento conlleva graves sanciones económicas. Además, no importa si cometes el fallo sin mala intención o se trata de un error informático. El peso de la ley caerá, igualmente, sobre ti.
Si, por el contrario, eres un usuario o cliente, gracias a esta normativa, tus derechos se ven reforzados y dispones de mayores garantías y procedimientos para que tus datos personales no se utilicen sin tu consentimiento o conocimiento.
¿Qué pasa con los datos de los antiguos clientes de una empresa?
Este derecho se puede hacer efectivo, por ejemplo, en los casos de los antiguos clientes de una empresa que solicitan la supresión de la información relativa a su identidad y el cese de cualquier uso posterior. La ley marca que solo puede hacer la solicitud de la cancelación la persona titular de los datos.
Armonización europea de la protección de datos
El nuevo RGPD armoniza la legislación sobre protección de datos de toda la Unión Europea y entra en pleno vigor el 25 de mayo de 2018. Las empresas, tanto las europeas como aquellas que interactúan con clientes europeos, se enfrentan, a partir de esa fecha, a nuevos y exigentes requisitos. Quizás el mayor impacto inicial se sentirá en la forma de recopilar datos. El registro de información personal (nombre, correo electrónico, etc.) es una parte esencial de casi todas las estrategias de marketing de las empresas.
Sin embargo, el RGPD establece requisitos estrictos. A partir de ahora, es necesario un consentimiento expreso para el uso de esos datos con un fin concreto. El consentimiento tácito ya no es válido.
Vigilancia de la protección de datos
Ahora, las empresas deben tener una actitud vigilante respecto al uso que hacen sus empleados de los datos personales de sus clientes. La responsabilidad última del error recae en ellas, con independencia de que haya habido un fallo humano.
En lo que respecta al consentimiento, este debe darse de las siguientes maneras:
- Mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado con el procesamiento de datos personales relacionados con él.
- En el caso de que tengas una empresa, cada vez que solicitas datos, necesitas el consentimiento. Un único consentimiento no cubre todas los propósitos y debes dar explicaciones de lo que planeas hacer con ellos.
- La nueva legislación también agrega nuevos requisitos de autorización parental para la recolección de datos de los niños menores de 13 años, mientras que categorías especialmente sensibles, como origen étnico, creencias religiosas, afiliaciones políticas, información médica y orientación sexual, requieren un consentimiento todavía más explícito.
Formularios
Para muchas empresas, todos los cambios que introduce el RGPD pueden obligarles a cambiar sus procedimientos de acopio de datos; como, por ejemplo, los formularios de registro de clientes en bases de datos. Si tienes una empresa, ya no podrás confiar en el consentimiento implícito. De acuerdo con la ley, la inacción por parte de un usuario no supone el consentimiento.
Además, si eres un cliente, ya no es lícito que te «engañen» con el lenguaje enrevesado de un formulario o documento de política de privacidad. Ahora los textos deben ser de fácil acceso y simples de leer y entender. Esto incluye una explicación acerca de cómo se procesarán, legalmente, tus datos.
Forma de consentimiento
Cómo obtener el consentimiento es algo que puede incluir, entre otras, las siguientes fórmulas:
- Una declaración escrita incluso por medios electrónicos
- Una declaración oral
- Marcar una casilla en un sitio web
El derecho al olvido
El derecho al olvido es el que todo ciudadano tiene a que se eliminen sus datos de un determinado lugar de almacenamiento. También es conocido como derecho de cancelación o a la supresión y está contemplado en el artículo 17 del RGPD.
Establece que, en ciertas circunstancias, una persona puede presentar una solicitud al controlador de datos (normalmente, una empresa), para que elimine su información personal o evitar un procesamiento posterior de esa información. El derecho a borrar se aplica cuando:
- La información personal deja de ser necesaria para el fin con el que fue recopilada en un principio
- El individuo retira, específicamente, el consentimiento para el procesamiento (y, si no hay otra justificación u otro interés legítimo, para el procesamiento continuo)
- La información se ha tratado incumpliendo la ley
- Los datos deben borrarse para que el controlador cumpla con las obligaciones legales (por ejemplo, la eliminación de ciertos datos, después de un período de tiempo determinado)
Si una de las condiciones anteriores se aplica bajo este derecho, es responsabilidad del controlador eliminar los datos sin demora indebida; y, específicamente, dentro de un mes, a menos que se apliquen circunstancias específicas.
En los casos en los que los datos personales se han compartido con terceros o puesto a disposición del dominio público, el RGPD establece que es responsabilidad del controlador de los datos dar los pasos para informar a otros medios de la solicitud de borrado y exigirles cumplir con la eliminación.
Equilibrio
El derecho al olvido debe estar equilibrado con la libertad de información y el interés público. Las excepciones y razones para negarse a cumplir incluyen:
- El derecho a la libertad de expresión e información
- Cumplimiento de obligaciones legales o autoridades oficiales
- Motivos de salud pública o la realización de una tarea de interés público
- Archivar con fines de interés público, investigación científica, investigación histórica o análisis estadístico
- Si es necesario para el ejercicio o la defensa de reclamaciones legales
El mayor desafío relacionado con el derecho de cancelación de los datos es que los controladores de la información (normalmente, las empresas) tienen la responsabilidad de sopesar esta solicitud, para equilibrarla con otros derechos e intereses en competencia. No obstante, en la mayoría de los casos, tomarás la decisión acertada, aplicando el sentido común.