El próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Se trata de una norma de la Unión Europea que busca mejorar la seguridad de los ciudadanos del Viejo Continente, en lo que respecta al uso que las empresa hacen de nuestros datos personales. En este sentido, impone restricciones a la obtención de información, condiciona su uso y señala duras sanciones para quien lo incumpla. Uno de sus aspectos fundamentales es el que se refiere al consentimiento para el tratamiento de datos. En otras palabras, cómo debéis actuar las empresas para conseguir la autorización de archivar y hacer uso de datos personales.
Consentimiento y protección de datos en el RGPD
La normativa existente hasta ahora (Ley Orgánica de Protección de Datos) era bastante permisiva, en lo que a la obtención de datos personales se refería. Podemos distinguir tres tipos de consentimiento. Uno es el expreso, cuando afirmas, explícitamente, que alguien puede hacer algo. Por ejemplo, cuando marcas una casilla que dice que deseas que te envíen información. Otro es el presunto, cuando, siendo advertido de que la van a enviar si rellenas tus datos, lo haces igualmente. Y un tercero es el tácito, equivalente al silencio. Por ejemplo, si estás, igualmente, advertido y no aceptas ni te opones.
Todos ellos eran considerados válidos por la citada ley. Y, en cualquiera de esos casos, una empresa podía utilizar esos datos personales tanto para enviar publicidad propia como de terceros. Sin embargo, eso cambia radicalmente con el nuevo Reglamento General de Protección de Datos.
Tanta importancia otorga al consentimiento que incluso el llamado Grupo de Trabajo del Artículo 29, organismo de la Unión Europea dedicado a la protección de datos, ha publicado una guía sobre él. En ella, señala claramente lo que se entiende por consentimiento, en lo que respecta al nuevo Reglamento.
Así, expone que el único consentimiento válido es el explícito. Pero, además, tiene que cumplir varios requisitos:
– Debe ser libre. No es válido cuando exista un desequilibrio entre quien lo da y quien lo recibe. Por ejemplo, entre empresa y empleado. En este sentido, conviene aclarar que el Reglamento te permite utilizar los datos del trabajador siempre que resulte necesario y lo hagas en el marco de la relación laboral. Un caso claro es el de la elaboración de las nóminas, para la cual tienes que usar los datos de los empleados y no precisas su autorización. Sin embargo, en otros, tienes que solicitar su consentimiento e informarles de su derecho a rectificarlos y cancelarlos.
– Tiene que ser inequívoco. Esto significa que el titular de los datos debe afirmar taxativamente que permite su utilización. Por tanto, quedan invalidados el consentimiento por silencio e incluso la utilización de casillas ya marcadas.
– Debe ser específico. Además, cuando pides el consentimiento, tienes que exponer al interesado cuál es la finalidad para la que necesitas esos datos personales.
– Informado: el titular de los datos debe recibir por tu parte la suficiente información para prestar su consentimiento. En este sentido, es imprescindible que le facilites al menos la siguiente: la identidad de la persona responsable de su tratamiento, la ya mencionada finalidad a la que los vas a destinar y el derecho a revocar su consentimiento. Asimismo, toda esta información y la solicitud de consentimiento deben aparecer en un lenguaje claro y fácil de entender. Por ejemplo, en un contrato, esa petición no puede aparecer entre sus condiciones, sino de manera separada.
– Revocable: un punto muy importante para quienes nos dedicamos a la consultoría de protección de datos es que ese consentimiento es revocable. Los titulares de los datos tienen derecho a retirar la autorización para su uso en cualquier momento y sin perjuicio alguno.
Además, cuando vayas a recabar datos especialmente protegidos o hacer un uso internacional de estos, necesitarás una declaración de consentimiento todavía más explícita. Por ejemplo, a través de un correo electrónico, un formulario cubierto, un texto escaneado o una firma electrónica. No obstante, para exponer más claramente lo relativo al consentimiento en el nuevo RGPD, quizá sea mejor utilizar algunos ejemplos.
Consultoría de protección de datos: ¿puede otorgarse el consentimiento a través de páginas web?
Efectivamente. En tales casos, puedes hacerlo marcando con un clic la casilla informativa o aceptando las cookies. Sin embargo y como decíamos, no son válidas las casillas que vienen marcadas por defecto. Además, quien almacena los datos está obligado a entregarlos a un tercero si lo pide su titular. Es lo que se llama «portabilidad de datos» y se da, por ejemplo, al cambiar de compañía telefónica.
¿Qué sucede con los datos sanitarios?
Especial relevancia en el nuevo Reglamento tienen los datos sensibles, como los sanitarios. Respecto a estos, debes dar un consentimiento explícito e inequívoco, salvo que se recaben por interés de tu propia vida o para aplicarte un tratamiento, en cuyo caso solo podrán ser manejados por personas sujetas al secreto profesional.
¿Puede un menor autorizar que se usen sus datos personales?
También es sensible el uso de datos pertenecientes a menores de edad. Y sobre ello se detiene el Reglamento para diferenciar dos casos:
– Mayores de 16 años: en tal caso, es lícito manejar sus datos, siempre y cuando ellos lo hayan autorizado explícitamente a través de un formulario adaptado a su capacidad de entendimiento. No obstante, se deja a criterio de los diferentes países de la Unión Europea reducir esta edad. Sin embargo, nunca debe ser inferior a 13 años (en España, se ha establecido el límite de los catorce).
– Menores de 16 años: es necesario el consentimiento de sus padres o quien ejerza la patria potestad o tutela.
Asimismo, en los casos de archivo de datos de menores, estos pueden revocar la autorización al convertirse en adultos y no pueden usarse para tomar decisiones acerca de su personalidad.
En conclusión, el nuevo Reglamento es especialmente sensible, en lo que respecta al consentimiento para el tratamiento de datos. Todo ello con el objeto de preservar los derechos de los ciudadanos de la Unión Europea.