Viernes, 08 Junio 2018

RGPD, ¿la norma que promueve o vulnera la privacidad?

VolverEn mayo de 2016 fue aprobado el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos o RGPD), nueva normativa proveniente de la Unión Europea y de aplicación directa en todos los Estados miembros a partir del pasado 25 de mayo de 2018. Las empresas que han tenido que empezar a aplicarlo en la fecha indicada han vivido unos días frenéticos para estar adecuadas a este nuevo Reglamento antes del 25 de mayo de 2018.

En este sentido, todos hemos sido testigos y hemos sufrido cómo los buzones de nuestros correos electrónicos se inundaban de mensajes de empresas dando a conocer sus nuevas políticas de privacidad adaptadas al RGPD o intentando recabar nuestro consentimiento explícito con el fin de poder seguir enviando comunicaciones comerciales vía electrónica. Bien es cierto que la obligación de obtener dicho consentimiento no se introduce con el RGPD sino que proviene de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico. Por lo tanto, aquí es donde nos planteamos si el RGPD se ha utilizado como arma arrojadiza para vulnerar nuestra privacidad obviando interesadamente su fin último que es el de promover aquella, según el mandato del legislador europeo.

A fin de profundizar en este análisis, veamos en primer lugar, qué entiende el RGPD por consentimiento y cómo lo define ya que sí introduce novedades que son importantes conocer a la hora de resolver la cuestión planteada en el título de este artículo. El consentimiento se regula en el art. 6 como uno de los supuestos que legitiman el tratamiento de datos, en el art. 7 mediante el cual se identifican las condiciones en las que debe prestarse el consentimiento y en el art. 9 que regula el consentimiento con datos sensibles. También habrán de tenerse en cuenta los considerandos 32, 40, 42, 43 y en especial el 171 para la cuestión de fondo de este artículo.

La principal novedad que se introduce en el RGPD es que el consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento tácito.

De esta manera, el consentimiento debe de ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Expresamente se indica en el considerando 32 la posibilidad de utilizar casillas para la obtención del mismo, estableciendo que la casilla pre marcada o la inacción no constituye una forma de prestar el consentimiento. Igualmente, también se establece en dicho considerando que cuando existan varios fines para el tratamiento se deberá recabar el consentimiento para todos ellos. Por tanto, el consentimiento para el tratamiento de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el responsable del tratamiento que el titular de los datos o interesado consintió el tratamiento de los mismos a través de un proceso claro inteligible y de fácil acceso, en el que se utilizó un lenguaje claro y sencillo.

Uno de los pilares de la “privacidad desde el diseño” o “privacy by design” es atribuir al usuario el control sobre sus propios datos. Como consecuencia directa, como hemos mencionado anteriormente el RGPD ha prohibido cosas como el consentimiento presunto, el consentimiento “ómnibus” para distintos tratamientos de datos, las interminables e incomprensibles páginas de términos y condiciones y los farragosos procedimientos para revocar el consentimiento anteriormente prestado.

El consentimiento no es, desde luego, la única base jurídica que puede legitimar el tratamiento de datos personales. Y aunque tiene que ser inequívoco siempre, no tiene que ser expreso o explícito en todos los casos. Concretamente, el consentimiento tiene que ser explícito para legitimar: a) el tratamiento de categorías especiales de datos (los datos más sensibles, como ideología, orientación sexual, pertenencia a una etnia, datos de salud, datos biométricos…); b) la adopción de decisiones automatizadas, profiling (o elaboración de perfiles); c) transferencias internacionales de datos; d) el tratamiento de datos personales cuyo uso hubiera sido previamente restringido y e) como decíamos antes, para acciones relacionadas con el marketing directo por medios electrónicos.

Y aquí es donde se ha planteado la duda entre todos los sujetos obligados por el RGPD a la hora de seguir enviando comunicaciones comerciales a sus clientes, ¿pueden seguir haciéndolo sin más una vez aprobado el RGPD, deben informar de los cambios que han llevado a cabo en sus políticas de privacidad o deben recabar el consentimiento explícito para poder seguir enviando esas comunicaciones? La mayoría de empresas se ha decantado por realizar una campaña de envío masivo de correos electrónicos para recabar el consentimiento explícito de sus clientes para poder seguir enviando comunicaciones comerciales y así lo hemos sufrido todos los usuarios estos últimos días. Pero, la pregunta que nos planteamos es, ¿era necesaria esta invasión en nuestra privacidad o estaba justificada?

Veamos qué dice el considerando 171 del RGPD: “La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.”

En consecuencia, las empresas no necesitarán recabar nuevamente el consentimiento de cada uno de los titulares de los datos tratados siempre que: aquellos consentimientos se hubieran obtenido en su momento de acuerdo con los actuales términos del RGPD y todo ello esté debidamente documentado. Por otro lado, la Agencia Española de Protección de Datos, en sus guías de ayuda de adaptación al RGPD, sugiere expresamente, reconducir la base de legitimación del tratamiento por la vía del interés legítimo, allí donde sea posible.

En este sentido, parece que existían soluciones menos invasivas a las finalmente adoptadas por la mayoría de las empresas en cuanto al envío masivo de correos electrónicos para recabar el consentimiento explícito de sus clientes si se contaban con los consentimientos recogidos adecuadamente en el pasado o incluso, si se estimaba que el interés legítimo empresarial podía amparar la continuación del envío de comunicaciones comerciales sin recabar de nuevo el consentimiento de los clientes. Por lo tanto, lo que todos hemos vivido en nuestros buzones de entrada de nuestras cuentas de correo se podría haber evitado si las empresas hubieran recabado con anterioridad al RGPD un consentimiento explícito y documentado para envío de comunicaciones comerciales, haciendo innecesaria esta campaña de envío masivo de correos electrónicos para recabar un consentimiento con el que no contaban o si al menos el legislador europeo hubiera sido más específico a la hora de regular la figura del interés legítimo a falta de las oportunas resoluciones de los organismos de control nacionales o tribunales sobre estas cuestiones que solo podrán producirse a posteriori.

El Departamento de Derecho Mercantil y Digital de Belzuz Abogados cuenta con profesionales cualificados para prestar la asesoría jurídica necesaria para la implantación y cumplimiento integral de todas las obligaciones y procedimientos establecidos en el RGPD.

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers-2024
  • 4_cle
  • 5_chp
  • 6_aeafa