domingo, 25 de septiembre de 2016

¿Renovar el consentimiento?


El Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“Reglamento General de Protección de Datos” o “RGPD”) define consentimiento del interesado, en su artículo 4, como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

La referencia a una declaración o acción afirmativa excluye, según aclara el considerando (32) del RGPD, la posibilidad de que el silencio o la simple inacción puedan interpretarse en el sentido de entender que el titular de los datos consiente a un determinado tratamiento. Esta interpretación fue, además, confirmada por la Directora de la Agencia Española de Protección de Datos en la 8ª Sesión Anual Abierta de esta entidad celebrada el pasado 29 de Junio.

Hasta la fecha, en nuestro país, el consentimiento ha sido la base de la gran mayoría de los tratamientos efectuados, incluso en circunstancias en las que se ha puesto en duda la validez del mismo de forma reiterada (por ejemplo, en los entornos laborales, para finalidades no estrictamente relacionadas con la gestión del contrato o para legitimar transferencias internacionales). Los altos estándares previstos para la obtención del consentimiento en el RGPD, le harán perder importancia en este sentido.

Los responsables del tratamiento que no puedan garantizar la obtención del consentimiento mediante una declaración o acción afirmativa deberán recurrir a las otras circunstancias previstas en el artículo 6.1 del RGPD. Entre ellas, se encuentra el interés legítimo, que tras la sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 se ha convertido en “el nuevo consentimiento” para las empresas españolas.

El artículo 3 de la todavía vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”) también define consentimiento como una “manifestación de voluntad, libre, inequívoca, específica e informada”. Sin embargo, salvo en el caso de los datos especialmente protegidos, y porque así lo prevé su artículo 7, la LOPD permite que el consentimiento se preste tácitamente. De hecho, su reglamento de desarrollo (“RLOPD”) regula un procedimiento para la obtención del consentimiento tácito (artículo 14).

Además, el artículo 15 del RLOPD permite que el consentimiento para finalidades adicionales en el contexto de una relación contractual se obtenga facilitando al interesado una casilla que pueda marcar para manifestar su oposición. A sensu contrario, dicha casilla no se marcará si el usuario acepta el tratamiento adicional (es decir, se permite consentir mediante una inacción;  dicho de otra forma, la “no acción” se interpreta como consentimiento). Ésta ha sido la forma en la que muchas empresas han recogido el consentimiento de sus clientes para remitirles publicidad, o para compartir información entre las empresas del mismo grupo.Si hacemos una interpretación literal del considerando (32) del RGPD parece que estos mecanismos que implican consentir por inacción (el denominado “opt-out”) no se admitirán como formas válidas de obtener el consentimiento para el tratamiento de los datos. 

No obstante, lo realmente importante es que el considerando (171) del RGPD incluye una previsión retroactiva en este sentido:

“Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.”

El cumplimiento de esta obligación afectaría no sólo a los responsables del tratamiento que utilizaron el sistema previsto en el artículo 14 del RLOPD, sino también a todos aquellos que han obtenido el consentimiento mediante sistemas de “opt-out”. Todos ellos se verán obligados a “renovar” el consentimiento. La Directora de la Agencia Española de Protección de Datos sí fue clara en la 8ª Sesión Anual Abierta al instar a los responsables del fichero a iniciar las acciones necesarias para obtener un nuevo consentimiento que cumpla con los requisitos del RGPD.

Sin embargo, los problemas que se plantean son muchos:

1.- En primer lugar, las empresas de cierto tamaño o de determinados sectores se enfrentarán a la necesidad de recoger el consentimiento de un número considerable de clientes y usuarios con los que han utilizado sistemas de opt-out (probablemente, el grueso de las bases de datos de los departamentos de marketing).

2.- Adicionalmente, se deberá pensar y articular un mecanismo que ofrezca la posibilidad de emitir una declaración o realizar una acción afirmativa para consentir. Algunas opciones son las siguientes:

-        El envío de e-mails que soliciten marcar una casilla para confirmar que desean que una empresa en cuestión continúe efectuando el tratamiento que ha venido llevando a cabo hasta la fecha, bien en el propio e-mail, o reenviando a una página web diseñada al efecto.

-        La realización de llamadas telefónicas que graben el consentimiento del usuario manifestado expresamente.

-        La recogida de firmas a través de documentos en formato papel cuando el cliente o usuario vuelva a utilizar el servicio o a realizar una compra.

Es lógico suponer que un gran número de registros se perderán en este proceso. Además, resulta probable que acciones como las descritas molesten más a los interesados que continuar recibiendo una newsletter o las ofertas y descuentos de una empresa de la que son clientes, lo cual no deja de ser un contrasentido.

3.-  Por último, los responsables del tratamiento pueden intentar legitimar la utilización de los datos en otras de las circunstancias recogidas en el artículo 6.1 del RGPD. El interés legítimo parece la más evidente, pero requerirá un análisis del equilibrio de los intereses en juego en cada caso concreto. La justificación del interés legítimo para finalidades de marketing y publicidad puede resultar complicada. Previsiblemente, se realizarán consultas a la Agencia Española de Protección de Datos para que aclare este extremo.

Si la introducción del consentimiento expreso en el RGPD fue discutida, la aplicación de estos estándares con efectos retroactivos lo será aún más. Debemos recordar que la aplicación de una norma con carácter retroactivo ha de ser un recurso excepcional, por las implicaciones desestabilizadoras que puede llegar a tener para la seguridad jurídica. En el caso analizado, los responsables del tratamiento utilizaron mecanismos de recogida del consentimiento previstos en la normativa vigente en su momento, que ya incluían garantías a favor del titular de los datos, como la posibilidad de revocar el consentimiento en cualquier momento, o la de ejercer los derechos de cancelación y oposición. La exigencia de que renueven estos consentimientos (especialmente, si el tratamiento se ha prolongando durante cierto tiempo y el interesado ha tenido ocasión de oponerse y no lo hecho), no redundará en una mayor protección de los titulares de los datos. En cambio, impone una obligación ciertamente gravosa para los responsables del tratamiento. 

1 comentario:

OST dijo...

Muy clarito amiga, pero me surge una duda, si he hecho algo que era legal cuando lo hice, y así lo define una Ley, ¿tengo que renovarlo?

La respuesta no está clara, pero vamos, si la Dtra ha dicho que se va a perseguir este tipo de consentimiento y que hay que adaptarlo,creo que está más que claro que va a tocar cambiarlo.

Veremos cómo....