A estas alturas, a ningún emprendedor se le escapa que el nuevo Reglamento europeo de protección de datos (RGPD) trae consigo importantes novedades respecto de nuestra Ley Orgánica de Protección de Datos (LOPD), a la que diremos adiós el próximo 25 de mayo.
Adecuar nuestro proyecto o nuestra empresa al RGPD es una obligación legal, y como tal, debe cumplirse, y cumplirse bien. Lo contrario, además de ser sancionable, no solo implicaría que estaríamos vulnerando los derechos de nuestros usuarios, sino que estaríamos limitándonos a nosotros mismos el uso de determinadas funcionalidades, como el uso de una lista de distribución, que nos permiten fidelizar a nuestros clientes y distinguirnos de la competencia.
Lo que afirmaré a continuación puede parecer una obviedad, pero para poder tratar datos de un usuario debemos obtener el consentimiento previo de dicho usuario. Obtener el consentimiento es un proceso relativamente sencillo, y aunque seguro que muchos pensáis que con la cantidad de información y herramientas que existen hoy en día es complicado hacerlo mal, existen pequeños detalles en la forma en que se redactan o implantan las políticas de privacidad que hacen que muchas empresas, especialmente las de base tecnológica, terminen incurriendo en alguna irregularidad sin haberlo pretendido. Por suerte para todos, el RGPD nos ofrece la posibilidad de actualizar nuestra política de privacidad y ponernos al día con la obtención del consentimiento.
¿Qué necesitamos saber al respecto? Principalmente que este debe prestarse de un modo libre, específico, inequívoco e informado.
Aunque de un primer vistazo pueda parecer que todas estas expresiones (de las que nos ocuparemos en otro momento) son sinónimas y que están sólo para otorgar pompa y circunstancia al Reglamento, lo cierto es que, a nivel jurídico, todas ellas se pueden separar y analizar individualmente. Por el momento, es suficiente con saber que el RGPD establece una serie de información obligatoria que el usuario debe conocer para poder prestar válidamente su consentimiento.
Hay que tener en cuenta que el RGPD no se aplica exclusivamente a los datos nuevos que se traten a partir del 25 de Mayo, sino que se aplicará con toda su fuerza a aquellos datos que se traten a partir del 25 de Mayo aunque el tratamiento se viniera haciendo desde antes de esta fecha con arreglo a la normativa anterior. Es decir, que aquellos datos que obtuvimos en el pasado con arreglo a la LOPD, y que estemos tratando en el presente, deberán cumplir con las futuras condiciones de prestación del consentimiento del RDGP.
Si nuestro proyecto comenzó a funcionar hace varios años, probablemente no estemos en condiciones de asegurar que desde el primer momento obtuvimos el consentimiento con arreglo a la LOPD. Pero aunque así fuera, seguro que no existirá plena coincidencia con los requisitos que exige el RGPD, por lo que lo mejor será curarse en salud y volver a recabarlo.
¿Cómo lo hacemos? Un primer paso interesante sería obtener de la AGPD una copia de la relación de ficheros que hayamos inscrito hasta el momento. Hay que tener en cuenta que a partir del 25 de Mayo se considerará inválido el consentimiento obtenido mediante «el silencio, las casillas ya marcadas o la inacción».
Lo siguiente sería actualizar nuestras políticas de privacidad, adecuar la prestación del consentimiento al RGPD y remitir un mensaje a todos nuestros usuarios anteriores al 25 de mayo, indicando que nos hemos adaptado a la nueva normativa, y pidiéndoles que presten nuevamente el consentimiento. Esto garantizará que el usuario tenga la oportunidad de repasar el tratamiento de datos que realizamos y le concederemos la oportunidad de ejercitar sus derechos, asegurándonos de que obtenemos un consentimiento renovado conforme a la nueva legislación.
Y con estas sencillas acciones, nuestro fresh-start en el cumplimiento del RGPD habrá comenzado.
Alejandro Zornoza, mentor en Derecho de las Nuevas Tecnologías