Hace unos días veíamos lo adecuado que sería re-obtener el consentimiento de aquellos usuarios cuyos datos estuviéramos tratando antes del 25 de mayo, cuando será plenamente exigible el RGPD.
Comentábamos, sin más detalle, que el consentimiento debía prestarse de una manera libre, específica, informada e inequívoca. Veamos ahora qué significa cada una de estas características.
El consentimiento es libre cuando no existen consecuencias negativas para el usuario que no desee prestarlo (por ejemplo, acceso a algunas funcionalidades sólo si se permite el tratamiento); es específico porque es granular, es decir, el usuario consiente que se traten sus datos para una o varias finalidades concretas y sólo para esas finalidades. Existen determinadas situaciones a las que el RGPD otorga una protección especial, de manera que cuando sea necesario el tratamiento de datos en alguna de esas circunstancias será necesario obtener un consentimiento explícito e individualizado. Esto sucederá cuando se traten alguno de los datos recogidos en el art. 9 RGPD (los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física, los relativos a la salud, a la vida sexual o a la orientación sexual de una persona física), cuando se realicen transferencias internacionales de datos (art. 49 RGPD) o cuando sea tomen decisiones individuales automatizadas (art. 22 RGPD), pues todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos.
En este proceso se incluye también la elaboración de perfiles cuando produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar. Es inequívoco cuando el usuario ha podido conocer y reconocer perfectamente para qué está prestando el consentimiento, y no se le ha engañado o confundido; y finalmente es informado, porque ha obtenido toda la información necesaria para poder tomar una decisión sobre el tratamiento de sus datos.
La pregunta a contestar sería ¿cómo garantizar que obtenemos el consentimiento siguiendo las exigencias del RGPD? Existen varias maneras de hacerlo, todas ellas igual de válidas, pero en el entorno digital me inclino por la información presentada por capas. Esto significa que en un primer momento (primera capa) ofreceríamos al usuario la parte más nuclear de la información esencial, y le damos la opción de ampliar toda esa información en una segunda capa o página.
La ventaja de la información por capas es que nos permite ofrecer a un usuario toda la información básica necesaria en un solo vistazo, y gestionarla de una manera sencilla y limpia en nuestra página web, sin miedo a que su lectura resulte visualmente confusa y complicada.
¿Sobre qué debemos informar en esta primera capa? A continuación encontraréis la información básica, esencial y obligatoria que debemos ofrecer al usuario para que el tratamiento de datos sea conforme a Derecho, y a renglón seguido, la información que deberíais ampliar en la segunda capa, y que está aquí señalado como +INFO.
RESPONSABLE DEL TRATAMIENTO/ DPO
El responsable del tratamiento, y en su caso, el Delegado de Protección de Datos (DPO, por sus siglas en inglés) deben quedar identificados. En este primer momento, puede ser suficiente con dar a conocer la denominación del Responsable.
+INFO. Si recurrimos a un modelo de información ampliada, aquí deberíamos incluir la identificación completa del Responsable (denominación social, NIF, dirección postal, teléfono de contacto, correo electrónico) y en caso de contar con un DPO, el modo de localizar al mismo.
FINALIDAD DEL TRATAMIENTO
Los datos personales de otras personas son recabados para una finalidad concreta, que puede ser la de prestar un servicio de gestión o el de enviar información sobre nuestro producto. En cualquier caso, es obligatorio comunicar cuál será el uso que le vamos a dar a esos datos personales. La finalidad del tratamiento debe darse a conocer de un modo claro, determinado y explícito.
+INFO. En la información básica será suficiente con indicar la finalidad del tratamiento, que ya hemos dicho no puede ser vaga ni confusa. Pero sobre todo, no puede ser eterna: no podemos tratar los datos de los usuarios hasta el fin de los tiempos, sino que habrá que establecer un término, y si esto no es posible, indicar cuáles son los criterios que utilizaremos para determinar el plazo de tratamiento. Debemos tener en cuenta que si nuestra empresa recurre a sistemas que permiten la toma de decisiones automatizadas, (incluida la elaboración de perfiles) debemos proporcionar información sobre la lógica aplicada y las consecuencias previstas que de dicho tratamiento puedan tener lugar para el interesado. (art. 22 RGPD).
LEGITIMACIÓN DEL TRATAMIENTO
Tratar datos personales es una actividad que debe estar legítimamente motivada, de manera que no cualquier razón es buena recopilar y utilizar los datos personales de otros. De una manera condensada, se entiende que existe licitud en el tratamiento de datos si se da alguna de las siguientes condiciones:
- El interesado dio su consentimiento para uno o varios fines específicos
- Es necesario para la ejecución de un contrato
- Es necesario para el cumplimiento de una obligación legal
- Es necesario para el cumplimiento de una misión en interés público o ejercicio de poderes públicos
- Es necesario para el cumplimiento de un interés legítimo del Responsable o de un tercero
+INFO. La información anterior debe ser ampliada con el mayor detalle posible, pero siempre procurando que no resulte confuso para el usuario. Así por ejemplo, si la finalidad del tratamiento es la ejecución de un contrato de prestación de servicios, lo correcto sería identificar el tipo de contrato al que nos referimos con un nivel detalle suficiente para que no pueda ser malinterpretado. Si se trata del cumplimiento de una obligación legal, debemos identificar debidamente la norma que nos impone esta obligación. El hecho de estar trabajando en un entorno digital nos permite adoptar posturas de buena disposición para con el usuario, como incluir un enlace a la norma concreta a las que nos referimos, facilitándole el proceso de búsqueda e información. Se puede consultar con más detalle la licitud del tratamiento en el art.6 RGPD.
DESTINATARIOS DE CESIONES O TRANSFERENCIAS
Es frecuente que nuestra start-up o nuestro proyecto de emprendimiento se vean en la necesidad de ceder datos a terceros. Tanto si van a cederse datos en el futuro como si no, este hecho debe quedar reflejado de una manera sencilla y clara, de modo que el usuario
DERECHOS DEL USUARIO
Los famosos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) no se han visto modificados en el RGPD. Más bien todo lo contrario: se han visto reforzados con nuevas expresiones como el derecho al olvido. El conocimiento por parte del usuario de cuáles son sus derechos sigue siendo la piedra angular del sistema de protección de usuarios, por lo que es obligatorio informar de cuáles son los derechos que asisten a nuestros potenciales clientes sobre sus datos personales.
+INFO. Además de indicar cuáles son éstos, debemos indicar cómo ejercerlos y facilitarle un formulario. También debemos indicar que puede dirigirse a la Agencia Española de Protección de Datos en caso de que considerase interponer una reclamación.
PROCEDENCIA DE LOS DATOS
En ocasiones, trataremos datos de usuarios cuyo consentimiento no hemos obtenido directamente del interesado, sino que nos llega a través de terceros. Si este es nuestro caso, es necesario informar de dónde proceden los datos que tratamos.
+INFO. Es necesario indicar tanto las categorías en las que se encuentren los datos personales tratados que hemos obtenido de terceros, como si alguno de esos datos son o no datos especialmente protegidos. Por supuesto, debemos identificar la fuente de origen de esos datos, ya sea esta una fuente privada o pública, y en su caso, si se trata de una fuente pública sin restricciones.
Un apunte importante a este respecto: Internet, en toda su extensión, no es fuente pública sin restricciones de la que podamos obtener datos personales. Hasta la fecha, sólo son fuentes electrónicas accesibles al público: el censo promocional, las guías de servicios de comunicaciones electrónicas, las listas de personas pertenecientes a grupos de profesionales que contengan únicamente el nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo, los diarios y boletines oficiales y los medios de comunicación.
Finalmente, el RGPD exige que toda esta información sea ofrecida de una manera sencilla, sin usar un vocabulario complicado o enrevesado, y que sea adecuado y comprensible para el usuario. Sin duda esta es una de las tareas más complicadas, pues en ese proceso de facilitación de los textos legales, unas veces, se vuelven aun más farragosos, y otras veces, terminan por omitir información.