LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 07:48:01

LegalToday

Por y para profesionales del Derecho

El consentimiento y el reglamento de protección de datos

Coordinadora Legal – PymeLegal

El 2018 supuso un cambio radical respecto a la normativa en materia de protección de datos, por la entrada en vigor del Reglamento general de protección de datos (Reglamento de la UE 2016/679, de 27 de abril de 2016 [RGPD]) y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (LOPDGDD). Se cambiaron entre otros la forma como se puede recabar el consentimiento, modificando el que conocíamos hasta el momento, ya que se necesitarán determinados requisitos para que éste sea prestado válidamente. Deberemos tener mucho cuidado a la hora de recogerlo y tendremos que ser capaces de demostrar que, efectivamente, lo tenemos. Vamos paso a paso:

Protección datos

¿Qué es el consentimiento?

El Reglamento general de protección de datos (RGPD) define consentimiento como "la manifestación de voluntad libre, específica, informada e inequívoca por la cual el interesado acepta, mediante una clara acción afirmativa, el tratamiento de sus datos personales" (art. 4.11). El consentimiento es la primera base legal por la cual las empresas y las organizaciones pueden legitimar el tratamiento de los datos personales.

¿Cuándo es válido el consentimiento?

Para valorar si el consentimiento es otorgado de una manera válida, tenemos que considerar las cinco características que determina el mismo artículo:

  • Libre: no se puede otorgar bajo engaño, amenazas o coacciones. El otorgamiento del consentimiento no se puede someter a una condición, rebaja de un servicio o consecución de un producto. Tampoco es válido si podemos encontrarnos un desequilibrio de poder en la concesión de éste (por ejemplo, entre un trabajador y el CEO de una empresa).
  • Específico: se da para un tratamiento determinado. Si existen diferentes finalidades, hay que pedir el consentimiento en cada caso e indicar cuáles son (por ejemplo, si la finalidad del tratamiento es la prestación de un servicio determinado, no se podrán utilizar los datos con finalidades de márqueting, salvo que se pida el consentimiento aparte).
  • Informado: la solicitud del consentimiento debe tener todos los requisitos que establece la RGPD y tiene que determinar quién es el responsable, que tratamiento hará de los datos, qué derechos incluye, etc. Esta información tiene que estar en un lenguaje claro y sencillo.
  • Inequívoco: el responsable debe poder demostrar que el consentimiento obtenido es válido y que dispone del visto bueno del titular de los datos, de acuerdo con los requisitos que fija la normativa (art. 7 del RGPD).
  • Acción positiva: el silencio, la inactividad o el uso de casillas premarcadas son inválidos. En el ámbito electrónico, el consentimiento puede darse escribiendo un correo electrónico, rellenando un formulario, proporcionando un documento escaneado o utilizando la firma electrónica.

¿Es revocable?

El consentimiento debe de ser siempre revocable, en cualquier momento, sin que el consentimiento previo pierda efecto. Tiene que ser tan fácil anularlo como facilitarlo. La revocación tiene que poder hacerse a través de medios sencillos y gratuitos, que no impliquen un ingreso para el responsable del tratamiento. Se puede dejar sin efecto mediante el envío prefranqueado al responsable, por teléfono a un número gratuito o a través del servicio de atención al usuario. Los medios de pago son inválidos.

¿Cómo afecta el tratamiento de datos de menores de edad?

El consentimiento de los menores es válido en los mayores de dieciséis años y hay la posibilidad para el legislador que exista otra edad no inferior a trece años. España establece la edad a los 14 años.

¿Con el RGPD se permite el consentimiento tácito?

Así como la Ley orgánica 15/99 de protección de datos permitía el consentimiento tácito, con cláusulas como "si en treinta días no dicen lo contrario, entendemos que podemos utilizar sus datos para enviarles información" o "si no autorizan el uso de su imagen/de sus datos, marquen este recuadro", ahora el consentimiento tácito o las casillas premarcadas no se permiten. El RGPD establece que siempre tiene que ser una acción positiva siendo el consentimiento expresado de forma clara y bien identificado.

¿Qué pasa en el caso de los consentimientos otorgados antes de la entrada en vigor del RGPD?

Si el consentimiento otorgado con anterioridad al RGPD fue prestado de forma expresa, con una acción positiva clara, es válido. El responsable tiene que poder demostrar dicha validez. En aquellos supuestos en los cuales no pueda demostrarse o no esté recogido con las exigencias del RGPD, habrá que volverse a solicitar el consentimiento.

¿Cómo afecta el RGPD al márqueting por correo electrónico?

En el marco del RGPD, para poder garantizar que tenemos el consentimiento adecuado, hay que revisar la política de márqueting y plantearnos las siguientes preguntas:

  • ¿Disponemos de una copia de los consentimientos otorgados de los interesados?
  • ¿Tenemos suficiente información sobre este consentimiento?
  • ¿Realizamos el doble opt-in (autorización voluntaria) a la hora de recabar el consentimiento de los afectados?
  • ¿Hacemos un seguimiento de cuándo y dónde llega la información de contacto?
  • ¿Qué tipo de consentimiento tenemos (tácito o exprés, activo o negativo)?
  • ¿Tenemos política de privacidad? ¿Es visible en la web?

Si alguna de estas respuestas es negativa, no tendremos el consentimiento recogido de forma adecuada y, por lo tanto, tendremos que volver a obtener el permiso exprés de los contactos o suscriptores. Y, sobre todo, tendremos que procurar que la herramienta de márqueting por correo electrónico disponga de un sistema de baja automatizado para agilizar el trámite del no-envío de futuras comunicaciones si el destinatario desea cancelarlas.

¿Cómo repercutirá la entrada en vigor del RGPD en el márqueting por correo electrónico?

En un futuro y aplicando las medidas del RGPD, las campañas serán más efectivas y rentables, ya que se dirigirán a todos aquellos que saben a qué se suscriben (por ejemplo, recibir la información comercial de la organización en cuestión). Eso generará bases de datos menos voluminosas, pero mucho más eficientes, en que los suscriptores tendrán una afinidad y un compromiso más grande con la compañía emisora ya que los receptores sólo recibirán campañas de márqueting por correo electrónico que son de su interés, hecho que les aportará valor. Por otro lado, las empresas verán cómo se reducen sus porcentajes de rebote.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.