Regresamos con un nuevo análisis crítico sobre la redacción del Reglamento General de Protección de Datos (RGPD o GDPR).
Como comentamos en la Pista 1, después de 4 años y pico de desarrollo legislativo, lo mínimo que cabría esperar es un texto que garantizase una adecuada seguridad jurídica a las empresas. Pero en esta colección de artículos veremos que, lamentablemente, no es así.
Hoy nos fijaremos en el consentimiento, como una de las formas de conseguir que un tratamiento de datos sea legítimo (hay más, pero dejad que nos centremos en el consentimiento).
Quien más quien menos, ha recibido en los últimos años una carta o correo electrónico con el siguiente contenido: “salvo que usted se oponga en el plazo de 30 días, haremos lo que nos plazca con sus datos personales”.
Esta fórmula, que estaba expresamente prevista e indicada en el Reglamento de Desarrollo de la antigua LOPD (Art. 14: “Forma de recabar el consentimiento”), queda descartada con efecto retroactivo por obra y gracia del GDPR. Todo consentimiento recabado de esta forma, da igual cuándo, deja de ser válido el 25 de mayo de 2018.
Bajo el GDPR, el consentimiento tiene que consistir siempre en una clara acción afirmativa de aceptación del tratamiento de datos personales.
De esta forma, cualquier ciudadano podrá autorizar el tratamiento de sus datos personales (nombre, apellidos, fotografías, email, etc.).
Pero no todos los datos son iguales. Hay unas categorías especiales de datos que reciben una protección mayor, como pueden ser los datos de salud, de orientación sexual, origen racial, etc.
De hecho, el GDPR expresa esta protección adicional, requiriendo que el consentimiento para su tratamiento sea explícito (condición que formalmente no se exige para el resto de categorías de datos).
– Lector: Espera, espera… entonces, por un lado tenemos el consentimiento normal (clara acción afirmativa) y por otro lado tenemos el consentimiento explícito. ¿No son lo mismo?
– Redactor: Bueno, es que… el explícito… tiene que ser… explícito y el otro no.
– L: ¿Acaso una clara acción afirmativa no es algo explícito? ¿Puede el afectado hacer una clara acción afirmativa “por lo bajinis” o de forma no explícita?
– R: hmm… no sé… es lo que dice la norma. Según la AEPD, el consentimiento también puede ser implícito cuando se deduzca de una clara acción afirmativa, como por ejemplo, continuar navegando para instalar cookies.
– L: pero yo he leído otros artículos que dicen que siempre vamos a tener que poder acreditar los consentimientos como parte de la responsabilidad proactiva.
– R: sí, tienes razón… pues no sé… Me duele la cabeza, ¿nos tomamos una caña y hablamos de otro tema?
– L: Cuatro años de dedicación de expertos muy bien pagados para esto…
– R: En serio, déjalo. Ya seguiremos con otro tema después de haber tomado una cerveza.
Áudea Seguridad de la Información