El Reglamento General de Protección de Datos, RGPD o Reglamento (UE) 2016/679, ya está entre nosotros.
Mucho se está escribiendo sobre sus novedades (DPO, Evaluación de Impacto, Consulta Previa, Accountability, Privacidad por defecto y desde el diseño, Derecho a la portabilidad de los datos, etc.), pero poco sobre las interrogantes, problemas o situaciones incomprensibles que genera con su redacción final.
Por ello, rescatamos el género de los Greatest Hits de la LOPD (I, II, III y IV), y procedemos a analizar el lado más oscuro y desconocido del RGPD, empezando por el Consentimiento.
El Consentimiento es uno de los principios fundamentales de toda la normativa de protección de datos. Implica que si alguien quiere hacer algo con nuestros datos, antes debemos estar de acuerdo con ello (salvo excepciones).
Hasta ahora (y hasta que sea exigible el RGPD, el 25/05/2018), este consentimiento se podía obtener de forma expresa (“sí, quiero”), o de forma tácita (“no te digo que no”).
El consentimiento expreso sólo era obligatorio para tratar datos especialmente protegidos (salud, vida sexual, origen racial, ideología, creencias, afiliación sindical), o para envío de publicidad por medios electrónicos.
Pero ¿sabías que…
… a partir de la aplicación del RGPD el consentimiento tácito no será suficiente para tratar datos básicos?
Aunque el articulado del RGPD no lo especifica tan claramente como sería deseable, la definición incluida en el artículo 4, apartado 11, del RGPD establece que el consentimiento es:
“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”
Por lo tanto, cuando el consentimiento sea necesario, deberá ser siempre mediante una declaración o acción afirmativa, independientemente del tipo de datos que se estén recogiendo.
Me pregunto cómo resolverá la AEPD el problema de este tipo de consentimiento para usuarios cuya dirección IP es registrada en el fichero log del servidor de una página web. Ah, espera… que según la AEPD su servidor no registra direcciones IP.
… a partir de la aplicación del RGPD, los consentimientos tácitos recogidos con anterioridad, podrían dejar de ser válidos?
Es algo bastante alarmante, pero no he leído nada al respecto en ningún foro especializado.
El Considerando 171 del RGPD, que habla sobre la derogación de la normativa anterior, establece lo siguiente:
“La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas”
Teniendo en cuenta que el consentimiento tácito no se ajusta a las condiciones del RGPD, tenemos un problema.
En mi opinión es algo que podría vulnerar los principios de no retroactividad de las normas y de seguridad jurídica… y particularmente, me reconozco incapaz de hacer inventario de todos los consentimientos tácitos recabados por mis clientes en la última década (y más aún desde la anulación de Puerto Seguro).
Esperemos a ver qué dice la AEPD al respecto.
… a partir de la aplicación del RGPD, la edad mínima para consentir el tratamiento podría subir hasta 16 años… pero sólo en relación con servicios online?
Todos los que os hayáis enfrentado en alguna ocasión al tratamiento de datos de menores de edad, habréis descubierto las complicaciones de cumplir con la norma.
Actualmente, para tratar datos de menores de 14, se exige el consentimiento de sus padres o tutores, siendo responsables en caso de que el menor nos engañe sobre su edad.
Para evitar engaños (especialmente en Internet, que es donde más difícil tenemos la comprobación de la edad), la AEPD propuso una solución infalible: poner preguntas académicas al usuario acordes a una persona mayor de 14 años.
Por desgracia, a algún desaprensivo se le ocurrió poner todas las preguntas y respuestas imaginables al alcance de cualquiera en Internet.
Siendo estrictos, cualquiera que tenga un formulario web puede acabar incumpliendo con la normativa si algún menor de 14 años se colase en su base de datos.
Pues el RGPD permite que esta edad se suba hasta los 16 años (o se baje hasta los 13), pero sólo en relación con los servicios online.
¿Subirá, bajará o se quedará igual la edad mínima? Se aceptan apuestas (aunque antes tendremos que tener un gobierno que modifique la normativa nacional… y cada vez se antoja más improbable que lo consigamos).
Y si subiese la edad a 16 años de golpe… ¿qué pasaría con los usuarios mayores de 14, pero menores de 16 que tengamos en la base de datos? ¿Otro caso de retroactividad de la norma?
… a partir de la aplicación del RGPD, podría no ser necesario el consentimiento para tratar datos especialmente protegidos que hubiesen sido publicados por el afectado?
Realmente, la cuestión no está muy clara.
Por un lado, como hemos visto, la normativa sólo considera consentimiento válido a una declaración o acción afirmativa. Es decir, un consentimiento expreso o explícito.
Sin embargo, no habla de consentimiento expreso ni explícito, salvo al referirse al tratamiento de datos especialmente protegidos.
Por lo tanto, aunque parece intentar otorgar un plus al consentimiento necesario para tratar datos especialmente protegidos, en la práctica no se percibe diferencia alguna.
Además, se establece que los datos especialmente protegidos podrán ser tratados cuando el interesado los haya hecho “manifiestamente públicos” (ver artículo 9.2.e).
Ojo, que esta excepción no está prevista para datos que no sean especialmente protegidos.
¿Qué quiere decir el Reglamento con esto? Se nos ocurren 2 opciones:
a) Que si publico datos especialmente protegidos, dejan de ser necesario mi consentimiento explícito para tratarlos, pero sigue siendo necesario mi consentimiento.
Algo que no tendría sentido, porque como hemos visto, aparentemente no hay diferencias entre los consentimientos necesarios para tratar unos y otros datos.
b) Que si publico datos especialmente protegidos, pueden ser tratados libremente… pero si publico otros datos, no.
Es decir, que si en una red social publico mi nombre y mi condición sexual, mi condición sexual podría ser tratada libremente, pero mi nombre no (ya que sería necesario mi consentimiento).
Y con este absurdo dilema, os dejamos a la espera de nuevas entregas de los Grandes Éxitos del RGPD (aunque quizá deberíamos hablar más bien de Caras B).
BONUS TRACK: La excepción relativa a los datos especialmente protegidos ya estaba prevista en el artículo 8.2.e) de la ahora derogada Directiva 95/46… pero nunca se incorporó a nuestra normativa nacional. Creo que todos podemos intuir los motivos.
José Carlos Moratilla
Responsable del Departamento Legal de Áudea