Hoy vamos a hablar de algunos mitos que se han generado alrededor del Reglamento General de Protección de Datos (GDPR) y que se deberían intentar aclarar. Si bien es cierto que últimamente recibimos a diario varias actualizaciones de políticas de privacidad, seguimos sintiendo que nos falta información. Así pues, poco a poco desmitificando ciertas afirmaciones espero que algunas dudas se vayan solventando. En particular, hoy el artículo trata sobre el consentimiento.
Mito 1: Se debe obtener el consentimiento explícito si se desea tratar datos personales.
El GDPR aclara que las casillas pre-marcadas no son indicadores de consentimiento válidos. Por otro lado, la nueva normativa establece que hay que facilitar a la los interesados, es decir a las personas titulares de los datos, su derecho a retirar su consentimiento. En este sentido, las organizaciones deberán asegurarse de que los consentimientos que ya han ido obteniendo de los interesados cumplen con los requisitos del GDPR. En caso contrario, los deberán renovar.
Todo lo anterior ha creado ciertas incertidumbres y dudas, pero seamos claros: el consentimiento no es la única forma de cumplir con el GDPR. Los interesados a menudo carecen de contexto o comprensión sobre las diferentes bases legales que las empresas y organizaciones pueden utilizar para el tratamiento de información personal bajo el GDPR. Para que el tratamiento sea legal bajo el GDPR, en primer lugar, se necesita identificar una base legal que ampare cada uno de los tratamientos.
Las autoridades locales tratan la información fiscal de los ayuntamientos, los bancos comparten datos con fines de protección contra el fraude, las compañías de seguros tratan la información sobre reclamaciones. Cada uno de estos ejemplos utiliza una base legal diferente al consentimiento para tratar información personal. El GDPR establece otras bases legitimadoras para tratar datos que pueden ser más apropiadas que el consentimiento, como por ejemplo, en algunos casos, el interés legitimo.
Mito 2: Hay que renovar el consentimiento – es decir, solicitarlo de nuevo- de todos nuestros clientes para cumplir con el GDPR.
No, no es necesario que se renueven todos los consentimientos existentes, pero el GDPR pone el listón bastante alto en relación con el consentimiento, así que es importante revisar los procesos y registros para asegurarse de que los consentimientos existentes cumplan con el estándar GDPR. Si lo hacen, no hay necesidad de obtener un nuevo consentimiento.
Cuando ya existe una relación con los clientes que han comprado bienes o contratado servicios, puede que no sea necesario obtener un nuevo consentimiento. Es el llamado soft opt-in según las normas PECR/ePrivacy. La persona debe haber dado su consentimiento para la comercialización electrónica en régimen de consentimiento previo a fin de que esa relación inicial se utilice como base para la comercialización electrónica posterior, por ejemplo, correo electrónico o SMS. Si han dado su consentimiento sobre esta base, no es necesario obtener un nuevo consentimiento. Sin embargo, siempre debe estar disponible una función para darse de baja.
Así pues, parece que el consentimiento no es la solución milagrosa. Como han indicado varias autoridades de control, como la ICO en el Reino Unido, el consentimiento no es la “bala de plata” para el cumplimiento de la nueva normativa europea. Tal y como ya se ha indicado en esta publicación, el consentimiento es una forma de cumplir con los GDPR, pero no es la única. Ninguna base por sí sola es “mejor” o más importante que las otras. ¿Cuál es la más apropiada? Eso dependerá de las finalidades del tratamiento y de la relación con el individuo.