Muchas son las empresas que están desplegando una actividad frenética en estos meses para adecuar sus tratamientos de datos personales al Reglamento General de Protección de Datos, de aplicación en todos los estados miembros de la Unión Europea a partir del 25 de mayo de 2018. Esa es la razón de que los titulares de esos datos estemos recibiendo una cantidad inusual de llamadas o emails solicitando que nos pronunciemos acerca del consentimiento que en su día les prestamos para tratar nuestros datos personales.
Sin embargo, no todos los consentimientos para el tratamiento o la cesión de datos personales necesitan ser regularizados.
La legislación actual distingue dos supuestos:
- El tratamiento de datos necesarios para la gestión y mantenimiento de la relación contractual, como es el caso de empleados o clientes.
En esos casos, no es necesario que prestemos consentimiento para que se traten nuestros datos, según lo dispuesto en el artículo 6 de la Ley Orgánica de Protección de datos (LOPD), ya que si no se trataran la relación contractual sería imposible.
- El tratamiento de datos para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual.
–
De acuerdo con el artículo 15 del Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal (RLOPD), será necesario el consentimiento del afectado para fines no relacionados directamente con la relación contractual. Ese consentimiento deberá permitir al afectado oponerse al tratamiento o comunicación de los datos en ese mismo momento. Un ejemplo típico es el de solicitar al cliente su consentimiento para enviarle publicidad, o para ceder sus datos a un tercero a fin de que lo haga, marcando una casilla en la que se consiente esa finalidad.
Por otro lado, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) no varía el criterio de esos dos artículos, en cuanto a la licitud del tratamiento, que solo será lícito si es necesario para la ejecución del contrato o si el interesado lo ha prestado para un fin/fines específicos, si bien en este último caso, impone una serie de requisitos para que ese consentimiento pueda considerarse válido:
- La solicitud de consentimiento se debe presentar de tal forma que se distinga claramente de los demás asuntos
- Debe ser inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
- Debe realizarse mediante un acto afirmativo claro que refleje manifestación de voluntad libre, específica, informada e inequívoca.
- Si el consentimiento es para varios fines debe prestarse de forma independiente para cada uno de ellos
Como conclusión, podemos indicar a las empresas que no será necesario regularizar los consentimientos de los clientes o empleados que sean necesarios para los fines directos de la relación contractual. En cuanto al resto de las finalidades, si la empresa no recabó en su día el consentimiento de sus clientes para poder enviarles publicidad o para cualquier otra finalidad que no guardara relación directa con la relación contractual, o lo hizo de forma que no cumpla lo dispuesto en el RGPD, deberá regularizar este consentimiento antes del 25 de mayo de 2018.
Un ejemplo típico en el que el consentimiento debe ser regularizado es el que se prestó a través de casillas premarcadas, por las que se entendía prestado el consentimiento salvo que se desmarcaran. También el consentimiento único en un contrato o condiciones generales en los que no se distingue de forma independiente la aceptación del servicio contratado del consentimiento para la realización de acciones de marketing.