Así debe ser el consentimiento con el nuevo Reglamento de Protección de Datos de la UE
El Reglamento de Protección de Datos (RGPD) de la Unión Europea entrará en vigor en mayo de 2018 y revolucionará el sector digital. Para que las empresas tengan claro el funcionamiento de la nueva regulación, IAB Europe ha realizado una guía sobre los aspectos claves del consentimiento del usuario pare el tratamiento de sus datos.
Antes de dar paso a la guía, debe conocerse el significado de «consentimiento». El artículo 4 de la RGPD, lo define como «cualquier indicación libremente dada, específica, informada e inequívoca del dueño los datos por la cual él o ella, mediante una declaración o un clara acción afirmativa, represente su acuerdo con el procesamiento de los datos personales relativos a él o a ella».
A partir de esta información, la guía está conformada por las siguientes indicaciones:
Cuándo solicitarlo
Aquellas organizaciones que deseen hacer uso de los datos personales de sus usuarios para su posterior procesamiento deberán ceñirse a la normativa europea. El Reglamento se compone de seis bases legales, teniendo que cumplir la empresa solicitante al menos una de ellas. La elección de una u otra base se tendrá que justificar mediante la realización de una evaluación específica del contexto.
Debido a ello, puede darse el caso de que existan dos normas diferentes que aborden el procesamiento de datos personales y que deben cumplirse. Por ejemplo, si desean controlar las cookies, habrá que tener en cuenta el Reglamento e-Privacy. Así, el almacenamiento u obtención de datos almacenados a través de las mismas sólo será posible con un consentimiento explícito del suscriptor y tras el cumplimiento de la RGPD. En este caso se tendrán en cuenta ambas leyes, pero la europea podrá aplicarse sin tener que pasar por los tribunales nacionales.
La solicitud
El artículo 29 recoge que «el individuo en cuestión debe recibir, de manera clara y compresible, información precisa y completa sobre los asuntos importantes». Como mínimo, debe conocer la identidad del controlador y el fin a que se destinarán sus datos. Cabe destacar que el procesamiento no comenzará hasta que se haya obtenido el consentimiento afirmativamente.
Además, se establecen una serie de requisitos para presentar la solicitud. Entre ellos se encuentran que el lenguaje usado sea sencillo y de fácil comprensión, describir la naturaleza de los datos procesados y el propósito del procesamiento, explicar sus consecuencias, informar a los usuarios del derecho a retirar el consentimiento y cómo hacerlo o dar a conocer al usuario qué consecuencias tiene tanto dar como no dar el consentimiento.
Condición de acceso al servicio
Existen empresas privadas que pueden condicionar el acceso a sus servicios con la condición del consentimiento necesario de los interesados. En este sentido, la Regulación establece que deberá tomarse en cuenta si el consentimiento se ha dado libremente. Se considera que se ha otorgado libremente cuando «la ejecución de un contrato, incluida la provisión de un servicio depende del consentimiento a pesar de que no es necesario para dicha provisión».
El RGPD no prohíbe la realización de estas prácticas, pero sí solicita la realización de un análisis específico del contexto. El Reglamento de e-Privacy, en consonancia con el anterior, también permite que los servicios puedan ser condicionados por el consentimiento, algo que facilita a los editores establecer cuáles serás sus métodos de consentimiento en sus respectivos modelos de negocio.
Grado de detalle
En ocasiones, el consentimiento será detallado en lo relativo a sus propósitos para conseguir el consentimiento del individuo para el procesamiento de sus datos.
Se puede realizar de dos maneras: con una explicación conjunta de todos los fines o desgranándolos uno por uno. Si se elige la segunda opción, se deberá tener en cuenta que los objetivos dependientes serán vinculados. En cualquier caso, el interesado debe poder aceptar los propósitos de forma individual -todos o sólo algunos.
Alcance
Aquí aparecen también dos opciones distintas. Por un lado, el consentimiento específico de un servicio y, por otro lado, el consentimiento global. Este último hace referencia a las situaciones en las que el consentimiento es válido para diferentes páginas web dependientes del mismo controlador. El específico se ciñe únicamente a un sitio. La elección de uno u otro dependerá del alcance que se pretenda dar al consentimiento.
La obtención de los consentimientos puede realizarse por los dueños de las compañías en nombre de los terceros. La duración de los mismos no tienen ningún límite concreto por parte de la normativa. Lo que sí se pide es una análisis del entorno que establezca un plazo adecuado a la naturaleza y duración del procesamiento.
Registro
La RGPD obliga a realizar un registro de los consentimientos. La IAB establece la recomendación de incorporar un mecanismo automático que recoja la información mediante una cadena de suministro de publicidad digital.
Dicho registro deberá contener una serie de datos relevantes que confirmen la validez del consentimientos. Destacan la fecha en la que se otorgó, la URL implicada, los propósitos del procesamiento o los controladores que lo desarrollan.
Derecho a retirarlo
El derecho del sujeto a poder retirar el consentimiento de la obtención de sus datos es uno de los puntos claves del Reglamento. Esta retirada tiene que poder realizarse en cualquier momento y fácilmente.
Una vez efectuada la retirada del consentimiento, los datos anteriores a esta seguirán siendo manipulados, pero no aquellos que se obtengan una vez formalizada. Sólo les queda buscar una alternativa legar que les permita seguir procesando esos datos, mientras tanto el controlador deber borrar los datos «sin ningún tipo de demora».
Responsabilidades
La parte que conforma la compañía será la encargada de proporcionar a los usuarios la información necesaria para la obtención del consentimiento. Para ello, tendrán lugar una serie de divulgaciones sobre las mismas referentes a las consecuencias del procesamiento de datos y a las responsabilidades que ella tiene sobre el mismo.
Los terceros -los sujetos dueños de sus datos- quedan limitados a asegurarse de que su consentimiento ha sido obtenido válidamente en su nombre.
Validez
Los consentimientos obtenidos con anterioridad a la entrada en vigor del RGPD seguirán siendo válidos si cumplen los estándares de la misma. En caso de no cumplirlos, deberán realizar los pasos necesarios para adecuarse a la nueva normativa vigente -este es el caso de la mayoría de consentimientos anteriores.