Monday, 05 March 2018

La regulación del consentimiento en el Reglamento General de Protección de Datos puede generar limitaciones de uso de las bases de datos de carácter personal

VolverLas nuevas exigencias del Reglamento General de Protección de Datos de la UE, Reglamento 2016/679 (en adelante RGPD) en cuanto a la prestación del consentimiento por las personas físicas para el tratamiento de los datos de carácter personal y la declaración de invalidez de los consentimientos obtenidos con anterioridad que no cumplan los nuevos requerimientos, ha dado lugar a que las entidades deban renovar en muchos casos los consentimientos de que disponían para determinados usos, como pueden ser los relacionados con la mercadotecnia.

Como abogados expertos en protección de datos de carácter personal, reflexionamos sobre este problema que tiene, a nuestro juicio, una importante transcendencia, por cuanto que muchas entidades, durante la vigencia de la LOPD y del Real Decreto 1720/2007 (Reglamento de la LOPD) han obtenido consentimientos para tratamientos auxiliares al propio del mantenimiento y desarrollo de la relación contractual, de forma tácita o mediante otros sistemas que, ahora ya no serían admisibles. Al disponer el RGPD que dichos consentimientos no son válidos, la consecuencia no es otra que la de que deban paralizarse los tratamientos amparados en dichos consentimientos, a partir del 25 de mayo de 2018, fecha de aplicación del RGPD, a menos que se los tratamientos puedan fundarse en otras bases legitimadoras o se obtengan de nuevo los consentimiento pero ya de forma acorde a las nuevas exigencias.

De acuerdo con el RGPD, el consentimiento es una manifestación de voluntad libre, específica, informada e inequívoca, mediante una declaración o una clara acción afirmativa.

Cuando se dice que el consentimiento es libre, debe entenderse que no podrá condicionarse la ejecución de un contrato a la prestación del consentimiento para otros tratamientos no necesarios para dicha ejecución. Por ello, la mayoría de los consentimientos obtenidos en contratos de adhesión o en condiciones generales de contratación, no serían válidos.

Además, el consentimiento debe ser específico, para uno o varios fines, debiendo separarse claramente las solicitudes del consentimiento para cada fin concreto. Los textos en los que se incluyen en una misma cláusula un conjunto de finalidades sin que se pueda elegir por parte del interesado el aceptar o no cada uno de ellos, tampoco serían adecuados y, por tanto, los consentimientos así obtenidos serían nulos.

Y también el consentimiento debe ser inequívoco, lo que requiere de una declaración de voluntad o acción claramente afirmativa. En virtud de esta característica, resulta que, a partir de la aplicación del RGPD, no serán tampoco válidos los consentimientos denominados tácitos (los otorgados por el sistema del art. 14 del Real Decreto 1720/2007 Reglamento de la LOPD), ni aquéllos que se obtuvieron mediante la aceptación de casillas premarcadas, ni los obtenidos por la mera inactividad, caso muy típico de las casillas dispuestas para marcar la negativa del tratamiento de los datos de carácter personal para determinadas finalidades, de tal manera que si nada se marcaba, se entendía concedido el consentimiento; la mera inactividad con cumpliría el requisito de que el consentimiento sea inequívoco.

Además de lo anterior, debe tenerse en cuenta que, en virtud del principio de responsabilidad proactiva, el responsable del tratamiento debe estar en disposición de acreditar el cumplimiento de sus deberes y obligaciones según la nueva normativa. Por tanto, en lo que al consentimiento se refiere, debería estar en disposición de poder probar la obtención del consentimiento con sus circunstancias de contenido del consentimiento, tiempo, etc.

Es por ello, que en no pocos casos, las entidades se verán obligadas a evaluar si los tratamientos que están llevando a cabo en base a los consentimientos obtenidos de conformidad con la normativa anterior, pueden ser reconducidos a otras bases jurídicas (distintas de las del consentimiento) que legitimen el tratamiento, como es la la base de los intereses legítimos del responsable siempre que no deban prevalecer sobre los intereses y derechos y libertados de los interesados.

Si los tratamientos no pueden ampararse en otra base jurídica, entonces, de conformidad con lo que ha informado el Grupo de Trabajo del Art. 29 y también el Proyecto de Ley Orgánica de Protección de Datos, dichos tratamientos deberán cesar. Se recomienda por ello en estos casos, por dicho Grupo de Trabajo la renovación o la obtención de nuevo del consentimiento. Y lo mismo ocurrirá en el caso de que haya variaciones en el tratamiento, pues sería también preciso obtener de nuevo el consentimiento. Incluso recomienda el citado Grupo de Trabajo en la Guía sobre el Consentimiento elaborada por el mismo, que el mismo sea recabado cada cierto intervalo de tiempo.

El problema práctico y también económico que plantea este enfoque es claro. Resultará, en muchos casos, que los datos de carácter personal se podrán seguir tratando para el mantenimiento y desarrollo de la relación contractual o para la ejecución de un contrato, con fundamento en la base jurídica del apartado 1. b) del artículo 6 del RGPD, pero no para otros fines para los que fueron recogidos los datos por no reunir el consentimiento entonces obtenido los requisitos actuales del RGPD.

Por todo ello, desde nuestros Departamentos de Derecho Mercantil y Digital, se recomienda la revisión de todos los tratamientos que se estén llevando a cabo con base en el consentimiento de los interesados, para determinar si dicho consentimiento reúne todos los requisitos tal como se regulan en el RGPD; cuando no se cumplan todos los requisitos y/o cuando no sea posible poder demostrar todos los extremos de la obtención, es el momento de plantearse la reubicación de los tratamientos en otras bases legitimadoras, siempre que ello sea posible, y de no ser así, plantearse la obtención de nuevos consentimientos ajustados a la norma pues en caso contrario habría que cesar en dichos tratamientos. Estamos a disposición de nuestros clientes para asesorarlos y, en su caso, para desarrollar los informes y trabajos que conduzcan a las mejores soluciones para el mejor aprovechamiento de las bases de datos de carácter personal y en las condiciones más sencillas.

 Emilio Perez Labrador Emilio Pérez Labrador

Commercial and Corporate Law department | Madrid (Spain)

 

Belzuz Abogados SLP

This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.

Madrid

Belzuz Abogados - Madrid office

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

This email address is being protected from spambots. You need JavaScript enabled to view it.

Lisbon

Belzuz Abogados - Lisbon office

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisbon

+351 21 324 05 30

+351 21 347 84 52

This email address is being protected from spambots. You need JavaScript enabled to view it.

Oporto

Belzuz Abogados - Oporto office

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

This email address is being protected from spambots. You need JavaScript enabled to view it.

Associations

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa