Martes, 20 Septiembre 2016

Primeros cambios que deben afrontar las empresas antes de la entrada en vigor del Reglamento Europeo de Protección de Datos

VolverDesde el Departamento de Derecho Digital de Belzuz Abogados, como abogados expertos en Protección de Datos, analizamos en este artículo uno de los primeros cambios que deberán afrontar muchas empresas antes de la entrada en vigor del nuevo Reglamento General de Protección de Datos: la forma en que hasta ahora han venido gestionando la obtención del consentimiento de los titulares de los datos personales que tratan.

En efecto, uno de los pilares fundamentales en los que se basa la legitimación de una empresa para tratar datos personales de terceros es el consentimiento de éstos.

El nuevo Reglamento (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016) establece con carácter general que el consentimiento ha de ser libre, informado, específico e inequívoco para que pueda considerarse válido. Es especialmente este último requisito el que marcará la diferencia: ya no podrá considerarse que el consentimiento es inequívoco si no hay una declaración o una acción positiva del interesado que lo confirme. O, dicho de otra forma, ya no será posible dar valor de “consentimiento tácito” al silencio o a la inacción del titular de los datos. Cláusulas muy habituales hasta ahora, como “en caso de que no indique lo contrario, se entiende que presta su consentimiento al tratamiento de sus datos” o similares, que eran válidas y aceptables bajo la regulación actual, ya no tendrán eficacia alguna a partir del momento en que el nuevo Reglamento entre en vigor.

Incluso, si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, el artículo 7 del Reglamento establece inequívocamente que la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso, y utilizando un lenguaje claro y sencillo, no siendo vinculante para el interesado ninguna parte de la declaración que constituya infracción del Reglamento.

Y más aún: para autorizar el tratamiento de datos especialmente sensibles (como serían, entre otros, los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida u orientación sexual de una persona física), el consentimiento tendrá además que ser “explícito”, tal como establece el artículo 9 del Reglamento. Es decir, en estos supuestos de tratamiento de datos especialmente sensibles se refuerza la necesidad del consentimiento del interesado de una forma mucho más estricta, puesto que no podrá entenderse concedido de forma implícita en base a cualquier tipo de acción positiva del titular, sino que será imprescindible que la declaración o acción se refieran de forma explícita al consentimiento del titular para el tratamiento de sus datos personales con esos fines específicos.

Además, ese consentimiento nunca podrá prestarse de forma irrevocable, sino que el interesado tendrá derecho a retirarlo en cualquier momento, no debiendo existir mayor grado de dificultad para retirar el consentimiento que para prestarlo. No obstante, la posterior retirada del consentimiento no afectará a la licitud del tratamiento ya efectuado basándose en el consentimiento previo a su retirada.

En consecuencia, en todos los supuestos en los que el tratamiento de datos de carácter personal se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que el interesado consintió libremente el tratamiento de sus datos personales para los fines de que se trate.

Cuando haya de evaluarse si el consentimiento se ha dado libremente o no, se tendrá en cuenta si, entre otras cosas, la ejecución de un contrato o la prestación de un servicio se supeditan al consentimiento al tratamiento de datos personales que no sean realmente necesarios para la ejecución de dicho contrato.

Por tanto, es de gran importancia que aquellas empresas que en mayor o menor medida recopilen y/o traten datos personales de terceros, ya sea de sus empleados, clientes, proveedores o de cualesquiera otras personas, tengan siempre presente que el consentimiento ha de ser verificable, y que, si no son capaces de demostrar que el afectado prestó su consentimiento libremente en las condiciones recogidas en el Reglamento, se considerará que han recogido y/o utilizado indebidamente dichos datos. Y ello, incluso, aunque el consentimiento hubiera sido prestado por el interesado antes de la entrada en vigor del Reglamento, de forma válida con arreglo a los requisitos legales entonces vigentes. De ahí la importancia de que todas las empresas que recopilen y/o traten datos personales de personas físicas se aseguren de que los sistemas de recogida y registro del consentimiento que utilizan se ajustan a los requisitos de la nueva reglamentación, y de que podrán demostrarlo ante una auditoría en caso necesario. De no ser así, la empresa deberá modificar esos procesos lo antes posible, y desde luego antes de que el nuevo Reglamento entre en vigor.

No es ésta una cuestión baladí, ya que, como decíamos al comienzo de este artículo, el consentimiento del interesado es uno de los pilares o principios básicos del tratamiento de datos y, en consecuencia, el Reglamento impone sanciones muy elevadas para el caso de infracción, que pueden llegar hasta los veinte millones de euros de multa administrativa o, tratándose de una empresa, el 4% del volumen de negocio total anual del ejercicio financiero anterior a nivel global si ese importe fuera superior.

En el Departamento de Derecho Digital de Belzuz Abogados, como abogados expertos en tratamiento de datos personales, estamos a disposición de nuestros clientes para aclarar cualquier duda que les pueda surgir respecto a sus nuevas obligaciones y responsabilidades conforme al nuevo Reglamento General de Protección de Datos, y para ayudarles a planificar los procesos de adaptación necesarios en cada caso.

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers-2024
  • 4_cle
  • 5_chp
  • 6_aeafa