1 27 Table of Contents 29 84

Red Seguridad 081

28 red seguridad segundo trimestre 2018 protección de datos opinión El consentimiento expreso es uno de los puntos que más nerviosismo y alarma está ocasionando. Si en el pasado obtuvimos el consenti- miento expreso de los clientes no tenemos que volver a solicitarlo, como se ha dicho, y es que ade- más se corre un innecesario riesgo de que alguien cuyo consentimien- to ya teníamos lo deniegue en esta ocasión. Recordemos la existencia de los contratos verbales en nuestro orde- namiento jurídico, aunque siem- pre tendremos una garantía jurídica más determinante si son documen- tados por escrito. Valga de muestra un botón. En consulta a la Agencia Española de Protección de Datos sobre si era necesario el consentimiento expreso para poder emitir facturas y guardar esos datos para emitir- las, la Agencia se pronunció en el sentido de que si el cliente solicita la emisión de una factura, se esta- blece una relación contractual en la que se recogen datos personales para gestionar la emisión de la misma que legitima el tratamiento de datos, y en supuestos como el enjuiciado se eximirá de la necesi- dad del consentimiento al estable- cer, como excepción al mismo, que no es necesario el consentimiento cuando los datos se refieren a las afecta a la información de éstas últimas, no de las compañías, aso- ciaciones, organismos públicos. Eso sí, huelga decir que las enti- dades con personalidad jurídica se componen de personas físicas. Tratamientos y consentimiento El RGPD no exige pedir consenti- miento para el tratamiento de datos personales si la entidad ya lo obtuvo antes de forma lícita. Cada empre- sa trata unos datos para unos fines específicos, por lo que una política de privacidad de una empresa no es aplicable para otra. Sí se exige la renovación de una aceptación cuando anteriormente el consen- timiento se sostuviera sobre una aceptación no expresa o tácita. Válido antes, no ahora. De igual modo, cuando se pretendan usar los datos para distintas finalidades. Son muy diversas las variables a tener en cuenta, como puedan ser si nuestros clientes son personas físicas o no, si el consentimiento expreso se obtuvo previamente, la existencia de contratos con los clientes que justifiquen un inte- rés legítimo, si existen envíos de publicidad, si se ceden los datos de los clientes a terceros, si trata- mos datos especiales, si aconte- cen transferencias internacionales de datos… Y llegó el tsunami . Tal como se preveía, se inundaron nuestros dis- positivos por las olas de correos electrónicos recibidos provenientes de las rezagadas y, me atrevo a decir en muchos casos, asusta- das entidades, en la antesala y desde la directa aplicación, el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD). El ner- viosismo y alarma social generados me pide intentar aportar opinión, coherencia, tranquilidad y unas bre- ves aclaraciones al respecto. Es de aplicación el comenta- do RGPD, y como faro que ilu- mine nuestros procedimientos en aras del cumplimiento, la Agencia Española de Protección de Datos. Se agradece el proactivo trabajo de la misma y las interesantes obser- vaciones de la décima sesión del pasado 4 de junio. Ámbito Proteger los derechos y las liber- tades fundamentales de las per- sonas físicas. La legislación solo Javier Pascual Bermejo Abogado, Socio Director de Segurlex Consultores & Compliance Abogados Y llegó el tsunami. 'Be water, my friend'

RkJQdWJsaXNoZXIy MzA3NDY=