Y llegó el tsunami. Tal como se preveía, se inundaron nuestros dispositivos por las olas de correos electrónicos recibidos provenientes de las rezagadas y, me atrevo a decir en muchos casos, asustadas entidades, en la antesala y desde la directa aplicación, el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD). El nerviosismo y alarma social generados me pide intentar aportar opinión, coherencia, tranquilidad y unas breves aclaraciones al respecto.
Es de aplicación el comentado RGPD, y como faro que ilumine nuestros procedimientos en aras del cumplimiento, la Agencia Española de Protección de Datos. Se agradece el proactivo trabajo de la misma y las interesantes observaciones de la décima sesión del pasado 4 de junio.
Ámbito
Proteger los derechos y las libertades fundamentales de las personas físicas. La legislación solo afecta a la información de éstas últimas, no de las compañías, asociaciones, organismos públicos. Eso sí, huelga decir que las entidades con personalidad jurídica se componen de personas físicas.
Tratamientos y consentimiento
El RGPD no exige pedir consentimiento para el tratamiento de datos personales si la entidad ya lo obtuvo antes de forma lícita. Cada empresa trata unos datos para unos fines específicos, por lo que una política de privacidad de una empresa no es aplicable para otra. Sí se exige la renovación de una aceptación cuando anteriormente el consentimiento se sostuviera sobre una aceptación no expresa o tácita. Válido antes, no ahora. De igual modo, cuando se pretendan usar los datos para distintas finalidades.
Son muy diversas las variables a tener en cuenta, como puedan ser si nuestros clientes son personas físicas o no, si el consentimiento expreso se obtuvo previamente, la existencia de contratos con los clientes que justifiquen un interés legítimo, si existen envíos de publicidad, si se ceden los datos de los clientes a terceros, si tratamos datos especiales, si acontecen transferencias internacionales de datos…
El consentimiento expreso es uno de los puntos que más nerviosismo y alarma está ocasionando. Si en el pasado obtuvimos el consentimiento expreso de los clientes no tenemos que volver a solicitarlo, como se ha dicho, y es que además se corre un innecesario riesgo de que alguien cuyo consentimiento ya teníamos lo deniegue en esta ocasión.
Recordemos la existencia de los contratos verbales en nuestro ordenamiento jurídico, aunque siempre tendremos una garantía jurídica más determinante si son documentados por escrito.
Valga de muestra un botón. En consulta a la Agencia Española de Protección de Datos sobre si era necesario el consentimiento expreso para poder emitir facturas y guardar esos datos para emitirlas, la Agencia se pronunció en el sentido de que si el cliente solicita la emisión de una factura, se establece una relación contractual en la que se recogen datos personales para gestionar la emisión de la misma que legitima el tratamiento de datos, y en supuestos como el enjuiciado se eximirá de la necesidad del consentimiento al establecer, como excepción al mismo, que no es necesario el consentimiento cuando los datos se refieren a las partes de un contrato o precontrato y sean necesarios para su mantenimiento o cumplimiento.
Volviendo a destacar la importancia de la finalidad antes citada respecto al consentimiento, en los casos de cesión a terceros, si en un futuro queremos ceder los datos de nuestros clientes a terceros para que éstos luego ofrezcan sus servicios, si no hemos solicitado el consentimiento, bajo ningún concepto podremos ceder los datos nunca. Nunca, hasta que no obtengamos el explícito consentimiento.
El Reglamento General de Protección de Datos no exige pedir consentimiento para el tratamiento de datos personales si la entidad ya lo obtuvo antes de manera lícita
Política de privacidad
Tendremos que reelaborar nuestra política e incluir información actualizada de quienes estemos tratando sus datos o que tengamos pensado tratar.
¿Obligatoriedad de envío por correo electrónico? No, aunque puede ser un medio eficiente, que no significa que sea el más adecuado, pues puede tener las políticas ya adaptadas anteriormente.
Prestaciones nuevas
En base a la alarma generada, posiblemente los proveedores de servicios nos ofrezcan aplicaciones para gestionar bases de datos y servidores en línea. Que sean muy útiles para cumplir los principios no significan que sean obligatorias. Para algunos casos son más que recomendables, pero en muchos, y vuelvo a resaltar su gran utilidad, no son obligatorias.
Fase Zen
Pero entonces, ¿qué pasa con esto del nuevo RGPD? Pasa que debemos asesorarnos por especialistas en la materia y adecuarnos coherentemente de la mejor forma posible, sí o sí, perogrullada al canto, dado que las multas son para tomar el tema muy muy en serio. Y es que estamos ante derechos fundamentales, pero la anterior legislación de protección de datos era concreta, específica y de muy amplio espectro, la cual nos ha proporcionado garantía jurídica. Por lo tanto, a quienes hayan convivido hasta esta nueva legislación con procedimientos y políticas adecuadas a la misma, la adecuación les va a resultar llevadera. Trabajo de campo, no lo niego, trabajo a realizar, adaptación sin genero de duda, algún que otro recurso, o muchos en algunos casos, pero coherencia y serenidad.
Es quizás poco probable ser sancionado ya por el hecho de no haberse adaptado, aunque se haya tenido dos años para ello. Dependerá obviamente del caso, no bajemos la guardia. Recuerde, lector: si no acaece un incumplimiento, o de haberlo no hay reclamación o actuación de oficio, no hay sanción.
Aunque no haya llegado a tiempo para la adaptación, lo verdaderamente importante es ponerse a ello cuanto antes, con la ayuda de un consultor. La sensación que tenemos desde Segurlex Consultores & Compliance Abogados es que hemos asistido a una alarma social exagerada, que ha dado lugar a que multitud de entidades empresariales, pymes y profesionales, incluso marcas de afamada reputación empresarial, se hayan quizás precipitado con envíos masivos innecesarios. Y ya estamos viendo en muchos casos, erróneos.
Concluyendo, trasladar un mensaje de tranquilidad y felicitación para quienes ya iniciaron y procedieron a la adaptación. También de tranquilidad, pero en este caso de mayor responsabilidad y proactividad en aras de la completa adecuación para quienes cumplen parcialmente. Y para los que no estaban alineados con la Ley Orgánica de Protección de Datos en su momento, ni lo estén ahora con el RGPD, que pasen de fase Rem a fase Zen; sin alarmismos, pero despierten y manos a la obra ya, de la mano de consultores y asesores especializados. No es cuestión baladí.
