GDPR: ¿cómo obtener el consentimiento del cliente?

Posted by media on 18/01/18 9:00

consentimiento_cliente_nuevo_RGPD.png

¿Has pensado cómo vas a obtener el consentimiento de tus clientes para poder tratar y usar sus datos personales en todas las interacciones de tu empresa con ellos a partir del 25 de mayo de 2018?

En esa fecha entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (GDPR , también conocido como GDPR) en toda la UE. A partir de ese momento, las empresas no podrán utilizar los datos de sus clientes a menos que puedan demostrar que tienen su consentimiento inequívoco para ello (entre otros requisitos).

En este post explicamos a qué se refiere exactamente el nuevo GDPR con la expresión “consentimiento inequívoco”, qué opciones existen para cumplir con este requerimiento, y cómo se puede obtener dicho consentimiento inequívoco de forma fácil, rápida y coste-efectiva.

Este post también está disponible en inglés.

 

El GDPR refuerza la protección de datos personales

El nuevo Reglamento Europeo de Protección de Datos NO admite el consentimiento tácito o sobreentendido de los clientes para poder proceder al tratamiento de sus datos personales.

Uno de los objetivos del GDPR es reforzar la protección de datos de los ciudadanos europeos. Estos deben asumir el valor de su información personal como usuarios de servicios y confiar sus datos personales solo a aquellas empresas que puedan asegurar activamente su protección.

Es por ello que el consentimiento para el tratamiento de los datos personales adquiere mayor relevancia en la nueva normativa europea. Ya no se admite en ningún caso el consentimiento tácito o sobreentendido.

A partir del 25 de mayo de 2018 habrá que obtener el consentimiento de los clientes o usuarios de modo que no surjan dudas respecto a su voluntad de compartir sus datos personales.

 

El Grupo de Trabajo del Artículo 29

La Comisión Europea ha creado un órgano consultivo independiente denominado Grupo de Trabajo del Artículo 29 (GT 29), para ayudar a las empresas a adaptarse al nuevo Reglamento General de Protección de Datos.

Dicho GT29 está integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea - que realiza funciones de secretariado.

El 28 de noviembre de 2017, el Grupo publicó el borrador de Directrices sobre el consentimiento bajo el Reglamento General de Protección de Datos para facilitar la comprensión del término “consentimiento” en virtud del Reglamento 2016/679.

 

Comision_Europea_logo.svg.png

 

¿Qué es el consentimiento inequívoco según el nuevo Reglamento Europeo de Protección de Datos?

El consentimiento es una más de las condiciones de licitud para el tratamiento de los datos personales. El nuevo GDPR ha introducido algunas novedades respecto al consentimiento, en particular lo que se refiere a su carácter inequívoco.

 

¿Qué es el consentimiento?

El Reglamento define el consentimiento en su artículo 4.11 :

“El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

Así, el Reglamento añade expresamente el elemento inequívoco con respecto a la regulación anterior, que no lo contemplaba (la Directiva 95/46/CE).

Este adjetivo exige que el interesado acepte el tratamiento de sus datos personales a través de una declaración, que puede ser realizada por medios electrónicos.

Básicamente se habla de una manifestación de voluntad que se obtenga de manera independiente al hecho de acordar un contrato o de aceptar los términos y condiciones aplicables a un servicio.

De no cumplir con la obtención de un consentimiento libre, específico, informado e inequívoco, podría darse un perjuicio económico para la empresa en forma de multas y sanciones que el Reglamento regula, además de una posible responsabilidad civil en favor del afectado.


El consentimiento expreso  

El Reglamento señala que podría ser necesario un consentimiento expreso para tratar los siguientes datos:

  • para categorías especiales de datos (artículo 9)
  • para transferencias internacionales de datos (artículo 49)
  • para la toma de decisiones individuales automatizadas (art. 22)

En estos casos se considera apropiado elevar el nivel de control individual sobre los datos personales. Una forma obvia de asegurarse de que el consentimiento es explícito es a través de una declaración escrita firmada por el interesado.

En el contexto digital, esta declaración escrita se puede conseguir firmada mediante el uso de la firma electrónica, medio directamente recomendado por el GT29 (4. Obtaining explicit consent ). De este modo se eliminan todas las posibles dudas y y la potencial falta de evidencias en la obtención del consentimiento expreso.

phone-1.png

Además de inequívoco, el consentimiento debe ser libre, específico e informado

Los otros requisitos del consentimiento, además de que sea inequívoco, también son objeto de análisis por el Grupo de Trabajo del Artículo 29:

  • LIBRE:

Para que el consentimiento sea libre debe existir una opción real y control por parte del interesado.

Además, el Grupo de Trabajo del Artículo 29 señala que el consentimiento no se considerará otorgado de forma libre cuando la denegación o retirada del consentimiento implique consecuencias negativas para el interesado.

  • ESPECÍFICO:

Las finalidades del tratamiento de datos deben aparecer de manera específica y no pueden ampliarse una vez que el sujeto ha consentido la recogida y el tratamiento de sus datos.

Se señala la necesidad de que el consentimiento sea granular, es decir, que exista una opción de consentimiento para cada finalidad.

Todo ello debe ir acompañado de información específica y separada para cada uno de los consentimientos.

  • INFORMADO:

Si el responsable del tratamiento no proporciona información accesible al interesado, el consentimiento no será válido.

El Grupo de Trabajo del Artículo 29 señala el contenido mínimo de información necesaria, indicando que en algunas situaciones será necesario ampliar esta información con el fin de garantizar que el individuo comprende las operaciones de tratamiento que se realizarán de sus datos personales.


No será válido usar extensas políticas de privacidad ilegibles o llenas de terminología legal.


El consentimiento debe ser claro y distinguible de otros asuntos. Es decir, la información relevante no puede camuflarse en un párrafo dentro de los términos y condiciones.

¿Qué información hay que ofrecer a los interesados según el GDPR ?

La información que hay que proveer a los interesados en términos generales sería:

1. La necesidad del tratamiento de datos, así como de la finalidad y temporalidad (por cuánto tiempo van a tratarse los datos).

2. Los derechos del interesado y cómo ejercerlos.

3. Información respecto al Responsable y/o Encargado del Tratamiento de Datos, así como del Delegado de Protección de Datos (Data Protection Officer) en su caso.

¿Qué ocurre con los consentimientos obtenidos antes del 25 de mayo de 2018?

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR - el 25 de mayo de 2018 - solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento.

Es decir, cuando sean consentimientos inequívocos de la voluntad, pero también verificables.

El GT29 aconseja que todas las empresas revisen sus sistemas y procedimientos de recogida de datos personales para garantizar el cumplimiento de los requisitos previstos en el Reglamento. Es probable que, en muchos casos, estos sistemas y procedimientos deban ser actualizados.

Las empresas también deben comprobar que los mecanismos para revocar fácilmente el consentimiento están disponibles, y que se proporciona la información al interesado sobre los mismos.

Así que para evitar la situación en la que el tratamiento de los datos personales se presentase como ilícito al no cumplir las exigencias del nuevo Reglamento, se recomienda conseguir de nuevo el consentimiento por parte del responsable del tratamiento para todos aquellos clientes o usuarios cuyo consentimiento se consiguió antes del 25 de mayo de 2018, probablemente sin tener en cuenta los requisitos que estipula el nuevo GDPR .  

 

¿Qué opciones tienen las empresas para cumplir con los requerimientos del consentimiento?

El Reglamento señala que la manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro.

En su Considerando 32, el GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro:

«podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».

Queda claro por tanto que el consentimiento tácito no será válido a partir del 25 de mayo de 2018.

El Grupo de Trabajo del Artículo 29 indica que el concepto de “clara acción afirmativa” implica la realización de una acción deliberada por parte del interesado para mostrar conformidad con un tratamiento concreto de datos personales.

En el caso de los datos que se obtienen de forma online será válido insertar una casilla en un formulario web que permita acreditar que el interesado consiente la propuesta de tratamiento de sus datos personales. Como ya hemos comentado, esta casilla de ninguna forma puede estar pre marcada.

Pero aunque pueda parecer sencillo incluir una casilla en una web que el usuario tenga que marcar para poder registrar su consentimiento, para que sea legítimo, tiene además que poder ser demostrable. Ya no basta con obtenerlo conforme a lo que estipula el GDPR , también debemos ser capaces de acreditar que así lo hemos hecho.


El consentimiento debe ser acreditable
gracias al principio de “accountability” o de “responsabilidad proactiva”.


 

¿Qué hay que hacer para que el consentimiento sea acreditable?

Para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente:

  1. ¿Quién otorgó su consentimiento?

Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.

  1. ¿Cuándo y cómo se otorgó el consentimiento?

Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo.

En el caso de que se obtenga el consentimiento por escrito de forma offline, hay que aportar una copia - con fecha y firma del interesado - del documento (consentimiento) con sus cláusulas informativas.

  1. ¿Qué información recibió la persona que consintió?

Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles:

       Primera capa: información básica

Esa información básica debe presentarse de forma que sea fácilmente visible para el interesado. Para identificarla, se debe utilizar un título como “Información básica sobre protección de datos”.

Segunda capa: información adicional

Esta información debe completar con todos los detalles la información resumida, así como añadir información adicional, requerida por el GDPR, y que no estuviera incluida en la primera capa.

Es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos.

Varios casos:

  • Formularios online: se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes.

  • Formularios offline: se debe tener el formulario en papel, con la fecha y la firma del dueño de los datos, y con las cláusulas informativas que se le proporcionaron.

  • Doble opt-in: este es el caso en el que se envía al interesado un correo electrónico de verificación para confirmar su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.

¿Cómo se puede obtener el consentimiento inequívoco de forma fácil, rápida y coste-efectiva?

Como hemos comentado, hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento.

Por ello, es importante revisar los sistemas de registro del consentimiento, para que sea posible verificarlo ante una auditoría.

El responsable del tratamiento de los datos tiene libertad para implementar la forma de obtención del consentimiento que más se adapte a los procesos internos de la empresa, así como las medidas técnicas y organizativas más idóneas para demostrar el correcto procedimiento de obtención de la información.  

 

  • La firma electrónica de Signaturit, solución rápida y coste-efectiva para obtener el consentimiento inequívoco y/o expreso

Para transformar los consentimientos tácitos en inequívocos y/o expresos, la firma electrónica de Signaturit se presenta como la mejor solución.

Un mecanismo práctico, seguro y legal que convierte el consentimiento a través de la firma electrónica en un acto afirmativo claro, que es lo que exige el GDPR.

La firma electrónica, con su sellado de tiempo, permite probar la integridad del consentimiento convirtiendo este acto es un proceso fácil, seguro y con plenas garantías legales.

 

Conclusión

Aquellas empresas que se pongan en marcha para cumplir con el nuevo Reglamento Europeo de Protección de Datos antes del 25 de mayo de 2018 tienen una sola opción: realizar una análisis exhaustivo de cómo recogen y tratan datos de personas físicas, y verificar si cumplen íntegramente con el Reglamento de Protección de Datos.

Las empresas no pueden fiarse de que actualmente estén cumpliendo con el nuevo GDPR, puesto que ha introducido cambios importantes con respecto a la ley anterior.

Además, es importante destacar que, junto con las altas sanciones previstas por incumpliento de alguna de sus exigencias, debemos tener en cuenta el hecho de que la carga de prueba no recae sobre el demandante, sino sobre el demandado.

Adaptar los mecanismos de recolección y tratamiento para respetar la nueva visión del Reglamento, que refuerza el consentimiento del usuario para que su voluntad no arroje dudas, es uno de los retos más importantes que los responsables del tratamiento tendrán que asumir en las empresas.

Si tienes preguntas respecto a cómo obtener el consentimiento inequívoco con nuestra solución de firma electrónica por favor envíanos un email info@signaturit.com o llámanos al 93 551 14 80.

Este post también está disponible en inglés.


New Call-to-action

 

Topics: GDPR

Subscríbete al blog

Últimos posts