La histórica legislación ha cambiado la forma en que las organizaciones abordan la privacidad de los datos y devuelve a los consumidores al asiento del conductor, dándoles un mayor control sobre cómo se almacenan y procesan sus datos.
Cuando el GDPR entró en vigor el 25 de mayo de 2018, significó la mayor sacudida de las leyes de privacidad de datos en 20 años.
La legislación se introdujo para reflejar nuestro mundo cada vez más digitalizado y reconocer los derechos de las personas en cuanto al uso de sus datos personales.
Prácticamente todos los servicios que utilizamos, ya sea una plataforma de redes sociales, un minorista o un banco, recogen, analizan y almacenan nuestros datos personales. En virtud del RGPD, las organizaciones están obligadas a demostrar que manejan estos datos de forma legal, justa y transparente.
La UE define los "datos personales" como cualquier información que pueda utilizarse para identificar directa o indirectamente a una persona (sujeto de los datos). Esto puede incluir todo, desde el nombre, la dirección de correo electrónico, la dirección IP y las imágenes. También incluye los datos personales sensibles, como los datos biométricos o los datos genéticos, que podrían tratarse para identificar a una persona.
El tratamiento de datos personales está generalmente prohibido a menos que esté permitido por la legislación aplicable o que el interesado haya dado su consentimiento al tratamiento. Sin embargo, el consentimiento es sólo uno de los seis fines legítimos que se requieren para todo tratamiento de datos personales.
Consentimiento válido para el GDPR
Según el RGPD, el "tratamiento legal" sólo es posible cuando:
- Existe el consentimiento del interesado
- El tratamiento es necesario para la ejecución de un contrato con el interesado
- El tratamiento es necesario para cumplir una obligación legal
- El tratamiento es necesario para proteger los intereses vitales de un interesado o de otra persona
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
- El tratamiento es necesario a efectos de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que prevalezcan los intereses, derechos o libertades del interesado
¿Qué es el consentimiento?
El consentimiento es una forma de crear confianza entre un usuario y una organización. Tal y como lo define el GDPR: "El consentimiento es una indicación libre, específica, informada e inequívoca de los deseos del Titular de los Datos por la que éste, mediante una declaración o una acción afirmativa clara, manifiesta su acuerdo con el tratamiento de los datos que le conciernen."
El consentimiento se define como bastante limitado desde la perspectiva del RGPD. Por ejemplo, si un usuario da su consentimiento para que sus datos se utilicen con el fin de detectar un ciberfraude y sus datos se utilizan posteriormente con fines de marketing sin su conocimiento ni su elección, se trata de una violación de la privacidad personal del interesado.
Además, los formularios de consentimiento no pueden estar integrados en acuerdos de condiciones de servicio de larga duración. Para garantizar la transparencia, los formularios de consentimiento deben ser independientes, específicos y explícitos.
¿Qué hace que el consentimiento sea válido?
Cuando se requiera el consentimiento para el tratamiento de datos personales, deberán cumplirse las siguientes condiciones para que dicho consentimiento sea válido:
1. El consentimiento debe ser libre
Para que el consentimiento sea libre, la persona debe poder elegir si quiere que sus datos sean tratados o no. Si la persona no puede elegir el tratamiento de sus datos, el consentimiento no es libre y se considerará inválido. El individuo también debe poder rechazar el consentimiento sin ninguna repercusión negativa y tener la capacidad de retirar su consentimiento en cualquier momento. Siempre que sea posible, el consentimiento debe estar desvinculado de otros términos y condiciones.
2. El consentimiento debe ser específico
El consentimiento debe ser específico para los fines reales para los que se utilizarán los datos. Tal y como especifica el RGPD: "la obtención de un consentimiento válido sólo puede hacerse después de que el responsable del tratamiento haya determinado una finalidad específica, explícita y legítima para la actividad de tratamiento prevista." Cuando el tratamiento tiene múltiples fines, el consentimiento sólo debe darse para los fines basados en el consentimiento.
3. El consentimiento debe ser informado
Para que el consentimiento se considere válido, la persona debe saberlo:
- La identidad de la organización que trata los datos
- Los fines para los que se tratan los datos
- El tipo de datos que se procesarán
- La opción de retirar el consentimiento
4. El consentimiento debe ser inequívoco
El consentimiento debe darse mediante un acto afirmativo claro, de modo que los deseos del individuo queden claros. La solicitud de consentimiento debe hacerse en un lenguaje claro y sencillo, inteligible y fácilmente accesible. Puede ser mediante una declaración escrita u oral. El silencio, las casillas marcadas previamente o la inactividad no constituyen un consentimiento válido.
¿Cuáles son las normas sobre el consentimiento de los niños?
En general, se requiere el consentimiento de los padres para los menores de 16 años, aunque las edades requeridas para el consentimiento varían según el país participante en la UE. Además, hay que hacer esfuerzos razonables para verificar la identidad de la persona que da el consentimiento en nombre del niño.
El proceso de consentimiento puede ser más estricto bajo el GDPR, pero ofrece a las organizaciones la oportunidad de desarrollar mayores niveles de confianza y transparencia con sus clientes.
MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.
Más información:
Cómo afectará el GDPR al derecho a ser olvidado
Los 5 principales mitos del GDPR
Cinco maneras en que su empresa puede beneficiarse del GDPR
DESCARGO DE RESPONSABILIDAD: El contenido y las opiniones de este blog tienen únicamente fines informativos. No pretenden constituir un asesoramiento legal o profesional de otro tipo y no deben ser invocados o tratados como un sustituto del asesoramiento específico correspondiente a las circunstancias particulares, la Ley de Protección de Datos, o cualquier otra legislación actual o futura. MetaCompliance no se responsabiliza de los errores, omisiones o declaraciones engañosas, ni de las pérdidas que puedan derivarse de la confianza en los materiales contenidos en este blog.