Poco antes del 25 de mayo de 2018, la bandeja de entrada de nuestro email se llenaba de mensajes solicitándonos renovar el consentimiento para adaptarlo a la nueva política de protección de datos. Es un hecho que muchos de esos mensajes ni siquiera han sido abiertos. ¿Qué va a pasar ahora con los datos de todos esos clientes que no han renovado el consentimiento?

Es muy habitual dejarlo todo para el final, y la protección de datos no iba a ser una excepción. El Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; en adelante RGPD), entró en vigor el 25 de mayo de 2018, y lo hizo con una “vacatio legis” de dos años, precisamente porque, dada la complejidad de la norma, se entendió desde el legislador comunitario que era necesario un periodo de adaptación.

El pasado 25 de mayo de 2018, fecha en que el RGPD comenzó a ser plenamente aplicable en todos los Estados de la Unión, fuimos sometidos a un bombardeo sin precedentes, especialmente a través del email, en el cual las empresas nos instaban a renovar nuestro consentimiento para seguir tratando nuestros datos de carácter personal.

Como ciudadanos, hemos reparado en que nuestros datos constaban en los registros de muchas empresas, de las cuales ni siquiera éramos conscientes de su existencia y, en la mayoría de los casos hemos aprovechado la ocasión para dejar de recibir sus comunicaciones, simplemente dejando de aceptar su solicitud.

¿Pero es necesario el consentimiento de los interesados para tratar sus datos de carácter personal?

El RGPD nos habla de legitimación para el tratamiento de datos (principalmente en su art. 6, utilizando el término “licitud”), reconociendo el consentimiento como una de las condiciones para poder tratar datos de carácter personal, pero no la única.

Así, el responsable podrá tratar los datos para fines legítimos siempre que sea necesario para la ejecución de un contrato en el que el interesado sea parte, cuando el tratamiento sea necesario para cumplir con una obligación legal del responsable, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física; cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; o el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En caso de encontrarnos fuera de cualquiera de estos supuestos, los datos únicamente podrán ser tratados con el consentimiento del interesado.

Pero no todo el consentimiento es válido, el RGPD impone en su considerando 32, que el consentimiento “debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, no se admite, por tanto el silencio, las casillas ya marcadas o la inacción. Además, el consentimiento ha de darse para cada uno de los fines del tratamiento.

Si antes del 25 de mayo de 2018 ya contábamos con el consentimiento del interesado y el mismo había sido prestado con estas características, no es necesario volver a solicitarlo, lo mismo sucede si el tratamiento puede ampararse en alguno de los otros supuestos de licitud.

Es un hecho que muchas empresas se han prestado a solicitar consentimientos que ya tenían (sin duda mal asesoradas) y han perdido con ello gran parte de su base de datos, con todos los perjuicios que ello conlleva.

Debemos distinguir en todo momento el deber de informar de la necesidad de obtener el consentimiento.

Así, el considerando 60 del RGPD  exige que, para cumplir con los principios de transparencia y lealtad, se informe al interesado de la existencia de cualquier tratamiento y sus fines. Debemos informar a los interesados sobre el uso que estamos dando a sus datos, pero como ya hemos visto, muchas veces no necesitaremos su autorización para tratar los mismos.

Y esta distinción puede suponer una gran diferencia a nivel operativo.

La Agencia Española de Protección de Datos (AEPD), junto con las Autoridades Vasca y Catalana, han desarrollado una “Guía para el cumplimiento del deber de informar” cuya finalidad principal es “orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten” https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

¿Qué pasa entonces si el interesado no consiente?

Puede ser que el titular de los datos no haya abierto el email, no lo haya entendido, o simplemente no haya querido realizar la acción positiva de aceptar. Da igual el motivo, pues en principio tenemos que considerar que el consentimiento no ha sido otorgado.

A partir de aquí va a depender de si ese consentimiento era imprescindible o podemos reconducir la legitimación para el tratamiento a alguna otra fuente de las contenidas en el art. 6 del Reglamento General de Protección de Datos.

Si no existe otra base legítima, el consentimiento se hace obligatorio y por tanto, si no lo tenemos, no podemos seguir tratando esos datos.

Se hace necesaria entonces su supresión, pues tal y como dispone el art. 17 del RGPD: los datos han de ser suprimidos cuando retire el interesado retire el consentimiento. Podemos entender que el consentimiento con los requisitos del RGPD nunca ha sido otorgado y, por tanto, la permanencia de esos datos en poder del responsable no sería lícita.

Sí debemos mantener los datos cuando los mismos sean necesarios para el ejercicio del derecho a la libertad de expresión o información, para cumplir con una obligación legal derivada del derecho de la Unión; o para el cumplimiento de una misión realizada en interés público o en ejercicio de los poderes públicos; por razón de interés público en el ámbito de la salud; con fines de archivo, de investigación científica o histórica o fines estadísticos; o para el ejercicio de reclamaciones.

Por lo tanto, y a modo de conclusión, hemos de determinar en primer lugar, si existe o no necesidad de solicitar de nuevo el consentimiento, bien porque ya lo tuviéramos anteriormente con los requisitos que marca el RGPD, bien porque el tratamiento sea lícito de acuerdo a otra base de legitimación.

En caso de ser necesaria esa solicitud de consentimiento, si no ha sido otorgado correctamente, el responsable tendrá que abstenerse de hacer uso de los datos y proceder sin demora a su supresión, salvo que deba conservarlos en virtud de lo dispuesto en el  art. 17.3 del RGPD.

Marian Rojo Setién

Responsable del Área de Protección de Datos de Letradox Abogados

www.letradox.com

Asociada de ENATIC