El nuevo Reglamento de protección de datos, ya de obligado cumplimiento en toda Europa, ha traído consigo un aluvión de “emails” sobre la norma, en los que en unos sí y en otros no, piden a los ciudadanos que renueven el consentimiento para poder seguir usando sus datos.
Pero, ¿cuándo están obligadas las empresas a “revalidar” ese consentimiento y cuándo pueden seguir operando con el que les dieron cuando comenzó la relación entre ellos?
El Reglamento General de Protección de Datos (RGPD), que regula el tratamiento de cualquier dato personal, “no obliga a revalidar el consentimiento si ya lo tienen de forma expresa y lo pueden demostrar”, explica el experto en Derecho y Estrategia Digital Borja Adsuara.
Las empresas que están volviendo a pedirlo son, “sobre todo, las que trabajaban con un consentimiento supuestamente tácito o sin ningún consentimiento, es decir, “habían pillado los datos por ahí”, añade.
La experta argumenta que “hay distintas bases legales” para el tratamiento de datos y que el consentimiento es una de ellas, pero también están los casos en los que la empresa, en aplicación de un contrato, necesita esa información personal para prestar un servicio al cliente.
“Ejemplo: soy una antigua y me gusta recibir el periódico en papel en mi casa. Tienen mi dirección y pago mensualmente. Espero seguir recibir el periódico en mi puerta, nada cambia, el contrato es el mismo y mi dirección es necesaria para la prestación del servicio”, explica.
Pero también están las empresas “que no piden el consentimiento porque creen que no lo necesitan, pues hacen tratamiento de los datos personales bajo la base legal del ‘interés legítimo’”, añade Adsuara.
Pero hay más supuestos y uno de ellos, quizás el que más opiniones diversas suscita, es el tratamiento de los datos personales con fines de mercadotecnia directa, es decir, para que una empresa te mande publicidad de sus servicios, para lo que no haría falta consentimiento del cliente.
Para Gerbolés, sin embargo, este supuesto “no tendría por qué ser un coladero”, porque se trata sólo para casos en los que la compañía informa de sus propios productos, es decir, nunca de otras empresas o proveedores porque de lo que se trata de es de evitar que se utilice a los clientes “como canal de venta”.
Ante el aluvión de correos electrónicos, el consejo de Adsuara, exdirector general de Red.es y profesor universitario, “es no contestar y aprovechar para hacer limpieza”.
El RGPD, que prevé millonarias multas para quien lo incumpla -hasta 20 millones de euros o el 4% de la facturación-, sustituye a una Directiva en materia de protección de datos personales que data de 1995, antes de que Google, las redes sociales y los teléfonos inteligentes cambiasen para siempre el mundo digital en el que nos movemos.
