Alejandro García del Valle, Riestra Abogados. especializados en marketing legal

A estas alturas, la existencia y advenimiento del nuevo Reglamento Europeo de Protección de Datos (RGPD) ya es un hecho ampliamente conocido. Vigente desde el año 2016, el nuevo Reglamento empezará a aplicarse el día 25 de mayo del presente 2018 y las empresas deben empezar, si no lo han hecho ya, a adaptarse a la nueva norma que será obligatoria a partir del mes de mayo. Son muchas las novedades que trae este Reglamento y que pretenden, por un lado, ofrecer una mayor protección y mayores garantías a los usuarios, y por otro lado, un mayor compromiso y responsabilidad a las entidades que realizan tratamientos de datos de carácter personal.

Las empresas tienen que estar adaptadas al RGPD en mayo de 2018

De forma general,debemos saber que a partir del próximo mes de mayo, el Reglamento va a suponer la norma de referencia en lo que a materia de protección de datos se refiere. Si bien es cierto, también tendremos una nueva Ley Orgánica de Protección de Datos que desarrollará las disposiciones del Reglamento y que, por el momento, aún es un proyecto de ley.

El RGPD será la norma de referencia y trae muchas novedades tanto para usuarios como para empresas

Ante este panorama normativo, una buena forma de comenzar la adaptación al Reglamento es mediante la actualización de la página web y la regulación de las bases de datos, no olvidando, naturalmente, el resto de obligaciones y medidas que debemos implementar en la empresa y que deberían estar listas para la fecha de aplicación del Reglamento.

Igualmente, habrá una nueva Ley Orgánica de Protección de datos (LOPD) pero está en proyecto de ley.

Adecuación del website al nuevo Reglamento RGPD

La página web es un buen comienzo para adecuarnos al nuevo Reglamento ya que es una de las partes más visibles de un negocio y a través de la cual, los usuarios pueden acceder a la información, productos, servicios, etc. de la empresa.

La web supone un buen comienzo para adaptarnos al Reglamento

Una de las nuevas obligaciones que el Reglamento establece es la realización de una valoración del riesgo y que, por supuesto, dicha valoración debe abarcar necesariamente el flujo de información personal que pueda existir en la página web. En este sentido, el titular de la página web debe cuestionarse acerca de la categoría de información objeto del tratamiento, teniendo en cuenta cuestiones como el tratamiento de datos sensibles, el volumen de registros tratados, la elaboración de perfiles, el cruce de bases de datos, finalidades, utilización de técnicas de análisis de datos, utilización de tecnologías de geolocalización, vigilancia, etc.

El Reglamento establece la obligación de “valoración de riesgo”

En función de esta valoración, el responsable del website debe aplicar las medidas de seguridad oportunas que permitan que la captación y transmisión de la información se realice en un entorno protegido y seguro. A modo de ejemplo,podemos citar como medidas de seguridad el cifrado de la página web a través de protocolos seguros de transferencia, las conocidas páginas web seguras (https), o bien la inclusión de nombres de usuario y contraseñas para poder acceder a determinados servicios.

Ejemplos de medida de seguridad son las https y los nombres de usuarios y contraseñas

En aquellos casos en los que vayamos a crear una página web o bien incluir nuevas secciones o canales a través de los cuáles se pueda intercambiar información de carácter personal, deberemos tener en cuenta la obligación de la protección de datos desde el diseño y por defecto por la cual, desde el desarrollo de la página web o bien desde el momento en que determinemos un tratamiento de datos, y atendiendo a los posibles riesgos de tal tratamiento, deberemos aplicar las medidas técnicas y organizativas adecuadas para el cumplir con lo establecido en el Reglamento y garantizar y proteger los derechos de los usuarios. Asimismo, estas medidas garantizarán igualmente que únicamente captemos aquella información personal que sea adecuada a las finalidades del tratamiento.

La protección de datos tiene que ser contemplada desde el diseño y por defecto. Solamente captaremos aquella  información personal adecuada a las finalidades del tratamiento.

Otro aspecto de radical importancia es la captación del dato. En este sentido, el Reglamento establece un deber de información ampliado. Hasta ahora, era suficiente con incluir una cláusula de protección de datos donde el responsable del tratamiento debía informar de quién captaba el dato, cuáles eran las finalidades de dicha captación, la posibilidad de ceder los datos a terceras empresas, del carácter obligatorio u opcional de los campos y de los derechos que asistían a los afectados. Con el nuevo Reglamento, este deber de información se amplía considerablemente.

Cobra especial importancia la captación del dato que establece un deber de información ampliado

La recogida de información en el nuevo reglamento

En primer lugar, el Reglamento establece que la información debe ofrecerse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

La propuesta de la Agencia Española de Protección de Datos para dar cumplimiento a este deber de información es ofrecer tal información a través de dos capas. Es decir, ofrecer la información obligatoria en dos momentos diferentes. En una primera capa, el responsable de la página web deberá ofrecer de forma estructurada y a través de una tabla ubicada dentro del campo de visión del interesado en el momento de la recabación de los datos, la información básica de tal captación de datos y en el que se deberá informar de la identidad del responsable que capta los datos, de la finalidad de tal captación, de la legitimidad para captar el dato, de los destinatarios de los datos en caso de haber cesiones, de los derechos de los usuarios, así como otra información adicional.

La información debe ofrecerse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo

Ya en una segunda capa, el responsable del tratamiento deberá desarrollar de una forma mucho más amplia la información ofrecida en la primera capa, incluyendo además aquella información no contenida en dicha primera capa, tal como la identidad del Delegado de Protección de Datos en su caso, plazo de conservación de los datos, del carácter obligatorio u opcional de la información, procedimiento de ejercicio de derechos, etc.

Esta segunda capa se podrá incluir en un aviso legal, en un canal de política de privacidad, o una página o canal adicional. En cualquier caso, tanto la primera capa deberá enlazar con la segunda para que el acceso para los usuarios sea mucho más sencillo.

El deber de información tiene que ser ofrecido en dos capas, en dos momentos diferentes

Adecuación de las bases de datos al nuevo Reglamento

Una de los cambios más notables del Reglamento a la hora de captar información personal es la obligación de recabar del interesado y en todo caso un consentimiento expreso para el tratamiento de sus datos. Ya no serán válidos aquellos consentimientos tácitos y presuntos, los cuales, ante la inacción por parte del usuario, se entendía que otorgaba su consentimiento para el tratamiento de sus datos.

El consentimiento por parte del usuario tendrá que ser “expreso”, ya no vale el tácito

Según el Considerando 32 del Reglamento Europeo, el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.

Logotipo de Riestra Abogados

Por tanto, a partir del próximo 25 de mayo de 2018, el tratamiento de los datos deberá realizarse exclusivamente con el consentimiento expreso por parte de los usuarios, pero, ¿qué hacemos con las actuales bases de datos?, ¿podremos seguir utilizándolas? ¿son válidos los consentimientos que hayamos podido recabar?

En este sentido, el proyecto de Ley Orgánica de Protección de Datos se pronuncia afirmando que, en relación a consentimientos previos al nuevo Reglamento, no será necesario recabar nuevamente dicho consentimiento si éste fue captado conforme al nuevo Reglamento.

Para actuales bases de datos no será necesario recabar nuevamente dicho consentimiento si este fue captado conforme al nuevo Reglamento.

Con estas manifestaciones podemos concluir que los consentimientos basados en una acción tácita o presunta captados con anterioridad al Reglamento ya no serían válidos, ya que estos consentimientos tácitos no se adecuan al nuevo Reglamento. Sin embargo, cabría la posibilidad de considerar adecuados aquellos consentimientos recabados bajo la excepción del artículo 21 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Según esta ley, el envío de información comercial por medios electrónicos requiere del consentimiento expreso de los usuarios a menos que exista una relación previa entre el responsable y el usuario. En este caso, el consentimiento podrá ser tácito siempre y cuando hayamos captado los datos conforme a la ley. Y así lo establece el Reglamento europeo diciendo que cabría la posibilidad de considerar adecuado un consentimiento tácito cuando exista por parte del responsable un interés legítimo, como por ejemplo el que existe en una relación pertinente y apropiada entre el interesado y el responsable, como en aquellas situaciones en las que el usuario es el cliente o está al servicio del responsable. En cualquier caso, para determinar si es posible aplicar esta regla deberemos atender a las concretas circunstancias de cada tratamiento.

Como dato importante, debemos señalar que las bases de datos que captemos a partir de la aplicación del Reglamento europeo, no deberán ser notificadas o inscritas en la Agencia Española de Protección de Datos. Con la actual normativa, esta es una obligación que debe cumplirse cumplimentando los formularios correspondientes y presentándolos en el Registro de la Agencia de Protección de Datos. Sin embargo, con el nuevo Reglamento, tal obligación quedaría suprimida.

Las bases de datos captadas a partir del nuevo reglamento no deben ser notificadas a la AEPD, queda suprimida esta obligatoriedad.

Por tanto, y a modo de conclusión, para una correcta adaptación de nuestra página web debemos considerar el tipo de información que estamos tratando a través del site para aplicar las correspondientes medidas de seguridad y actualizar las cláusulas de captación de datos personales para adecuarlas a las exigencias del Reglamento y ofrecer a los interesados la información obligatoria. Todo ello, naturalmente debe realizarse antes del 25 de mayo, por lo que es conveniente iniciar, si no se ha hecho ya, las acciones de adecuación.