Todo lo que querías saber sobre tus datos y no te atrevías a preguntar
Estarás harto de que te pidan consentimiento para el tratamiento de tus datos. Nuestro experto en derecho y tecnología te cuenta las claves de la nueva normativa
Estos días, seguramente, estarás recibiendo un aluvión de correos electrónicos o estarás viendo innumerables avisos (en ventanas emergentes) en las webs que visitas o en las aplicaciones que utilizas, que te solicitan tu consentimiento expreso para poder seguir tratando tus datos, cumpliendo el nuevo Reglamento General de Protección de Datos, que se aplica el próximo viernes, 25 de mayo.
En muchos casos te sorprenderá ver quiénes te escriben y te lo piden, porque no les conoces de nada y no recuerdas haberles dado nunca tu consentimiento para que capten y traten tus datos personales, ni...
Estos días, seguramente, estarás recibiendo un aluvión de correos electrónicos o estarás viendo innumerables avisos (en ventanas emergentes) en las webs que visitas o en las aplicaciones que utilizas, que te solicitan tu consentimiento expreso para poder seguir tratando tus datos, cumpliendo el nuevo Reglamento General de Protección de Datos, que se aplica el próximo viernes, 25 de mayo.
En muchos casos te sorprenderá ver quiénes te escriben y te lo piden, porque no les conoces de nada y no recuerdas haberles dado nunca tu consentimiento para que capten y traten tus datos personales, ni tienes la más mínima idea de qué datos tuyos pueden tener, ni para qué los estarán utilizando. Pues bien ha llegado el momento de saberlo… y de no darles tu consentimiento, si no quieres.
EL RGPD exige un consentimiento libre, informado, inequívoco y específico
EL RGPD exige un consentimiento libre, informado, inequívoco y específico, que debe plasmarse -para poder documentarse- en una declaración (con palabras) o en una clara acción afirmativa (marcar una casilla), para cada finalidad o uso. Obviamente, para poder dar tu consentimiento libre, te tienen que informar antes de qué datos tuyos tienen, o quieren, y para qué los usan, o quieren usar.
La obligación de información de la empresa
Según el RGPD de la UE y la Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de Datos, en el momento de recabar los datos, cuando se recaben del propio titular (art. 13) o, a más tardar, en el plazo de un mes o en la primera comunicación que se realice, si se obtienen por otros medios (art. 14), la empresa debe informarle a éste, entre otras cosas, de:
1. ¿Quién es el responsable del tratamiento? (y sus datos de contacto)
2. ¿Qué (tipos de) datos personales se tienen o se piden?
3. ¿A qué fines se van a destinar?, ¿se van a elaborar perfiles con ellos?
4. ¿Se piensan ceder a terceros?, ¿a quiénes y para qué?
5. ¿Con qué base jurídica (lícita) se van a tratar esos datos personales?
Lo de la base jurídica es importante, porque el consentimiento expreso del titular no es la única base jurídica (lícita) por la que un empresario puede tratar datos personales. Puede alegar un interés legítimo (suyo o de un tercero), pero debe decir cuál es ese interés legítimo y explicar por qué cree él que prevalece sobre los intereses o los derechos y libertades fundamentales del titular (su intimidad).
El derecho de acceso del cliente
Como algunas empresas no están solicitando el consentimiento expreso, porque consideran que ya lo tienen o que no es necesario (pues basan el tratamiento de datos personales en un interés legítimo, suyo o de un tercero), tampoco están facilitando a los titulares de esos datos la información que hemos mencionado. Pero éstos siempre pueden ejercer su derecho de acceso (art. 15).
El derecho de acceso ya existía en la anterior Directiva europea y en nuestra Ley Orgánica de Protección de Datos, pero en el RGPD se amplía y refuerza, siendo una de las principales novedades, junto con el derecho a recibir una información transparente (art. 12), por el que la empresa debe facilitarla “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.
En este sentido, cuando recibas un correo de una empresa a la que no recuerdes haber dado tus datos personales ni tu consentimiento (expreso) para utilizarlos, contesta -por el mismo canal que se ha puesto en contacto contigo- y pregunta, amparándote en el RGPD y citando las obligaciones (y sanciones) previstas en el mismo, todo lo que querías saber sobre tus datos y no te atrevías a preguntar.
Este es el modelo de solicitud de acceso y de información que deberás usar
En ejercicio de mi derecho de acceso, contemplado en el art. 15 del Reglamento General de Protección de Datos, de aplicación en toda la Unión Europea desde el 25 de mayo de 2018, les ruego que me confirmen si se están tratando (o no) datos personales que me conciernen y, en tal caso, me faciliten una copia de los mismos, así como la siguiente información:
1. ¿Quién es el responsable del tratamiento?
2. ¿Cuáles son sus datos de contacto?
3. ¿Qué datos personales tienen sobre mí?
4. ¿Cómo y de dónde los han obtenido?
5. ¿Con qué base jurídica se están tratando?
6. ¿A qué fines se está destinando cada uno de ellos?
7. ¿Se están elaborando perfiles con ellos?
8. ¿Hay decisiones automatizadas basadas en ellos?
9. ¿Se han cedido a terceros? ¿A quiénes?
10. ¿Para qué finalidades concretas se les han cedido?
En el caso de que la ‘base jurídica’ para el tratamiento de mis datos personales sea mi consentimiento (expreso), les ruego me faciliten una copia del documento en que éste se demuestra (art. 7.1). En el caso de que sea un ‘interés legítimo’, les ruego me indiquen cuál y de quién es, así como la razón por la que creen que prevalece sobre mis intereses o derechos y libertades fundamentales (art. 6.1.f).
En el caso de ‘elaboración de perfiles’ o existencia de ‘decisiones automatizadas’ (basadas únicamente en el tratamiento automatizado de mis datos personales), ruego me faciliten información sobre la base jurídica utilizada para ello (art. 22.2), así como información significativa (en un lenguaje claro y sencillo) sobre la lógica aplicada y la importancia y las consecuencias de dichos tratamientos para mí.
Les recuerdo que, en virtud del art. 12.3, deberá facilitarme toda esta información en el plazo de un mes a partir de la recepción de esta solicitud, y que, en virtud del art. 83.5, de no hacerlo podrán ser sancionados con multas administrativas, como máximo, de 20.000.000 EUR o una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior.