martes, 20 de marzo de 2018

Consentimiento inequívoco

En el sitio Protección de Datos, texto “Sanción a Whatsapp y a Facebook”, te comentaba la resolución de la AEPD en el procedimiento sancionador iniciado a las empresas Whatsapp y Facebook (si quieres acceder al documento, clickea AQUÍ), declarando la existencia de dos infracciones graves de la Ley Orgánica de Protección de Datos, sancionadas cada una con 300.000 euros: una de ellas a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento. La cuantía de la sanción es la máxima correspondiente a las infracciones graves declaradas, teniendo en cuenta factores como el volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros. 

El Reglamento General de Protección de Datos (RGPD) que será de aplicación en mi país a partir del 25 de mayo de 2018, establece que el consentimiento debe ser “inequívoco”, es decir, prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Según la AEPD, a diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. También se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito, ya sea el tratamiento de datos sensibles, la adopción de decisiones automatizadas o las transferencias internacionales. El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado. 

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa. La AEPD recomienda no seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD. La adaptación puede llevarse a cabo bien obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD o valorando si los tratamientos afectados pueden apoyarse en otra base legal, como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (Fuente de la imagen: pixabay).