Medidas Covid 19

Entradas de la etiqueta: #Protección de Datos de Carácter Personal

El consentimiento como base legal del tratamiento

      Candela Martínez Arellano

A raíz de la reciente resolución (PS/00500/2020) publicada el 21 de octubre de 2021 por la Agencia Española de Protección de Datos (en adelante la Agencia), frente a un tratamiento realizado por CAIXABANK, CONSUMER FINANCE, EFC (en adelante Caixabank) sobre la base del consentimiento, se vuelve a poner el foco en la importancia de recabar correctamente el consentimiento de los interesados.

Para que un tratamiento se entienda correctamente consentido por el interesado el mismo debe haberse consentido de forma libre, específica, informada e inequívoca. Si bien estos adjetivos parecen sencillos de cumplir, se está viendo que en la práctica su cumplimiento resulta complejo, en la medida en que deben conjugarse diversos elementos.

Así, por ejemplo, no se entiende que las casillas premarcadas, o la inacción puedan entenderse como un consentimiento válidamente prestado toda vez que no se entiende como una aceptación expresa e inequívoca del tratamiento. Del mismo modo, debe observarse la exigencia de especificidad del consentimiento lo que implica que se tiene que articular con la granularidad que sea necesaria dependiendo del número de finalidades, no siendo posible agrupar varios tratamientos distintos en un solo consentimiento. Finalmente, con respecto a la necesidad de que el consentimiento sea “informado” nos deberemos asegurar de que el interesado entienda el tratamiento para el cual le estamos pidiendo el consentimiento para lo cual “deberá emplearse una formulación inteligible y de fácil acceso, que emplee un leguaje claro y sencillo y que no contenga cláusulas abusivas”.  

En la resolución frente a Caixabank se analizan en detalle dos de las mencionadas características, la obligación de que el consentimiento sea informado y que se otorgue de forma específica.

Empezando por el deber de obtener un consentimiento informado, la Agencia tras analizar la información que se facilita al interesado sobre el tratamiento objeto de controversia – la realización de perfilados por parte de Caixabank a sus clientes en el contexto de su actividad comercial – concluye que la misma “no aporta al interesado suficiente información como para que este pueda conocer el alcance de los tratamientos de perfilado que se llevan a cabo”

En este sentido resulta interesante señalar que Caixabank manifiesta que ha realizado un estudio de comprensión de las cláusulas con sus clientes, aunque al no aportar informes o resultados sobre el mismo dicha prueba no es objeto de análisis por la Agencia. Sin embargo, de la lectura de la resolución no parece rechazarse este medio de prueba lo que puede resultar útil a la hora de redactar cláusulas cuya complejidad exija un testeo previo.

Por otro lado, la Agencia entiende que no se permite al interesado configurar correctamente su consentimiento en la medida en que los tratamientos están agrupados y no se facilita la posibilidad de consentir unas finalidades sí y otras no.

Este requisito suele ser el más vulnerado en la medida en que resulta habitual que se agrupen distintos tratamientos con el ánimo, en ocasiones, de enmascarar aquellos que pueden generar rechazo en el interesado por diversas razones.

La lectura que debe sacarse de la resolución es la necesidad por una parte de analizar la efectiva concurrencia del consentimiento como base legal y por otra la necesidad de que el mismo se ajuste a los requisitos que marca la normativa. En este sentido se recomienda huir de redacciones genéricas y apostar por realizar aproximaciones transparentes que den confort al responsable en relación con los tratamientos y que garanticen registros de mayor calidad.

En caso de duda sobre la corrección legal de tus fórmulas de consentimiento ponemos a tu disposición a nuestros profesionales en materia de protección de datos quienes analizarán tus tratamientos y te propondrán las fórmulas que mejor se ajusten a la legislación vigente y a tus necesidades.

 

 

 

Una multa histórica y la importancia de tener una actitud proactiva

Hace unos días la Agencia Española de Protección de Datos (AEPD), imponía la sanción más alta a una Organización desde la entrada en vigor del Reglamento 2016/679 Europeo de Protección de Datos de Carácter Personal (RGPD), un total de 8.150.000€ por el incumplimiento por parte de Vodafone España, S.A.U. de hasta 3 normas distintas relacionadas con la protección de los datos de carácter personal. Una sentencia de 97 páginas que recoge las siguientes multas:

  • 4 millones de euros. Infracción del artículo 28 del RGPD en relación con el artículo 24, que regulan las obligaciones como Responsable del Tratamiento de los datos.
  • 2 millones de euros. Infracción del artículo 44 del RGPD, que regula las transferencias internacionales de datos de carácter personal.
  • 2 millones de euros. Infracción del artículo 48.1.b) de la Ley General Tributaria (LGT) en relación al artículo 21 del RGPD y al artículo 23 de la LOPDGDD, que regula el derecho de oposición de los particulares a que sus datos sean tratados.
  • 150.000 euros. Infracción del artículo 21 de la Ley de Servicios de la Sociedad de la Información (LSSI) y de comercio electrónico, que regula la prohibición de realizar comunicaciones comerciales a través de correo electrónico o medios electrónicos equivalentes.

Destaca entre estas multas tan elevadas la imposición de una multa de 4 millones de euros, no porque Vodafone no contara con protocolos, políticas o procedimientos para cumplir con las obligaciones establecidas en el RGPD, la AEPD no pone en duda su existencia, sino por la falta de controles por parte de Vodafone para que las medidas adoptadas sean realmente efectivas, es decir, que exista un efectivo cumplimiento de las distintas normativas.

Esta es una cuestión que hasta ahora parecía una cuestión secundaría para las empresas, el mantenimiento de una actitud proactiva del Responsable en relación al cumplimiento normativo.

Esta sentencia, aunque sea posteriormente recurrida, debe marcar un cambio en la forma de pensar y actuar de las empresas, desde la más pequeña a la más grande, que deben demostrar esa capacidad de cumplir y hacer cumplir la normativa. La actividad desarrollada por el proveedor se entenderá como una extensión de la actividad del Responsable y, como tal, éste tendrá la obligación de supervisar el tratamiento y actuar cuando sea necesario.

Lo que refleja esta sentencia es que la firma del contrato es insuficiente para la AEPD a la hora de demostrar un efectivo cumplimiento de nuestras obligaciones como Responsables del tratamiento, siendo necesario mantener esa actitud proactiva desde la correcta selección del proveedor, hasta la continua supervisión y control de la actividad. 

Esta sentencia, además, plantea una doble sanción, a las ya mencionadas multas, se suma la obligación de acreditar ante la AEPD en un plazo de 6 meses que la Organización ha ajustado sus acciones y actuaciones a la normativa de protección de datos.

X