Las empresas no podrán usar, a partir del próximo día 25, datos recopilados sobre sus clientes si no cuentan con un consentimiento "libre, informado, específico e inequívoco" de aquellos, según dispone el Reglamento Europeo de Protección de datos que se aprobó hace dos años y que entra en vigor el próximo viernes día 25.
Según explica la abogada Marina Villalonga, del Bufete Buades, y especialista en esta materia, "hasta ahora el consentimiento podía ser tácito, pero con el nuevo Reglamento el consentimiento ha de ser expreso, lo que obliga a empresas y organizaciones a cambiar sus protocolos de recogida de datos y de tratamiento de los mismos".
Villalonga ha escrito un artículo sobre las principales novedades de la normativa, publicada en el Parlamento Europeo y el Consejo Europeo en 2016 y que entró en vigor en España (con carácter voluntario) el 25 de mayo de ese año. Ahora la norma sí será de obligado cumplimiento y, en opinión de la letrada, "ha cogido con el paso cambiado a muchas empresas y organizaciones y hasta al mismo legislativo que ya tenía que haber dictado una Ley de Protección de Datos adaptada".
Declaración del interesado
"Para poder considerar que el consentimiento (para tratar datos personales) es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una actuación positiva que indique el acuerdo del interesado", explica la Agencia Española de Protección de Datos en su página web.
Por consiguiente, "el consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos". Las empresas están así obligadas a "revisar la forma en la que obtienen y registran el consentimiento", añade la web.
Marina Villalonga afirma que los datos antiguos obtenidos con consentimiento tácito ya no pueden ser usados a partir del próximo viernes, lo que constituye un serio problema para muchas empresas.
La nueva normativa también exige cautelas más estrictas para el tratamiento de "datos sensibles". Aquí no bastará con una acción positiva y será preciso "que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión".
Las empresas se enfrentan a multas millonarias si incumplen el Reglamento, destaca Villalonga. Además, la norma europea les obliga a poder demostrar que la autorización de clientes y consumidores fue expresa. Los registros de consentimiento tienen que aparecer claros y accesibles de cara a posibles auditorías.
La experta resalta que en el Reglamento se reconocen los llamados "derechos ARCO", es decir "acceso, rectificación, cancelación y oposición" a los datos que existen en los ficheros de empresas y organizaciones.
"El ejercicio de esos derechos sigue siendo gratuito por parte del interesado, pero como novedad, el responsable de los datos (en las empresas) puede negarse a responder si la solicitud es excesiva o cobra un canon razonable en función de los costes administrativos que se hayan tenido que afrontar para facilitar la información", señala Marina Villalonga.
"El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita", explica la Agencia de Protección de datos.
Buscadores de internet
Villalonga recalca que el derecho al olvido hasta hoy solo se había reconocido judicialmente y ahora está incluido en el Reglamento Europeo.
El Tribunal de Justicia de la Unión Europea, en una sentencia del 13 de mayo de 2014, reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo.
De esta forma "el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores (de internet) los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos", aclara la Agencia de Protección de Datos.
Otra prerrogativa que adquieren los ciudadanos es "el derecho a la portabilidad" o el poder pasar sus datos de un responsable a otro. Villalonga también alerta de la obligación de las empresas de comunicar a la autoridad de control las brechas de seguridad sobre los datos.
