Para poder usar los datos personales de los clientes de tu empresa de forma ajustada a la legalidad, necesitas contar con su consentimiento previo. El derecho a la protección de datos existe, y tenemos que respetarlo y actuar en consecuencia.
En España, el Reglamento General de Protección de Datos (RGPD) es la normativa encargada de regular la protección de datos personales y los derechos a la protección de datos de clientes, usuarios y empresas. El RGPD es una norma que afecta a todas las empresas, desde las más pequeñas y pymes hasta multinacionales, y su implantación efectiva en todo el territorio de la Unión Europea tuvo lugar a partir del 25 de mayo de 2018. Esta norma da un mayor control a los ciudadanos sobre el uso de sus datos personales en el entorno digital y obliga a las organizaciones a asegurar que cada uso que hacen de la información personal de sus usuarios esté previamente autorizado para evitar abusos.
El RGPD amplía la protección de datos personales y la autonomía en la toma de decisión de los usuarios sobre su propia información. Este nuevo reglamento ha endurecido lo que ya se establecía en la previa Ley Orgánica de Protección de Datos (LOPD) y afirma que el consentimiento para el tratamiento de la información personal no puede ser tácito o sobreentendido, se tiene que manifestar de forma afirmativa y expresa para que sea aceptable. Además, las empresas deberán ser claras en sus documentos, evitar los términos difíciles de comprender y facilitar el entendimiento de los textos para eliminar toda confusión de cara a lo que está firmando la otra parte.
Consentimiento y protección de datos
El RGPD especifica que por consentimiento entendemos “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Así pues, cualquier manifestación de consentimiento que consideremos válida debe incluir estas 4 características:
- Libre. Que todos los implicados tengan la posibilidad de elección sobre la decisión de prestar el consentimiento o no, y que no haya coacción de ningún tipo y nadie se sienta obligado a dar ese consentimiento.
- Específico. El consentimiento se da para un fin concreto, no es algo genérico que se pueda aplicar a cualquier acción que quiera llevar a cabo la empresa. La persona tiene que elegir cada uno de los fines para los que se van a usar sus datos por separado, y así poder garantizar que la otra parte no saque provecho indebido.
- Informado. El usuario/cliente debe estar plenamente informado de las consecuencias de dar consentimiento y las implicaciones que puede tener para la privacidad de su información.
- Inequívoco. Que evite cualquier confusión, accidental o buscada, sobretodo en la redacción y uso de un lenguaje sencillo y claro.
Las maneras de recabar este consentimiento son variadas y pueden evolucionar con el paso del tiempo, sobretodo gracias a los avances tecnológicos. En un formulario de protección de datos estándar debes tener en cuenta que el uso de casillas de aceptación previamente marcadas ya no se considera una indicación activa de haber dado consentimiento; tendrás que adaptar tus documentos a ello. La fórmula de marcar casillas (“Acepto la Política de Privacidad”, “Acepto los Términos y Condiciones”) sigue siendo la más usada y funcional en webs, por poner un ejemplo.
La Agencia Española de Protección de Datos (AEPD) nos recuerda que la negligencia o la mala voluntad demostrada en el cumplimiento del RGPD puede acarrear duras sanciones en forma de multas. Como empresa, toma nota y prepara un protocolo de protección de datos que combine la protección de datos de carácter personal de tus bases de datos con la posibilidad de usarlos para fines que sean justos y necesarios.