En el Reglamento Europeo de Protección de Datos, a diferencia de la normativa actual, se habla de consentimiento inequívoco para el tratamiento de datos.

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto supone que no se van a admitir formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita si se deduce de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD seguirán siendo legítimos siempre que el consentimiento se hubiera prestado del modo previsto por el reglamento, mediante una manifestación o acción afirmativa.

Recomendaciones

La Agencia Española de Protección de Datos recomienda que  no se sigan obteniendo consentimientos por omisión y que se revisen esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.

La adaptación puede llevarse a cabo:

  • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.
  • Valorando si los tratamientos afectados pueden apoyarse en otra base legal, por ejemplo, que el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

En el Reglamento Europeo de Protección de Datos se introducen importantes modificaciones en el deber de informar a los interesados, como resultado del principio de transparencia (art.12)

En la nueva normativa se habla de que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La normativa actual sólo exige que la información se preste de modo expreso, preciso e inequívoco.

Obligaciones

LOPD                                                                         RGPD
• La existencia del fichero o tratamiento,                         Se añaden requisitos adicionales:
su finalidad y destinatarios                                             • Los datos de contacto del Delegado de Protección de Datos,
• El carácter obligatorio o no de la                                  • Las categorías de los datos
respuesta, así como de sus                                            • La base jurídica para el tratamiento,
consecuencias.                                                            • El plazo de conservación,
• La posibilidad de ejercitar los derechos                          • La existencia de decisiones
de acceso, rectificación, cancelación y                             automatizadas o elaboración de perfiles,
oposición.                                                                   • La previsión de transferencias internacionales
• La identidad y datos de contacto del                            • El origen de los datos
responsable del tratamiento.                                         • El derecho a presentar una reclamación

 

Vivimos en un mundo dominado por las nuevas tecnologías. Las empresas cada vez más optan por ofrecer sus productos y servicios a través de Internet, ya sea a través de su web, un blog, o mediante el envío de mailings comerciales.

Sin embargo, poner en marcha un negocio de venta online, no sólo consiste en crear la plataforma y exponer los productos, sino que se deben tener en cuenta también una serie de normas legales que deben cumplir:

  • Ley Orgánica de Protección de Datos 15/1999, en cuanto a la obtención y publicación de datos personales que los usuarios proporcionan a través de la web. Es la política de privacidad.
  • Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que establece los trámites necesarios para contratar online. Es el Aviso Legal.
  • Normativa de cookies, en desarrollo del artículo 22.2 de la LSSICE que establece las obligaciones del prestador del servicio para poder realizar seguimientos de la navegación de los usuarios por la web. Es la política de cookies.
  • Ley General para la Defensa de los Consumidores y Usuarios aprobado por RD Legislativo 1/2007, establece la información para clientes y usuarios sobre condiciones de contratación a través de la web. Son las Condiciones de Contratación.

IMPORTANTE:
Antes de iniciarse el procedimiento de compra on-line, deberá ponerse a disposición del usuario una serie de información exigida por la Ley

 La imagen de una persona es un dato de carácter personal, y su difusión a través de las redes sociales cada día es mayor.

La LOPD reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman si así lo solicitan. El usuario que desee que se eliminen sus fotos o vídeos de internet deberá:

1º. Dirigirse bien a quien subió la imagen y solicitarle su eliminación, o bien a la empresa o entidad que está difundiendo la imagen, acreditando su identidad e indicando los enlaces con los datos que se quieren cancelar, guardando un justificante de dicha solicitud.

2º. Si el responsable no responde en el plazo de 10 días desde que recibió la solicitud, o si la respuesta no ha sido adecuada, el afectado, o sus padres o tutores, podrán dirigirse ante la Agencia Española de Protección de Datos para interponer la correspondiente reclamación de tutela.

 Algunas redes sociales como Facebook, Twitter o Instagram, disponen ya de formularios para ejercitar la retirada de contenidos vulnerables a la privacidad o con contenidos inapropiados.

 

.IMPORTANTE La publicación de fotos o vídeos de personas físicas a través de redes sociales requiere el consentimiento previo de sus titulares

El Informe 0261/2013 de la AEPD resuelve sobre si es conforme a la LOPD, que un propietario de una vivienda en régimen de propiedad horizontal, pueda acceder y tener copia de toda la documentación de la comunidad (salarios, honorarios profesionales, facturas, contratos, etc.) con la finalidad de conocer y comprobar la correcta gestión de las cuentas de la misma.

En la documentación referida hay numerosos datos personales tanto de los propietarios (números de cuentas corrientes, coeficientes de participación, consumos, ingresos o deudas con la comunidad), como de empleados que pudiera tener contratados o de prestadores de servicios.

La comunicación de estos datos a cualquier propietario por los Órganos de Gobierno de la comunidad, implicará una cesión de datos de carácter personal, que sólo podrá realizarse con el consentimiento de sus titulares o cuando exista una norma con rango de Ley que habilite esta cesión. Si bien la Ley de Propiedad Horizontal 49/1960 habilita diversas cesiones de datos, esta queda limitada a los datos que en cada caso resulten “adecuados, pertinentes y no excesivos” para el control del buen gobierno de la comunidad de propietarios”, no pudiendo acceder a dichos documentos en otro caso. Así, el artículo 20 de la LPH, acorde con la LOPD, no permite un acceso generalizado a toda la documentación de la comunidad debiendo examinarse en cada caso concreto si el acceso a los documentos cumple o no con el principio de proporcionalidad.

IMPORTANTE Los datos personales no podrán utilizarse para finalidades diferentes de aquellas para las que los mismos hubieran sido recogidos

En la resolución R/02762/2015 de la AEPD observamos la sanción que sufren dos asociaciones políticas y sociales para la defensa de la autonomía catalana por tratar datos de ideología sin consentimiento expreso e informado de sus titulares.

En junio y septiembre de 2015 se presentan en la AEPD varios escritos, algunos de ellos anónimos, en los que se denuncia el tratamiento de datos personales por las citadas organizaciones, los cuales fueron recopilados de forma engañosa fingiendo ser una encuesta estadística sobre nuestro país.

Estas entidades deciden organizar la realización de unas encuestas puerta a puerta entre la ciudadanía cuyo fin, según los afectados, no es sino crear una “lista negra” para distinguir a los titulares de los domicilios y sus habitantes entre afectos y no afectos a un posible proceso de independencia de Cataluña y cuyas respuestas y reacciones son anotadas por los encuestadores.

Tras las investigaciones de la AEPD, se verifica la existencia de los formularios en los que se recabaron los datos de los encuestados sin su consentimiento expreso, ni mediante la firma, ni mediante el marcando de una casilla, para aceptar el tratamiento de los datos.

 

Resultado: Sanción de 200.000 € a cada entidad por infracción del Artículo 7.2 de la LOPD tipificada como muy grave en el artículo 44.4.b), más 40.000 € a la primera por una infracción del artículo 9 de la LOPD.

 

En el procedimiento sancionador de la AEPD PS/00118/2015 podemos ver la sanción que recibe una clínica de estética por enviar un mensaje electrónico dirigido a cerca de 1.400 destinatarios sin ocultar su dirección electrónica personal.

Según los hechos, la denunciante que se encontraba en la lista de destinatarios, puso el hecho en conocimiento de la AEPD aportando copia impresa del mensaje electrónico enviado desde la clínica en el que se les informaba de la creación de un nuevo canal de comunicación en YouTube.

Se acuerda por el Director de la Agencia Española de Protección iniciar procedimiento sancionador a la denunciada por la posible vulneración del deber de secreto respecto de los datos objeto de tratamiento. 

 

A falta de alegaciones remitidas por la denunciada, y establecido que "...De no efectuar alegaciones sobre el contenido de la iniciación del procedimiento, la iniciación podría ser considerada propuesta de resolución, de acuerdo con el artículo 13.2 del Real Decreto 1398/1993, de 4 de agosto.", la AEPD procedió a resolver.

 

Resultado: sanción a la entidad con una multa de 1.000 € por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, de conformidad con lo establecido en el artículo 45 apartados 2 y 5 de la citada Ley Orgánica

 

 

En el procedimiento sancionador PS/00454/2014de la AEPD podemos ver la sanción que sufre una compañía aérea a la que se solicitó el cese del envío de publicidad comercial, continuando el denunciante recibiendo correos electrónicos, a pesar de que la entidad le confirmó la baja en los mismos.

 

Según los hechos, notificado el acuerdo de inicio del procedimiento sancionador, la entidad alegó que el envío del correo electrónico objeto de denuncia se debió a una incidencia en el sistema de envío de newsletter que fue corregido de forma urgente el día en que fue detectado.

 

En fechas posteriores, la entidad remitió nuevos correos electrónicos comerciales a la dirección de correo del denunciante.

 

Ante el requerimiento de la AEPD, la entidad emisora de los correos manifiesta la ausencia de intencionalidad y de culpabilidad en su conducta, ya que debido a una deficiencia técnica, la solicitud de oposición no había sido correctamente ejecutada por el sistema.

 

A pesar de no existir dolo por la imputada sí existe responsabilidad en la comisión de la infracción ya que la imputada no adoptó todas las medidas necesarias para tramitar las bajas en el envío de comunicaciones publicitarias.

Resultado: Sanción de 3.500 € por  una infracción del artículo 21.1 de la LSSI, tipificada como leve.

 

 

Es práctica habitual entre empresas la comunicación de datos entre ellas: para contratar la gestión de la contabilidad o las nóminas con la asesoría; informar de la situación de los trabajadores a la contratista; compartir la base de datos de clientes de un grupo de empresas, etc…

 

Todas ellas, tienen en común la transmisión de datos entre entidades. Sin embargo, de cara a la LOPD no se gestionan de igual forma. Hemos de distinguir dos figuras bien distintas:

 

  • Habrá cesión o “comunicación de datos”, según el artículo 11 de la LOPD, cuando la empresa responsable de los datos personales, los cede a otra para una finalidad concreta o de modo general, obligándose pues quien los recibe a observar las disposiciones de la Ley, convirtiéndose así también en Responsable de los datos.

    Para que la cesión sea lícita, deberá recogerse el consentimiento informado previo del titular de los datos.

 

Por el contrario, habrá encargo del tratamiento, según el artículo 12 de la citada Ley, cuando quien recibe los datos sólo pueda utilizarlos de acuerdo a las instrucciones dadas por el Responsable del fichero para la prestación de un servicio. En este caso, la relación entre ambas habrá de regularse a través de un contrato.

 

 

 

IMPORTANTE

 

En la transmisión de datos entre entidades, habrá que diferenciar la mera cesión o comunicación de datos de  un encargo del tratamiento.

 

 

 

 

 

 El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:

 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

 

b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

 

c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

 

 

 

Por tanto, es recomendable (que no obligatorio) incluir la cláusula informativa en las facturas y/o documentos que se le entreguen al cliente y aquellos en donde se le recojan datos personales, de forma que estemos informando en todo momento al cliente de los extremos señalados anteriormente y, llegado el caso, podamos demostrar a la AEPD que hemos cumplido con el deber de información exigido.