¿PARA QUÉ HAS RECABADO DATOS DE CARÁCTER PERSONAL?

Hace un año, el Ayuntamiento de Madrid envió e-mails a la ciudadanía para presentar la nueva página web de participación “Decide Madrid”.

Este envío podría no haber respondido al objeto por el cual, previamente, el Ayuntamiento habría recabado las direcciones de correo electrónico, los datos personales, de los destinatarios; y este objeto no era otro que el de la gestión de los servicios de atención a la ciudadanía.

A primeros de este mes de noviembre, el Ayuntamiento recibió una notificación en este sentido de la Agencia Española de Protección de Datos (AEPD) ya que ésta interpreta que el fin de dicho envío (dar a conocer el nuevo servicio de participación ciudadana) podría no haber respondido al objeto por el cual previamente el Ayuntamiento había recabado los datos de correo electrónico de los destinatarios; y se abrió el plazo de 10 días para que el Consistorio presentara sus alegaciones o pruebas que demuestren lo contrario.

El Grupo Municipal Popular había denunciado al Ayuntamiento de Madrid ante la AEPD al estimar que se utilizó información de los ciudadanos para el envío de correos electrónicos “de propaganda”. Y desde el Ayuntamiento se sostiene que siempre se respetó la Ley de Protección de Datos (LOPD)

Objeto y finalidad, términos en protección de datos que no debemos olvidar. Puedes tener datos de carácter personal (nombre, dirección, teléfono, e-mail, número de cuenta corriente…) que has recabado con un objeto y para una finalidad concreta, comunicados al interesado en el momento de la recogida de los mismos.

Una asesoría laboral, por ejemplo, tiene datos personales de los empleados de sus clientes (para la confección de las nóminas). Pero no puede aprovechar estos datos personales de los empleados de sus clientes para enviarles a sus domicilios, y/o cuentas de correo personal, información suya u otras ofertas comerciales, ya que éste no es el objeto ni la finalidad para la que tienen sus datos personales.

NO TODO VALE…

A finales de Agosto, WhatsApp dio opción a sus más de mil millones de usuarios a desactivar la opción de “compartir datos” (número de teléfono, lista de contactos…). Y fijó un límite para poder hacerlo: 30 días. El objetivo era que los datos de WhatsApp pasaran, de manera oficial, a pertenecer a Facebook, su empresa matriz, y así potenciar su herramienta publicitaria (su verdadero negocio). Era un cambio importante en su política de uso y los usuarios que no lo hicieron antes de finalizar el plazo, o abandonaban WhatsApp o quedaban obligados a aceptar la nueva política.

Pero, pasado el plazo, llegó la primera denuncia desde Alemania al considerar que la decisión no se ajustaba a la normativa relativa a la protección de datos, y prohibió a Facebook “recopilar y registrar” los datos de los usuarios alemanes de WhatsApp. La Agencia de Protección de Datos de Hamburgo impuso una orden administrativa para detener la recolección masiva de información personal, así como borrar los datos ya enviados a la empresa a través de la aplicación-

  • «Tiene que ser decisión de los usuarios si quieren que sus cuentas estén vinculadas con Facebook, quien debería pedirles una autorización previa. Y esto no ha sucedido»

declararon desde el órgano regulador alemán, quienes también recordaron que Facebook y WhatsApp se califican de “empresas independientes”, por lo que esta situación de recabar datos atenta contra los acuerdos firmados para la adquisición de la compañía de mensajería. También añadieron que

  • «El hecho de que esto suceda ahora no es solo engañar a sus usuarios y al público, también constituye una infracción de la legislación nacional de protección de datos. Este intercambio es solo admisible si ambas empresas han establecido una base legal para hacerlo. Facebook, sin embargo, ni ha obtenido una aprobación previa de los usuarios de WhatsApp, ni tampoco cuenta con una base legal para los datos».

EL REFRANERO POPULAR ES SABIO…

Y nos recuerda aquello de que “No dejes para mañana lo que puedas hacer hoy”.

Así que si tiene pensado adecuar a la normativa de protección de datos (LOPD) a su empresa -por ser ésta de reciente creación- o porque esta adecuación sigue siendo una de esas “asignaturas pendientes”, debe saber que la publicación y entrada en vigor el pasado mes de mayo del Reglamento general de protección de datos (RGPD), de ámbito europeo y que será de aplicación en mayo 2018, introduce cambios significativos en algunos aspectos.

Y uno de ellos es el del “consentimiento” del interesado para el tratamiento de sus datos.

El RGPD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

Por tanto, el consentimiento debe ser expreso y no presunto (no puede ser que “si no dice que no, se entienda que es sí”). El nuevo RGPD prevé la obligatoriedad del “consentimiento en positivo” del titular de los datos, marcando una casilla o similar, para dar su conformidad.

Y cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquél consintió el tratamiento de sus datos personales.

No espere a Mayo de 2018 para adecuar -si fuera su caso- el redactado del aviso legal para la obtención del consentimiento para el tratamiento de datos: si lo hace así, aquellos datos obtenidos hasta esa fecha no serán válidos, al no respetar el criterio reglamentario.