El Reglamento Europeo de Protección de Datos paso a paso: Consentimiento e información
Categorías: Abogado / Abogados LOPD / Derechos Fundamentales / LOPD / Normativa / Privacidad / Protección de Datos
Ya tenemos publicado en el Diario Oficial de la Unión Europea el «ansiado» y discutido Reglamento Europeo de Protección de datos (pdf). Duante más de 4 años hemos ido hablando y discutiendo sobre el texto que va a armonizar finalmente la normativa de protección de datos dentro la Unión Europea. Al ser una herramienta tan importante tanto para las empresas como para los profesionales que se dedican al tortuoso mundo de la privacidad, vamos a ir poco a poco desglosando los aspectos que consideramos más importantes del Reglamento y que pueden ser de intéres. Seguramente en esta serie de posts nos dejaremos muchos temas, pero, reitero intentaremos centrar lo que a priori parece más importante.En este primer post haremos referencia a 2 principios importantes como son el consentimiento y la información (consentimiento informado) que se debe dar al interesado para el tratamiento de los datos personales:
- Una de las piedras angulares de la protección de datos de carácter personal es el consentimiento del interesado para el tratamiento de sus datos. Por ello el Reglamento viene a reforzar el sistema del consentimiento (consentimiento informado y del que luego hablaremos, aunque mucho me temo que seguiremos con la gran mentira de internet: «acepto las condiciones» porque seguiremos sin leer la letra pequeña aunqeu nos obliguen a ello): El legislador europeo pretende dejar atrás los consentimientos tácitos, poco claros, recogiendo claramente ya en las propias definiciones del Reglamento, que el consentimiento es: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Realiza el inciso de clara acción afirmativa, es decir, los consentimientos tácitos o dudosos no tienen cabida en el presente Reglamento y, por ende, y tal y como luego se establece en el propio articulado: el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. Además, se incluye la obligación al responsable de utilizar sistemas que permitan al interesado retirar el consentimiento tan fácilmente como lo hubiese dado.
- Sobre el consentimiento de los menores de edad, el Reglamento establece una edad mínima para consentir de 16 años, debajo de la cuál se necesitará, por supuesto es otorgado por los padres, tutores o representantes legales de los menores. ¿esto produce que se suba la edad mínima que teníamos? No. El reglamento establece que los Estados miembros pueden establecer por ley una edad mínima inferior, por ejemplo, los 14 años que recoge nuestra normativa, si bien nunca un Estado miembro podrá establecer una edad mínima inferior a los 13 años. Ene ste caso velve a recaer en el responsable del tratamiento verificar que se cuenta con la autorización de los representantes del menor, teniendo en cuenta la tecnología disponible.
- Basándose en el consentimiento informado, el reglamento introduce nuevas obligaciones de información al interesado para que sea consciente y consienta adecuadamente sobre el tratamiento de los datos que se van a realizar. El legislador ha querido que la información se transmita de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.
- Uno de los aspectos interesantes y que se ha solicitado alguna vez desde asociaciones o usuarios es la posibilidad de incluir junto con la información iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. Considero y defiendo, al igual que han tenido éxito en sistemas de propiedad intelectual como las licencias creative commons, que un estándar de iconos puede ser la forma más fácil de informar a los usuarios sobre los riesgos en los tratamientos de datos personales. Una opción que ahora abre el Reglamento y que veremos su recorrido.
- Dentro de la información a facilitar a los interesados (ya se obtengan directamente de él o no los datos) se han incluído nuevas obligaciones como son: los datos de contacto del delegado de protección de datos, el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; el derecho a la portabilidad de los datos; el derecho a presentar una reclamación ante una autoridad de control y, algo que puede ser parecido a lo que se incluía en nuestro art. 13 de la LOPD: la existencia de decisiones automatizas, incluida la elaboración de perfiles, … , información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Mucho trabajo por delante y una gran oportunidad para el mundo de la privacidad. Seguiremos desglosando poco a poco el Reglamento, que todavía nos quedan 2 años para aprendérnoslo 😉