Por Cristina Borrell.
Abogada en GD Legal.
El pasado 25 de mayo entró en vigor el Reglamento (UE) 2016/679 de Protección de Datos (RGPD-GDPR) pero, a día de hoy, todavía sigue habiendo muchas dudas en relación al alcance de su contenido. Por este motivo, en la Décima Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD), celebrada el 4 de junio, además de los temas abordados por los ponentes, la AEPD aprovechó la oportunidad para dar luz a aspectos que inquietan tanto a ciudadanos como a profesionales del sector.
En este sentido, a continuación, hablamos de algunas de las cuestiones más relevantes que se plantearon y que recogen grandes enigmas en el sector.
Solicitud del consentimiento con posterioridad al 25 de mayo
Muchas empresas siguen teniendo dudas sobre cómo debe realizarse la obtención del consentimiento. Preocupa especialmente cómo debe pedirse el consentimiento cuando hablamos de comunicaciones comerciales ahora que ya es de aplicación la nueva normativa. Por su parte, la AEPD se inclinó por aclarar que siempre que el tratamiento tuviera como base legitimadora el consentimiento (art. 6.1 a) RGPD) y éste hubiera sido obtenido de forma previa al tratamiento de datos de carácter personal, de manera no tácita, y la empresa así lo pudiera acreditar, este consentimiento sería válido para ser la base legitimadora del tratamiento.
Por otro lado, la Agencia se refirió al art. 6.1 del RGPD al reafirmar que antes de realizar un tratamiento de datos debe contarse con la correspondiente legitimación.
Encuestas de satisfacción y ofrecimiento de productos y servicios a clientes de la misma empresa que le vendió el producto o servicio, ¿pueden considerase un tratamiento basado en el interés legítimo, conforme al considerando 47 del RGPD?
Cuando se habla de comunicaciones comerciales electrónicas, además del RGPD, entra en juego la LSSI. Y, en este sentido, el Considerando 47 del RGPD establece que puede entenderse que existe interés legítimo cuando “el interesado es cliente o está al servició del responsable”. En este contexto, también se establece que el tratamiento de datos personales con fines de mercadotecnia directa podría considerarse realizado por interés legítimo.
No obstante, cabe destacar que éste deberá ser valorado según una meticulosa ponderación de los derechos y libertades afectadas, las expectativas razonables del interesado en el momento y contexto de recogida de datos personales y deberá quedar documentada.
Al informar a los empleados, ¿Se deben detallar los encargados del tratamiento o se pueden indicar categorías generales tipo gestoría?
En relación con esta cuestión, la AEPD reafirma que únicamente es necesario ser transparente con las cesiones de sus datos de carácter personal, pero no es necesario informar sobre los encargados de tratamiento.
Hay que recordar que el concepto ‘cesión de datos de carácter personal’ hace referencia a aquellos datos que el responsable del tratamiento comunica a un tercero, que será a su vez responsable del tratamiento conforme al art. 4.7 RGPD. Y, por consiguiente, determinará las finalidades y medios de tratamiento sin atender a instrucciones del cesionario.
Por el contrario, en el caso de aquellos servicios que el empresario subcontrata a un tercero, nos situamos ante un escenario de acceso a datos de carácter personal por un encargado de tratamiento (art. 4.8 RGPD). En este caso, el acceso a datos de carácter personal por un tercero se debe a la necesidad de que éste le preste el servicio contratado, no pudiendo ser utilizados con ninguna otra finalidad.
Finalmente, la Agencia mantiene que el empresario debe informar sobre las cesiones de sus datos, pues en este caso el empresario pierde el control sobre los fines del tratamiento, pero no es necesario hacerlo sobre la identidad de aquellos terceros que les prestan servicios.
3 de julio de 2018