Uno de los cambios más significativos con la entrada en vigor del nuevo RGPD es la manera de obtener el consentimiento para utilizar los datos personales de los clientes.
Ahora, la forma de pedir el consentimiento debe ser clara e inequívoca, y debe haber una acción o declaración por parte de los usuarios para confirmar que sí, estamos dando nuestro consentimiento.
¿Qué es el consentimiento?
El Reglamento define el consentimiento en su artículo 4.11;
“El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
Quedarán prohibidas prácticas poco éticas o explícitas, como las casillas previamente marcadas en los formularios o frases demasiado complicadas que tienen como único objetivo desorientarnos para que aceptemos cualquier condición.
Algunos métodos sugeridos son las casillas que no están marcadas por defecto en los formularios digitales o en papel, solicitar a tus clientes que seleccionen entre opciones SÍ / NO igualmente destacadas o la firma de declaraciones de consentimiento en papel.
Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR – el 25 de mayo de 2018 – solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, cuando sean consentimientos inequívocos (través de una declaración o un acto afirmativo claro) , pero también verificables.
En su Considerando 32, el GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro:
«podría incluir marcar una casilla de un sitio web en internet. Escoger parámetros técnicos para la utilización de servicios de la sociedad de la información. O cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».
Queda claro por tanto que el consentimiento tácito no será válido a partir del 25 de mayo de 2018 y por tanto, el Responsable de Tratamiento no puede seguir tratando los datos de este individuo en base a este tipo de legitimación, .
Además, en base a la Ley 34/2002 de Servicios de la Sociedad de la Información, el consentimiento tiene un plazo o una vida de 5 años, con el que si no se han tratado estos datos, habrá que pedir dicho consentimiento de nuevo. En base a la Protección de Datos, para ofrecer servicios análogos a la actividad principal o relación contractual con el responsable de tratamiento siempre se mantendrá dicho consentimiento, hasta su revocación por parte del interesado.
Entonces, ¿en qué caso es obligatorio volver a pedir el consentimiento a nuestra base de datos existente?
La razón principal para volver a pedir el consentimiento a tus usuarios es que no hayas guardado pruebas físicas o digitales. Para demostrar que cada uno de ellos haya aceptado libremente formar parte de tu base de datos.
Además, no es obligatorio, pero sí es aconsejable, volver a pedir el consentimiento si nunca has utilizado tu base de datos para comunicar con tus clientes o si llevas mucho tiempo sin hacerlo.
Si necesitas ayuda para gestionar el RGPD de tus clientes, desde Pridatect podemos ayudarte. ¡Contacta con nosotros!
