¿Ha servido de algo renovar el consentimiento?

Tras la avalancha de emails solicitando la aceptación de las nuevas políticas de privacidad conforme al Reglamento General de Protección de Datos antes del 25 de mayo de 2018,  aún sigue la duda entre los usuarios si ha servido de algo aceptar o ignorar el contenido de esos emails.

Decía el poeta y escritor Jaime Gil de Biedma “que la vida iba en serio, uno lo empieza a comprender más tarde”.

Esta frase podría aplicarse perfectamente a esta especie de histeria colectiva que se ha vivido con la entrada en aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y a la multitud de emails recibidos durante el mes de mayo del presente año 2018 informándonos del cambio de la política de privacidad y/o la renovación del consentimiento para el tratamiento de datos personales.

Estas campañas pre 25 de mayo de 2018 han supuesto un rechazo por parte de los usuarios.

Este rechazo se deriva por la falta de planificación y los intentos de apurar hasta los últimos días en los que efectivamente fuera de aplicación el Reglamento (UE) 2016/679 o Reglamento General de Protección de Datos (en adelante, RGPD).

La realidad es que muchos usuarios optaron por hacer caso omiso a los comunicados emitidos por numerosas empresas que solicitaban que se pulsara en el botón de aceptar o renovar para poder seguir tratando los datos personales que habían sido obtenidos en el pasado.

No cabe duda de que múltiples empresas optaron por la vía de solicitar la renovación del consentimiento a todos aquellos clientes o usuarios que formaban parte de sus bases de datos para poder seguir tratando los datos personales.

Una de las novedades que incorpora el RGPD es que el consentimiento no es la única base de legitimación de tratamiento de datos, tal y como establece el artículo 6.1 del RGPD, si no que se puede amparar el tratamiento de datos personales en diferentes bases de legitimación tales como la ejecución de un contrato, el cumplimiento de obligaciones legales, la satisfacción de intereses legítimos, la protección de intereses vitales o el cumplimiento de misiones realizadas en interés público.

Es por esta cuestión que podemos afirmar que la mayoría de los emails que hemos recibido pidiéndonos “de nuevo” nuestro consentimiento o la aceptación de la política de privacidad no hubieran sido necesarios si se hubiera hecho un análisis previo de si realmente renovar ese consentimiento era la única vía para poder seguir tratando esos datos o se podía amparar el tratamiento de los datos personales que ya teníamos en algunas de las bases de legitimación que se han citado con anterioridad.

Llegados a este punto se nos viene una pregunta a la cabeza: ¿Si yo decidí no responder a ese email de una empresa concreta donde me pedían aceptar su nueva política de privacidad o renovar el consentimiento, no deberían de dejar de enviarme emails de publicidad o comunicaciones de esa empresa?

La respuesta a esta cuestión no es sencilla, dado que entra en juego otra normativa que no se ha tenido en cuenta a la hora de valorar el lanzamiento de estas campañas de renovación del consentimiento.

La normativa a la que nos estamos refiriendo es la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El  artículo 21.1 de la Ley 34/2002 establece que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

Esto nos lleva a que, si una empresa hubiera obtenido el consentimiento expreso para el envío de publicidad a través de email antes de la aplicación del RGPD, esta entidad puede seguir realizando dichos envíos, independientemente de que se haya aceptado o no la nueva política de privacidad conforme al RGPD, dado que con la aceptación de la nueva política de privacidad lo que han hecho las empresas es cumplir con el deber de información que establece el artículo 13 del RGPD.

Por lo expuesto, ahora que ha pasado el 25 de mayo de 2018, es cuando las empresas deben analizar si realmente tienen el consentimiento expreso de sus clientes para tratar sus datos personales o pueden tratar esos datos personales por otra base de legitimación y, en los casos en los que no tengan el consentimiento expreso o no pueda ser de aplicación otra base de legitimación, deberán de cesar de forma inmediata el tratamiento de esos datos personales.

A modo de conclusión, debemos recordar que el consentimiento, tal y como expresa el artículo 7.3 del RGPD, “Será tan fácil retirar el consentimiento como darlo.” por lo que las empresas tendrán que empezar a interiorizar que el consentimiento no es la piedra angular para el tratamiento de datos personales, si no que existen otras bases de legitimación que se pueden utilizar para realizar tratamientos de datos personales cumpliendo con lo establecido por el  RGPD.

Fernando Benítez Rodríguez.

Abogado especialista en Protección de Datos y Privacidad

Socio de ENATIC

Twitter: @fernandobenitez