lawandtrends canal de whatsapp

LawAndTrends



De lo poco realmente interesante que hemos sacado de las (esperadísimas) guidelines sobre el consentimiento que el Grupo de Trabajo del 29 publicó en diciembre de 2017, estaba este parrafito que abre una autopista para la lega legalización de consentimientos:

La empresa que considere que los consentimientos obtenidos no cumplen el nuevo estándar del RGPD (consentimiento separado e inequívoco, explícito en sus debidos casos, etc…) deben evaluar si podrían continuar su tratamiento cambiando a otra base legitimadora (contrato, disposición legal, interés legítimo, interés general, etc).

En cualquier caso, esta es una oportunidad excepcional derivada de la entrada en vigor del RGPD.

Cuando éste entre en vigor, ya no será posible hacerlo sin más.

¿Cómo proceder a la legalización de consentimientos? te lo explico

Esto quiere decir, resumidamente lo siguiente:

Si tus consentimientos no te sirven porque no cumplen los nuevos requisitos, (explicados aquí), puedes:

  • “saltar” a otra base legítima (el Grupo de Trabajo del 29 sólo apunta, pero la AEPD sí dispara en su guía para encargados del tratamiento: la más obvia es el interés legítimo, pero hay otras vías, como la de tratamientos compatibles del art. 6.4).
  • Siempre que, por supuesto, esta nueva opción cumpla con el RGPD. Si no, no te quedará otra que paralizar tu tratamiento, como se dice en el texto.
  • Pero si lo vas a hacer, hay que hacerlo antes de la aplicación del RGPD (25 de mayo de 2018): Este tren sólo pasa una vez (“one off”, como dicen las guidelines).

Este tren sólo pasa una vez

Lo importante es esto último: este “salto” no se podrá hacer con posterioridad “sin dar mayores explicaciones”: el RGPD obliga ahora a informar (antes no era necesario) de la base legítima de tu tratamiento antes de captar los datos del titular (si lo haces directamente de él) o a la primera ocasión (en todo caso, no más tarde de un mes) si no.

Este mayo, las explicaciones serán: “Ya sabes, el RGPD

Pero ya con el RGPD en vigor, si informaste en su día de que tu base de legitimación era el consentimento, al saltar al, digamos, interés legítimo, tendrás que notificarlo a los interesados, exponiéndote a que te hagan preguntas incómodas (“¿por qué me pediste inicialmente mi consentimiento?” “¿por qué cambias ahora?” “¿lo que has hecho mientras con mis datos, estaba bien hecho?” “¿en qué me afecta este inopinado cambio?”).

O directamente, que te denuncien. Cuanto más tiempo pase desde mayo de 2018, más complicado se pondrá lo de encogerse de hombros…

La otra opción es “saltar” a la nueva base legítima sin decir nada a nadie, algo que infringiría frontalmente la obligación de transparencia (art. 13 y 14 del RGPD) por no hablar de que dejaría al responsable hecho unos zorros en términos de accountability.

El riesgo de no hacer nada

Este tren sale el próximo 25 de mayo.

No mires por encima del hombro: te estoy hablando a ti.

Ya sabemos que la senda del interés legítimo no es, precisamente, un camino de rosas. (Para saber más pincha por aquí, aquí o aquí)

Pero es el camino. Y se hace al andar.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad