Debido al Reglamento General de Protección de Datos de la UE (RGPD), una ley de privacidad que establece un estándar para el consentimiento más estricto que aquel al que estaban acostumbradas muchas empresas. En virtud del RGPD, consentimiento significa verdadero consentimiento. Algunos métodos que anteriormente se empleaban para obtener el consentimiento han dejado de ser válidos.
¿Quién debe cumplir el RGPD?
El RGPD se aplica a su empresa tanto si está establecida en la UE como si no siempre que:
- Ofrezca bienes y servicios a residentes en la UE. Esto no depende de si lo hace con ánimo de lucro o no.
- Hace un seguimiento del comportamiento de las personas en la UE. Esto puede incluir el «perfil», es decir, tratar de predecir cómo podrían actuar basándose en su comportamiento en el pasado. Es algo muy habitual, dado que es lo que hacen muchas cookies de publicidad.
¿Qué incluye el RGPD?
Siempre que su empresa trate datos personales, deberá cumplir el RGPD. El tratamiento de datos personales es algo que las empresas hacen todos los días.
Los «datos personales» consisten en información que puede emplearse para identificar a una persona. Si se está preguntando si un dato podría considerarse datos personales, probablemente lo sea.
Las direcciones de IP dinámicas, por ejemplo, se consideran datos personales por el más alto tribunal de la UE. Esto se debe a que una dirección de IP dinámica puede teóricamente combinarse con otra información para identificar a una persona. Algunas cookies también cumplen este criterio.
El «tratamiento» de datos personales consiste en hacer algo con ellos. De nuevo, si se pregunta si una actividad constituye tratamiento, es probable que lo sea.
Aparte de las cosas más evidentes como los datos de pago o la compilación de una lista de correo, una acción como almacenar la dirección IP de alguien en los archivos de registro de su servidor web también podría constituir «tratamiento de datos personales».
Elementos del consentimiento según el RGPD
El artículo 4 del RGPD define el consentimiento como «toda manifestación de voluntad libre, específica, informada e inequívoca… mediante una clara acción afirmativa» en virtud de la cual una persona da permiso para que sus datos personales se traten de determinada forma.
Puede dividirse en cinco elementos:
- Libre – la persona no debe haber sido presionada para dar su consentimiento ni sufrir ningún perjuicio si lo rechaza.
- Específico – se le debe pedir a la persona que consienta tipos individuales de tratamiento de los datos.
- Informado – se debe informar a la persona a qué está consintiendo.
- Inequívoco – el lenguaje debe ser claro y sencillo.
- Clara acción afirmativa – la persona debe consentir expresamente haciendo o diciendo algo.
Si falta alguno de estos cinco elementos, no tendrá el consentimiento según el RGPD.
¿Cuándo se necesita consentimiento?
Uno de los mitos que circula en torno al RGPD es que el consentimiento es necesario para cualquier tipo de tratamiento de datos. No es cierto.
En general, no debería pedir consentimiento si:
- Ejecuta un servicio básico (puede sustituirse por contrato).
- Necesita tratar datos personales con arreglo a la ley (obligación legal).
- Trata datos personales en beneficio de su empresa u otras personas de una manera razonablemente previsible para los usuarios, con un riesgo e impacto mínimo en las personas (intereses legítimos).
Debería pedir el consentimiento si ofrece una alternativa genuina relativa a un servicio no esencial. Los ejemplos habituales incluyen:
- Uso de cookies de seguimiento/publicidad
- Envío de mensajes de correo electrónico de marketing o boletines informativos
- Cesión de datos personales a otras empresas con fines comerciales
Consentimiento para enviar material de marketing
El RGPD pone fin a la casilla preseleccionada, una táctica que durante años las empresas han usado para tratar de que los suscriptores se unieran a su lista de correo sin darse cuenta.
Parecería que existe una pequeña diferencia entre pedirle a alguien que marque una casilla y pedirle que elimine una marca. Sin embargo, «no eliminar la marca de una casilla de verificación» no cumple con ninguno de los cinco elementos del consentimiento según el RGPD. Por tanto, no puede utilizarse para demostrar que ha obtenido el consentimiento de una persona.
Puede implementar fácilmente los cinco elementos del consentimiento del RGPD si pide los usuarios que se suscriban a su lista de correo.
El sexto elemento del consentimiento -Facilidad de retirada
El RGPD establece un sexto requisito: el consentimiento debe poder retirarse fácilmente.
Por supuesto, se debe incluir un sistema de baja en sus mensajes de marketing por correo electrónico.
Resumen – Obtener el consentimiento según el RGPD
Para que el consentimiento sea relevante con arreglo al RGPD, debe ser:
Libre – no tratar de «engañar» a los usuarios para que den su consentimiento. No retirar ningún otro servicio si deciden no darlo.
Específico – si desea utilizar el consentimiento de una persona para varios fines, deberá pedirle que consienta cada tipo de tratamiento.
Informado – dé información clara acerca de lo que se está pidiendo al usuario que consienta y qué hacer si cambia de opinión.
Inequívoco – utilice un lenguaje claro y sencillo y presente una opción directa.
Darse a través de una clara acción afirmativa – no dé nunca por supuesto que tiene el consentimiento de nadie hasta que haya aceptado algo activamente.
Y, por último, cuando tenga el consentimiento, debería facilitar su retirada.