Enrique Reina, profesor de la Escuela de Ingenieros - Tecnun y Delegado de Protección de Datos de la Universidad
Reglamento Europeo de Protección de Datos
A partir de ahora, el consentimiento para que las empresas le envíen en el futuro ofertas de nuevos productos o servicios deberá recogerse mediante una acción afirmativa del usuario
Llevamos semanas sufriendo un aluvión de mensajes que nos invitan a renovar las suscripciones a boletines de noticias y publicidad por correo electrónico. Las aplicaciones móviles nos recuerdan con insistencia que debemos aceptar nuevas políticas de privacidad si queremos que sigan funcionando. ¿Qué hay detrás de esta campaña que une a grandes compañías como Google con una tienda de comercio por Internet o el taller en el que cambiamos hace años los neumáticos del coche?
Hoy comenzará a aplicarse el Reglamento Europeo de Protección de Datos. Es una normativa de obligado cumplimiento en todos los países de la Unión Europea, que viene a unificar las diferentes legislaciones nacionales existentes. Entre otras novedades, incluye varias medidas para dar mayor transparencia a la información que recibe el usuario en el momento de dar su consentimiento para que le envíen en el futuro ofertas de nuevos productos o servicios.
El cambio más importante es que, a partir de ahora, este consentimiento deberá recogerse mediante una acción afirmativa del usuario. Es decir, ya no valdrá rellenar un formulario en cuya última línea aparezca una casilla junto al conocido texto: “Marque aquí si no desea recibir más mensajes”. En vez de esto, para que el consentimiento sea válido será necesario marcar una casilla para indicar que sí se quieren recibir mensajes, o realizar alguna otra acción que haga ver la voluntad del interesado de seguir recibiendo publicidad. Dejan también de ser válidas las casillas ya premarcadas. Si el usuario quiere recibir información, tiene que marcarlas él mismo y pedirlo así claramente.
Por otra parte, la empresa que realiza el marketing tendrá obligación de demostrar que el consentimiento se tomó en las condiciones anteriores. La forma más común de hacerlo es lo que se denomina en el argot “doble opt-in”: el interesado manifiesta su voluntad de suscribirse al servicio, y tiene que reafirmarla marcando un código personalizado que recibe por correo electrónico o SMS.
Además, el Reglamento prohíbe utilizar datos que no hayan sido recogidos en estas condiciones de consentimiento. Por eso, todas las empresas se apresuran a renovar sus viejas bases de datos mediante campañas de “re-opt-in” en las que vuelven a solicitar el permiso de sus suscriptores, esta vez sí, con consentimiento positivo y doble opt-in. Vale la pena arriesgarse a perder los clientes que no contesten o lo hagan negativamente si se consigue así una base de datos completamente legalizada.
La nueva normativa obliga también a informar con transparencia, en el momento de recoger el consentimiento, de lo que se va a hacer con nuestros datos, sobre todo en el caso de que la empresa a la que se los estamos dando vaya a cedérselos a otra, así como del tiempo que va a estar utilizándolos. El Reglamento ha añadido a los ya conocidos derechos ARCO (acceso, rectificación, cancelación o supresión y oposición a la realización del tratamiento de datos) el nuevo derecho de portabilidad de los datos entre empresas, y ha creado dos nuevos de tipos de datos sensibles o especialmente protegidos, los datos genéticos y los biométricos, que se añaden a los ya existentes: creencias religiosas, ideologías políticas, vida u orientación sexual, afiliación sindical, datos de salud, etc.
Por último, ¿qué ha hecho la Unión Europea para incentivar la puesta en marcha de las nuevas medidas? En primer lugar, crear la figura del Delegado de Protección de Datos. Conviene que nos acostumbremos a sus siglas en inglés, DPO, porque las vamos a encontrar al pie de muchos correos electrónicos. Es un experto independiente, una especie de “defensor del usuario” que debe asesorar a la empresa o institución para la que trabaja (también las Administraciones Públicas están sometidas al Reglamento y deben tener su DPO) en el cumplimiento de la legislación de protección de datos, convirtiéndose en un intermediario entre las autoridades de protección de datos, las compañías y las personas afectadas, que pueden ejercer sus derechos a través del DPO. Y, además, ha añadido una importante motivación para animar a ese cumplimiento: multas de hasta veinte millones de euros o el 4% de la facturación anual de la compañía, cantidades capaces de hacer palidecer incluso a los gigantes de Internet.