Consentimiento en el RGPD: ¿Necesario obtenerlo de nuevo para tratamientos anteriores?

 

Son muchas las comunicaciones, en diversos formatos, que estamos recibiendo en los días previos a la entrada en vigor o, quizá sería mejor decir, a la aplicación del Reglamento General de Protección de Datos (RGPD), que se hace efectiva hoy, 25 de mayo de 2018. En ellas, nos solicitan nuestro consentimiento para tratamientos actuales de nuestros datos que llevan a cabo los remitentes, bajo la advertencia de que, si no otorgamos el mismo, dejaremos de recibir esas comunicaciones, lo que, abro paréntesis, en caso de materializarse esa cesación de recepciones, sería un alivio, y nuestra bandeja de entrada lo agradecería eternamente.

Del aluvión de solicitudes recibidas, parece desprenderse que todo lo anterior a estas comunicaciones no fuera válido, si bien es cierto que muchos de los responsables están optando por hacer borrón y cuenta nueva y recabar los consentimientos, para “curarse en salud”.

Para dar respuesta a la cuestión planteada en el título de esta entrada, deberíamos conocer qué nos dice el RGPD. En el artículo 7.1, al establecer las condiciones para el consentimiento, señala que “Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”, por tanto, la primera premisa para cumplir es que el responsable del tratamiento tiene que demostrar que los interesados han consentido. Poniendo este precepto en relación con el artículo 6 del RGPD, que se refiere a la licitud del tratamiento, éste será lícito si el interesado dio su consentimiento para una o varias finalidades, la segunda premisa. En resumen, se debe dar el consentimiento expreso del interesado para una finalidad concreta y todo ello debe ser demostrable por parte del responsable. Si contamos con un consentimiento con las características indicadas en la línea anterior, recabar el consentimiento de nuevo no sería necesario, aunque se haya obtenido al amparo de la LOPD (la de 1999) y de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), ésta respecto a las comunicaciones electrónicas (artículo 21 LSSI).

El primer paso que debemos de dar para evitar sustos comenzaría con el análisis de la finalidad o finalidades del tratamiento por las que nos estamos dirigiendo a los interesados, con el objeto de comprobar si se informaron en su día y se recabó el consentimiento expreso demostrable de los mismos. Si alguno de estos factores falla, no continúes, sé precavido, informa y solicita de nuevo el consentimiento. Si, por el contrario, cumples las dos premisas no será necesario obtener de nuevo el consentimiento evitando un trabajo extra de comunicación.

Un punto importante para recordar es que el interesado tiene un arma que todo lo vence, con la que puede retirar su consentimiento en cualquier momento, ya se haya obtenido éste por la anterior o por la nueva legislación.

Lo cierto es que parece que el mundo de la protección de datos nace a partir del 25 de mayo de 2018, y no debemos olvidar que ya llevamos muchos años recorridos, con muchas cosas hechas en esta materia, además bien hechas y que adaptar no implica invalidar lo anterior, si lo desarrollado cumple con la nueva normativa.

Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas: