El próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento de Protección de Datos de la Unión Europea (GDPR o General Data Protection Regulation, o RGPD en español).
La principal novedad del GDRP en realidad no afecta a empresas europeas. Se trata de la extraterritorialidad de aplicación de la norma de protección. Significa que si cualquier empresa o entidad del mundo tiene datos personales de europeos, la Unión Europea se reserva el derecho a supervisar, y en su caso sancionar, la gestión de esos datos. Si lo consigue, claro.
Pero ya puestos, los legisladores han añadido más protección a los usuarios, y la relevante hoy es esta: El consentimiento para prestar datos personales debe ser «inequívoco». A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
Como dice esta guía sobre el nuevo RGDP «Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa«.
Así que si ya tenemos el consentimiento expreso, fenomenal, no hay que preocuparse. Pero eso hay que demostrarlo, claro.
¿Cómo lo hacemos? La regulación no es explicita, pero yo al menos entiendo que debiéramos ser capaces de decir en qué momento y qué datos se entregaron en ese consentimiento. Esto ya no es tan fácil, ¿verdad?
Por ese motivo (y de nuevo siguiendo el sentido común), si no se conserva esa certeza, lo recomendable es iniciar un proceso de confirmación de ese consentimiento, antes del 25 de mayo. Este proceso es tedioso y sobre todo nos puede hacer perder un importante volumen de contactos. Pero esto es mejor a que alguien nos llame el 26 de mayo preguntando: ¿de dónde ha obtenido usted mi correo electrónico, que tengo pensado denunciarle?
Otras personas en Europa han llegado a la misma conclusión, así que de aquí a un mes vamos a recibir una catarata de e-mails pidiendo confirmar nuestra información de contacto y consentimiento para conservar y utilizar esa información.
Recientemente he recibido un buen ejemplo, de Wood Mackenzie, con un bonito asunto de e-mail: We’d like to continue to send you relevant information. Primero un correo electrónico, que nos lleva a una web, en donde introducimos nuestros datos y damos el Ok.
Recordar también que la protección de datos personales no afecta a nuestros datos de contacto profesionales de Outlook, Google u otros, a los que se envían comunicaciones personalizadas. Estos datos simples están excluidos de acuerdo con el art.2.2 RDLOPD:
«Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales».
Así que la recomendación es preparar la base de datos de contactos comerciales y de marketing, preparar el sistema para la toma de datos y lanzarlo antes del 25 de mayo. Yo entiendo que es válido un sistema de aceptación en el propio e-mail, siempre que estén descritos los datos personales. Si no, el sistema de WoodMac, más complejo y que implica mayor pérdida de contactos, es otra opción segura.