¿Tiene tu página web adecuadamente implementado el consentimiento para el tratamiento de datos personales? En otras palabras, ¿en tu formulario de contacto, recoges adecuadamente el consentimiento para tratar los datos de clientes y usuario?
¿Hay que poner un enlace a una página con la política de protección de datos? ¿se precisa que marque una casilla aceptando el tratamiento?
Normativa en España sobre protección de datos personales
La normativa básica aplicable es el Reglamento general de protección de datos (RGPD) o Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
También hay que cumplir la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Una excelente fuente de información adicional es la Agencia Española de Protección de Datos. Por otro lado, en este mismo blog ya hemos escrito sobre el resumen del RGPD.
El consentimiento en el RGPD
La definición de consentimiento está en el artículo 4.11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
El considerando 32 especifica que “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”
Por tanto, si en el formulario de recogida de datos de nuestra web tenemos una casilla en blanco que el usuario ha de marcar, con un texto del tipo “Acepto el tratamiento de mis datos de carácter personal por parte de [Empresa]” y un enlace a la política completa de protección de datos del responsable de tratamiento de la web, estaríamos recabando correctamente el consentimiento específico, informado e inequívoco.
La casilla no puede estar ya marcada ni se acepta el consentimiento tácito: “… el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento“.
El usuario puede retirar su consentimiento en cualquier momento.
El consentimiento en la Ley 3/2018
Al tener como objeto la adaptación del Reglamento (UE) 2016/679 al ordenamiento jurídico español, el consentimiento se regula básicamente como ya se ha explicado. Interesante mencionar que su artículo 9 que “…el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.”
Este tipo de datos sensibles no deben recabarse salvo que haya una Ley habilitante que lo permita.
Imaginemos que captamos datos de usuarios para cederlos a un tercero o a un encargada de tratamiento. Por ejemplo, si captamos datos de usuarios que buscan hipotecas y se las cedemos a bancos o a intermediarios de crédito inmobiliario. ¿Hay que recabar el consentimiento expreso para ello?
Si cedemos datos a un encargado de tratamiento, en base al artículo 33, “no se considerará comunicación de datos” y, por tanto, no procede recabar el consentimiento del afectado. El responsable de los datos captados en el formulario es la empresa que gestiona la web y el encargado del tratamiento trata los datos personales únicamente por cuenta del responsable del tratamiento (con el que tenemos que firmar un contrato con las obligaciones del encargado del tratamiento con respecto al responsable).
Entiendo que si pretendemos ceder a un tercero, sí se debería recabar el consentimiento para ello.
El consentimiento en la Ley 34/2002
En relación a si hay que recabar el consentimiento para remitir publicidad a los usuarios, se prohíbe el envío de comunicaciones comerciales por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento de forma expresa.
El artículo 21 señala una excepción a solicitar un consentimiento expreso: “cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”
Por tanto, si queremos remitir publicidad a un usuario que nos ha dejado sus datos y no son ya clientes nuestros, o bien es una comunicación comercial que no tiene relación con productos o servicios de nuestra misma empresa, deberemos también recabar el consentimiento expreso para ello. En el formulario, eso se conseguiría añadiendo una casilla en blanco, con un texto del tipo “Acepto recibir publicidad de [Empresa] sobre productos y servicios [tipos]“.
Formulario de captación de datos personales
Veamos como ejemplo el siguiente formulario de recogida de datos de Futur Finances, que los usa para que intermediarios de crédito inmobiliario contacten con usuarios que buscan financiación hipotecaria:
En el momento de solicitar datos, menos es más. Así, por ejemplo, dicho formulario no solicita el DNI, información que no necesita para el tratamiento de datos.
Las casillas están desmarcadas.
En la primera se informa de la empresa responsable del tratamiento de los datos y se enlaza con la política de protección de datos. El usuario ha de aceptar expresamente el tratamiento.
La segunda casilla, recaba el consentimiento expreso para la cesión de datos a una serie de intermediarios de crédito inmobiliario, relacionados en un enlace. ¿Es precisa esta casilla? En principio, no, ya que los intermediarios son encargados de tratamiento en virtud del correspondiente contrato. Sin embargo y en aras a la máxima información al cliente, se incorpora esta casilla.
La tercera casilla, usada para poder remitir comunicaciones publicitarias, opcional (no se exige que se marque para remitir los datos), consideramos es precisa ya que el usuario no firma un contrato de intermediación con la empresa responsable de los datos, si no que, de interesarle el servicio, acabará firmando con el intermediarios de crédito inmobiliario que le contacte.
Espero que esta información te sea útil para cumplir, escrupulosamente, con la normativa de protección de datos en cuanto a la recogida de información.