Primer Reto: Superar el fin del consentimiento tácito

La semana pasada estuvimos en Oporto (Portugal) para impartir una charla a todo el equipo comercial de una gran empresa Internacional. A dicha charla, asistieron no sólo empleados españoles, habituados hasta ahora a la ya veterana LOPD, sino también cargos directivos de Portugal, uno de tantos países de la Comunidad Europea que, si bien han tenido (como nosotros) una Ley de Protección de Datos de ámbito nacional en vigor, han seguido hasta el momento políticas mucho más flexibles a la hora de tratar datos dentro del ámbito empresarial.

El compartir nuestro conocimiento acerca de la nueva normativa (Reglamento General de Protección de datos RGPD) con empleados de distintos países fue una clara muestra del reto que nos espera a partir del 25 de mayo de este año 2018. Algunas caras de estupefacción, incluso de preocupación, y otras que asentían como afirmando que “ya se veía venir”.

Y es que una de las novedades que plantea el Reglamento Europeo es el fin del consentimiento tácito del afectado a la hora de obtener los datos, algo que complicará la vida a multitud de empresas y departamentos, especialmente a los relacionados con el Marketing y la gestión Comercial.

¿Qué es el consentimiento tácito?

Hasta ahora, el consentimiento tácito, o aquel que se da por entendido:

si me das tus datos damos por hecho que puedo utilizarlos en mi empresa, era el más utilizado.

La mayoría de empresas y profesionales insertaban cláusulas informativas a posteriori (en la firma del correo electrónico, al pie de las facturas, en la página Web, etc.), pero no se planteaban medidas para obtener un consentimiento previo que no dejara lugar a dudas.

La nueva normativa, sin embargo, obliga a informar a los afectados por el tratamiento de datos y solicitar su consentimiento de forma previa y de forma inequívoca, debiendo tener una prueba que no deje lugar a dudas de que se ha cumplido con este requisito. Además, se amplían las exigencias de qué debe incluir esta información y deberá informarse de aspectos que hasta el momento no se contemplaban (cuanto tiempo conservaré los datos, finalidades concretas de tratamiento, conservación de datos en el extranjero, quien es el Delegado de Protección de Datos, etc.).

Todas las empresas, pequeñas, medianas y grandes, se encuentran ante el reto de que deben diseñar un sistema de entrada de datos que permita acreditar que el afectado ha sido correctamente informado, y que con conocimiento de causa ha consentido a la empresa que trate sus datos, y que es conocedor del alcance real de dicho tratamiento.

Un ejemplo y una posible solución:Tarjeta de visita

En la charla uno de los empleados (sector ventas) nos preguntó cómo podía cumplir con esta normativa cuando a él, un potencial cliente, le facilitaba una tarjeta de visita.
Le preguntamos: ¿Qué hace la empresa con sus datos?
El respondió que, aparte de añadirse a la Base de Datos de clientes potenciales, se incluía en una base de datos del Departamento de Marketing y pasaba a recibir boletines e información general de la empresa por correo electrónico. Y añadió que era obvio,

“si me da la tarjeta, es porque consiente que lo demos de alta en la base de datos de marketing”.

¿Estamos seguros de ello?

Tal como explicamos este razonamiento choca frontalmente con el espíritu de la nueva normativa europea. No podemos dar las cosas por sentado. Si damos nuestra tarjeta a alguien es para que se ponga en contacto con nosotros por algún motivo (informarme de tarifas, preocuparse por mis necesidades, etc.) pero no quiere decir que permitamos que con esa tarjeta puedan incluirnos en todas las listas de correo de la empresa. Para ello, se nos deberá informar expresamente.

Y a la pregunta: ¿Cómo solucionar esto?

Nosotros planteamos, a modo de ejemplo, que quizá una de las soluciones será adaptar las Bases de Datos de Marketing de las empresas, y acostumbrarnos a aplicar filtros. Un modo sería hacer lo mismo que ya se hace desde hace años en el entorno on-line, mediante un correo de confirmación. Si uno se registra en Amazon, recibirá un email a la dirección indicada para confirmar la suscripción. Si no confirma, es como si no se hubiera registrado. Y a nadie le sorprende el sistema.
Pues quizá, un método puede ser que en el momento en que se dé de alta a alguien en la Base de Datos, este reciba (incluso de forma automática) un correo que le informa que se ha realizado dicha alta, y le pide que confirme que quiere estar en ella. En caso de que no confirme, ese dato no debería incluirse en esa base de datos ni utilizarse para dicha finalidad.

Iremos viendo, poco a poco, como se aplican estos cambios.

En los próximos meses iremos informando de los distintos retos a los que nos enfrentamos e iremos poniendo ejemplos prácticos de cómo se pueden afrontar.

Estaremos encantados a que nos acompañes a superarlos uno a uno. ¿Te apuntas?

Xavi Saula

Xavi Saula

Abogado – Socio Auris Advocats

Especializado en Protección de Datos

y adaptación al nuevo RGPD