El RGPD va a subir el listón del consentimiento en protección de datos.
Por ejemplo, el RGPD especifica que las casillas premarcadas no son un método válido de obtención de consentimiento. También recoge de manera explícita la obligación de facilitar a los individuos la retirada del consentimiento. El requerimiento de utilización de un lenguaje claro y sin ambigüedades cuando se solicita también forma parte de las novedades del nuevo reglamento.
Además, hay que asegurarse de que el consentimiento que ya tenemos cumple con la nueva ley. Es decir, que si obtuvimos consentimiento hace años usando una casilla premarcada, ahora ya no es válido.
Estas novedades fortalecen el concepto de consentimiento y han puesto el foco sobre este aspecto.
Bases legales para el procesado de datos
Sin embargo, no es cierto que bajo el RGPD el consentimiento sea la única base para el tratamiento de datos.
El enfoque sobre las novedades en consentimiento pasa por alto las otras bases legales legítimas que los negocios y organizaciones tendrán para procesar información personal bajo el RGPD.
“Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho.”
Considerando 40 RGPD
Para procesar información personal de una manera legal bajo el RGPD, tenemos que identificar una base legal válida que puede no ser el consentimiento.
Por ejemplo, el procesado de información fiscal por parte de Hacienda no necesita de consentimiento o el intercambio de información entre bancos para prevenir blanqueo.
Estas dos actividades emplean bases legales distintas al consentimiento para llevar a cabo el procesamiento de datos personales.
El nuevo RGPD proporciona hasta seis bases distintas para el procesado de datos:
- Interés vital del individuo
- Interés público
- Necesidad contractual
- Cumplimiento de obligaciones legales
- Consentimiento inequívoco del individuo
- Interés legítimo del responsable del tratamiento de datos
Como vemos, el consentimiento es una de ellas, pero no la única.
Las empresas u organizaciones que procesen datos personales deben apoyarse en una de estas seis bases. La identificación de la base aplicable a cada actividad de procesamiento de datos personales es una labor fundamental de la adaptación al nuevo RGPD.