Alejandro Perales: La vigencia del consentimiento en el futuro de la protección de datos personales


 

APEP - Logo

Día Europeo de Protección de Datos 2016

Monográfico de la Asociación Profesional Española de Privacidad

+

+

Alejandro Perales

Presidente de la Asociación de Usuarios de la Comunicación

+

La aprobación el pasado diciembre en el Parlamento europeo de la propuesta de Reglamento General de Protección de Datos encamina ya esta norma hacia su recta final, que previsiblemente culminará con su aprobación en la primavera de 2016.

La opción de recurrir a un Reglamento puede resolver en buena medida el problema de fragmentación normativa derivada de las diferencias en la transposición de las actuales Directivas al ordenamiento jurídico de los diferentes Estados miembros, fuente siempre de inseguridad jurídica; pero suscita también inevitables suspicacias desde países que, como España, disfrutan de un modelo razonablemente garantista y en la “banda alta” de la protección de datos en Europa.

A grandes rasgos, cabe afirmar que el Reglamente plantea modificaciones importantes con respecto a la situación actual de la protección de datos en la UE, aunque en el proceso de su aprobación se hayan eliminado o suavizado algunas de las propuestas planteadas por el ponente parlamentario que habían resultado más polémicas. Parece claro, en todo caso, que el reglamento cumplirá con el objetivo prometido de “establecer un marco más sólido y coherente en materia de protección de datos en la UE, con una aplicación estricta que permita el desarrollo de la economía digital en el mercado interior, otorgue a los ciudadanos el control de sus propios datos y refuerce la seguridad jurídica y práctica de los operadores económicos y las autoridades públicas”.

El Reglamento se adentra en muchos aspectos de gran calado, que no pueden desarrollarse siquiera mínimamente en este escrito. Desde la portabilidad de los datos a la configuración de perfiles y el big data; desde las definiciones de “dato personal”, “datos seudónimos”, “finalidad” o “interés legítimo”, a la conceptuación y aplicación del (mal llamado) “derecho al olvido”; desde los actos delegados al desarrollo de instancias comunitarias de regulación que deben conciliarse con las competencias de las autoridades nacionales; desde la protección de los menores y de los usuarios más vulnerables a las transferencias internacionales de datos; desde la notificación de las violaciones a la cuantía de las sanciones; desde la evaluación de impacto y la figura del delegado de protección de datos, a la privacidad desde el diseño y por defecto.

Pero, sin menoscabo de lo anterior, desde el punto de vista de los intereses de los usuarios entendemos que es la regulación del consentimiento -y de sus diferentes modalidades- la clave de bóveda de todo el entramado de garantías para la protección de sus datos personales y su derecho a la privacidad. Un consentimiento que cobra más importancia, si cabe, en un entorno digital, dados su automatismo, su inmediatez, su interactividad y sus facilidades tecnológicas para la captura, la utilización cruzada y el intercambio de datos, en muchos casos de modo abusivo e ilícito y sin que los ciudadanos sean conscientes de dichas prácticas.

De ahí la importancia de garantizar de cara al futuro un “derecho de consentimiento” (permítasenos el término) que no renuncie a sus características esenciales atendiendo a una supuesta imposibilidad de su ejercicio a causa de las innovaciones tecnológicas. Un consentimiento previo, libre, otorgado para fines específicos, explícitamente recabado y expresamente concedido por parte del interesado. Un consentimiento expreso que la acuñación de nuevos conceptos como el de “consentimiento contextual”, o la resurección de otros que parecían ya periclitados como “consentimiento inequívoco” o “consentimiento informado”, no menoscaben su realidad en favor de la re-introducción en la práctica del denominado “consentimiento tácito”.
El consentimiento expreso debe contar, obviamente, con las excepciones tasadas que pudieran establecerse en función de intereses generales o legítimos, pero siempre y cuando dicho interés legítimo: 1) no sea una excusa para el tratamiento de datos personales de un modo indiscriminado; 2) se manifieste y documente de modo adecuado; 3) sea proporcionado, desde el punto de vista del interés del usuario, y 4) se reconozca en todo caso el derecho de la ciudadanía a oponerse a dicho tratamiento.

Las anteriores cautelas son especialmente oportunas ante el auge de fenómenos como la publicidad on line basada en el comportamiento (behavioural advertising). Esta práctuca recurre a dispositivos de almacenamiento y recuperación de datos (como lo son las cookies) que, a pesar, de la esperable anonimización de los mismos pueden desvelarse aspectos de la esfera privada o íntima de los usuarios, por lo que es importante que éstos estén adecuadamente informados y dispongan de mecanismos que les permitan realmente decidir sobre la no aceptación de tales dispositivos en su navegación, sin que ésta se vea impedida o bloqueada.

Es importante tener en cuenta, a este respecto, que la normativa es clara en cuanto al consentimiento previo e informado del interesado y en cuanto a la necesidad de que ese consentimiento, aun cuando pueda automatizarse, debe ser resultado de una “acción expresa”. Y que en el nuevo escenario que enmarca la propuesta de Reglamento:

  • Los datos personales deben seguir siendo tratados con el consentimiento de la persona interesada o sobre alguna otra base legítima establecida por ley.
  • La carga de la prueba del consentimiento debe seguir recayendo en el responsable del tratamiento.
  • El consentimiento, para ser libre, debe poder permitir su denegación o retirada sin perjuicio, y sin que sea mera aceptación de términos y condiciones se haga equivaler a una declaración o “acción afirmativa clara”.

En el caso de los servicios on line, el consentimiento del interesado para el tratamiento de sus datos debería abarcar todas las actividades del proceso llevadas a cabo para el mismo propósito o propósitos. Cuando el procesamiento tiene múltiples fines, el consentimiento inequívoco debe concederse para todos ellos.
La cuestión clave radica, en definitiva, en si es posible consensuar modelos de consentimiento que supongan diseñar sistemas de opt in flexibles, que garanticen el consentimiento expreso inicial del usuario sin necesidad de una re-validación continua que entorpezca o dificulte la dinámica de la oferta digital. Que respondan al concepto de gradación, atendiendo, por ejemplo, a la protegibilidad del dato en función de su potencial de identificabilidad. Que potencien el papel preventivo de la privacidad desde el diseño y por defecto, fiando secundariamente a los sistemas opt ut el ejercicio posterior de los derechos de los usuarios.

+

Alejandro Perales

Presidente de la Asociación de Usuarios de la Comunicación

Twitter.

+

+

Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.