Estoy revisando posibles aplicaciones del RGPD al cuarto ejercicio y tengo una duda que me corroe, a ver qué les parece :
En varias guías de la AEPD aparece que será necesario adaptar los formularios para que el consentimiento se dé de manera claramente afirmativa (que el usuario tenga que hacer alguna acción para dar el consentimiento, pulsando un botón o activando un check, por ejemplo). Sin embargo, al hablar de las bases jurídicas, el artículo 6 habla de varias bases jurídicas posibles, entre ellas:
1.- El consentimiento (aplica lo que puse antes)
2.-El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
3.-El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento;
En el caso de las AAPPs, en el 90% de las ocasiones vamos a estar en las situaciones 2 y 3: Habrá una norma con rango legal que justifique la necesidad del tratamiento, por lo que el consentimiento no sería necesario...
Teniendo todo esto en cuenta: ¿Creéis que sigue siendo necesario tener en los formularios el check de 'acepto que se van a tratar mis datos personales'?, ¿y el de acepto que se consulten mis datos a través de la PID?
Parece evidente que en las situaciones 2 y 3 que citabas NO es necesario recabar consentimiento, como así se indica. Que se mantenga como "herencia" de tantos años solicitándolo... pues cuestión de tiempo el ir depurando formulario por formulario, como todo.
Sin embargo el caso de la consulta de datos a través de la PID es distinto, creo yo, ya que tiene que ver con el cumplimiento de la 39/2015, no del RGPD. La ley de procedimiento administrativo común es clara al respecto, y siempre se habla de "...salvo oposición expresa del interesado" o similar, por lo que habrá que seguir incluyendo las casillas de "Me opongo..." para cumplir con la 39/2015.
¡Vamos, repetid conmigo: no hay Mundial, no hay Mundial, no hay Mundial...!
Yo no tengo muy claro que los apartados 2 y 3 valgan para la mayoría de los procedimientos de la adminisitración pública:
2.-El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
3.-El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento;
Un procedimientos que inicie el ciudadano, por ejemplo el supuesto del año pasado de la inscripción en una oposiciones, no creo que aplique a los casos 2 o 3 y pienso necesitaría un consentimiento explicito y positivo por parte del ciudadano.
Buenas,
Para mayor detalle os remitimos al documento del pack3 de "RGPD Adaptación a las AAPP" y a las guías de la AEPD en la carpeta de "Material adicional", especialmente la de "Impacto RGPD en AAPP".
No obstante, os comento:
- Una de las exigencias clave que implica el RGPD para el responsable consiste en que identique con precisión las finalidades y la base jurídica de los tratamientos que se lleven a cabo. Estas informaciones deben proporcionarse a los interesados en el momento de recoger los datos o para justificar ciertos tipos de tratamiento (Art 13 y 14 RGPD), además de recogerse en el RAT.
- Como mencionáis, en la actividad de las AAPP será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. No obstante, el RGPD establece que tanto el interés público como los poderes públicos que justifican el tratamiento deben estar establecidos en una norma de rango legal. Y esta es la clave, para poder usar estos argumentos debe haber una norma de Derecho de la UE o del Derecho español que justifique el tratamiento de los datos personales para la finalidad requerida por parte de las AAPP. Es decir, si vais a usar este argumento, tendréis que indicar la norma específica (y artículo si lo sabéis) que os habilita para hacerlo y que debe de dejar claro que se permite el tratamiento de datos sin recabar consentimiento. Puede parecer trivial, pero no lo es. Por acercaros a la realidad, la AGE lo está utilizando ampliamente cuando el procedimiento tiene el respaldo legal citado, pero no es una "carta blanca" para todos los casos.
- Por otro lado, si la base jurídica de los tratamientos es el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que: sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa (Art 7 y “considerando” 32 de RGPD). Los consentimientos “tácitos”, basados en la inacción de los interesados, dejaron de ser válidos a partir de la fecha de aplicación del RGPD, incluso para tratamientos iniciados con anterioridad, y conllevarán una nueva solicitud de consentimiento o bien aplicar otra causa de legitimación (ponderación del derecho vs interés legítimo del responsable, p.ej). Los consentimientos previos a la aplicación del RGPD que cumplan con los requisitos del Reglamento, no deberán ser solicitados de nuevos (“considerando” 171 de RGPD). Si se recaba el consentimiento para varias finalidades, pueden agruparse en virtud de su vinculación, pero deben desagregarse cuando los tratamientos impliquen conductas distintas. En ningún caso la falta de consentimiento podría implicar la denegación de un servicio siempre que el tratamiento no sea necesario para su prestación (Art 7.4). La aceptación mediante un clic de una política de privacidad en que se deja expresamente al interesado la posibilidad de decidir si acepta o no el tratamiento de datos (casillas no premarcadas) puede considerarse un consentimiento válido.
>> Resumiendo, los consentimientos tácitos ya no son válidos, y esto implica que muchos formularios en las AAPP están siendo/han sido modificados para aquellos tratamientos en los que la base jurídica sea el consentimiento.
La ley 39/2015 se está contradiciendo en este sentido con el RGPD (se publicó antes) pero en este sentido del consentimiento predomina la protección de derechos y libertades del RGPD, así que esos formularios que mencionáis de "marque si se opone" o similares están siendo/han sido modificados.
El RGPD indica también que el consentimiento se recaba para una finalidad concreta. Es decir, para el tema de la PID, lo que se está haciendo es que los formularios incluirán peticiones de consentimiento específico para dos finalidades p.ej: la del sistema en sí y la de intermediación de datos con la PID.
Disculpad la extensión de la explicación, esperamos que os sea útil.
¡Suerte y ánimo!
>> Resumiendo, los consentimientos tácitos ya no son válidos, y esto implica que muchos formularios en las AAPP están siendo/han sido modificados para aquellos tratamientos en los que la base jurídica sea el consentimiento.
La ley 39/2015 se está contradiciendo en este sentido con el RGPD (se publicó antes) pero en este sentido del consentimiento predomina la protección de derechos y libertades del RGPD, así que esos formularios que mencionáis de "marque si se opone" o similares están siendo/han sido modificados.
El RGPD indica también que el consentimiento se recaba para una finalidad concreta. Es decir, para el tema de la PID, lo que se está haciendo es que los formularios incluirán peticiones de consentimiento específico para dos finalidades p.ej: la del sistema en sí y la de intermediación de datos con la PID.
Sólo por confirmar:
La modificación que se está haciendo entonces es para indicar que "...SÍ se consiente la consulta de datos a través de la PID...", ¿no? Además de la/s finalidad/es concretas del sistema en cuestión.
>> Resumiendo, los consentimientos tácitos ya no son válidos, y esto implica que muchos formularios en las AAPP están siendo/han sido modificados para aquellos tratamientos en los que la base jurídica sea el consentimiento.
La ley 39/2015 se está contradiciendo en este sentido con el RGPD (se publicó antes) pero en este sentido del consentimiento predomina la protección de derechos y libertades del RGPD, así que esos formularios que mencionáis de "marque si se opone" o similares están siendo/han sido modificados.
El RGPD indica también que el consentimiento se recaba para una finalidad concreta. Es decir, para el tema de la PID, lo que se está haciendo es que los formularios incluirán peticiones de consentimiento específico para dos finalidades p.ej: la del sistema en sí y la de intermediación de datos con la PID.
Sólo por confirmar:
La modificación que se está haciendo entonces es para indicar que "...SÍ se consiente la consulta de datos a través de la PID...", ¿no? Además de la/s finalidad/es concretas del sistema en cuestión.
Buenas Montijeño,
Sí, es como indicas. Los nuevos formularios para recabar consentimiento según el RGPD indicarán claramente las finalidades concretas (entre otros aspectos) y pedirán un consentimiento específico para cada una de ellas.
¡Saludos y ánimo con el tercero!
Hola,
Sobre esto último que comentáis, entiendo entonces que vuestro razonamiento es que cualquier consulta a través de la Plataforma de Intermediación implica el tratamiento/intercambio de datos personales, y entonces como se pueden ver afectados los derechos y libertades fundamentales del ciudadano prevalece el RGPD sobre cualquier ley española, y por eso decís que el Art. 28.2 de la ley 39/2015 no aplicaría, y aplica lo que dice el Reglamento: que tiene que ser consentimiento explícito. ¿es así?
¿No va a ser entonces ya necesario nunca poner un check del tipo "Me opongo a la consulta a través de PID" y habrá que poner siempre una casilla vacía en la que se marque afirmativamente que sí se consiente la consulta a través de PID?
Por tanto el artículo 28.2 de la Ley 39/2015 "tenderá a ser eliminado probablemente" cuando se adapte el RGPD como Ley española. ¿?
Art.28.2 Ley 39/2015: [...] Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.
Hola,
Sobre esto último que comentáis, entiendo entonces que vuestro razonamiento es que cualquier consulta a través de la Plataforma de Intermediación implica el tratamiento/intercambio de datos personales, y entonces como se pueden ver afectados los derechos y libertades fundamentales del ciudadano prevalece el RGPD sobre cualquier ley española, y por eso decís que el Art. 28.2 de la ley 39/2015 no aplicaría, y aplica lo que dice el Reglamento: que tiene que ser consentimiento explícito. ¿es así?
¿No va a ser entonces ya necesario nunca poner un check del tipo "Me opongo a la consulta a través de PID" y habrá que poner siempre una casilla vacía en la que se marque afirmativamente que sí se consiente la consulta a través de PID?
Por tanto el artículo 28.2 de la Ley 39/2015 "tenderá a ser eliminado probablemente" cuando se adapte el RGPD como Ley española. ¿?
Art.28.2 Ley 39/2015: [...] Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.
Gracias.
Buenas,
Disculpad que me entrometa pero siendo un reglamento y no una directiva u otro tipo de norma europea creo que el RGPD es obligatorio en todos sus elementos y directamente aplicable al Estado miembro. Supongo que en todo caso tendrán que aprobar una modificación a la Ley 39/2015 en el Congreso.
Un saludo y suerte
Buenas,
Gracias, Montijeño. Eso es. En los formularios, se va a cambiar la casilla a marcar de: "me opongo a la intermediación de datos" a: "consiento en que se traten mis datos para la finalidad de intermediación de datos" (al igual que habrá otras casillas para recabar consentimiento para otras finalidades).
Una puntualización, no obstante, sólo para que no lo perdáis de vista, pero no quiero liaros:
- En la ley 39/2015, el interesado puede ser una persona física o jurídica.
- El RGPD aplica a la protección de datos de personas físicas, así que los datos de personas jurídicas ("empresas", pero no sus empleados o representantes) están fuera de su ámbito.
-->> Es decir, las contradicción entre la ley 39/2015 Art.28.2 ("Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso") y la defensa de derechos y libertades del interesado en el RGPD (consentimiento específico,...) sólo se daría para tratamiento de datos de personas físicas.
-->> No obstante, lo habitual es que se modifiquen los formularios de todos modos ya que la gran mayoría de los procedimientos manejarán datos de personas físicas (p.ej aunque la solicitud sea para persona jurídica = empresa, muy probablemente se recojan/intermedien datos también sobre su representante o contactos = personas físicas). Así pues, se modifican los formularios y cubres todo.
Hola,
Sobre esto último que comentáis, entiendo entonces que vuestro razonamiento es que cualquier consulta a través de la Plataforma de Intermediación implica el tratamiento/intercambio de datos personales, y entonces como se pueden ver afectados los derechos y libertades fundamentales del ciudadano prevalece el RGPD sobre cualquier ley española, y por eso decís que el Art. 28.2 de la ley 39/2015 no aplicaría, y aplica lo que dice el Reglamento: que tiene que ser consentimiento explícito. ¿es así?
¿No va a ser entonces ya necesario nunca poner un check del tipo "Me opongo a la consulta a través de PID" y habrá que poner siempre una casilla vacía en la que se marque afirmativamente que sí se consiente la consulta a través de PID?
Por tanto el artículo 28.2 de la Ley 39/2015 "tenderá a ser eliminado probablemente" cuando se adapte el RGPD como Ley española. ¿?
Art.28.2 Ley 39/2015: [...] Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera consentimiento expreso.
Gracias.
Buenas,
Disculpad que me entrometa pero siendo un reglamento y no una directiva u otro tipo de norma europea creo que el RGPD es obligatorio en todos sus elementos y directamente aplicable al Estado miembro. Supongo que en todo caso tendrán que aprobar una modificación a la Ley 39/2015 en el Congreso.
Un saludo y suerte
Buenas Karlitross,
Efectivamente, el Reglamento es de directa aplicación a los estados miembros (no requiere transposición), y tiene preponderancia en caso de conflicto sobre la normativa nacional.
Se espera que la futura nueva ley orgánica de protección de datos, permita ajustar en la normativa española estas contradicciones entre el RGPD y la normativa nacional, además de profundizar en aspectos que resultan relativamente ambiguos en el Reglamento.
¡Saludos y ánimo!
:
