Normativa GDPR: ¿Qué pasa con nuestros datos ahora?

A estas alturas, todos sabemos que el nuevo reglamento de protección de datos personales europeo (GDPR) tiene que convertirse en una realidad en los diferentes estados, obligando a las compañías y organizaciones a garantizar su cumplimiento. El día G, aunque anunciado con bastante anterioridad, se presenta ahora muy cercano, el 25 de mayo de este mismo año.

Aunque el nuevo reglamento recoge muchas reglas respecto a cómo los datos personales deben ser tratados por las organizaciones y empresas, el cambio que supone su adopción no implica modificar todo lo que se estaba haciendo ya en materia de protección de la información personal. Muchas de las reglas -que se habían traducido en leyes en nuestro país- y todos los principios fundamentales sobre los que se construyen, siguen siendo los mismos. Sí existe, sin embargo, un cambio fundamental en el carácter que debe tener el consentimiento otorgado por el individuo, generador de los datos, sobre el tratamiento que vayan a recibir estos: ahora este consentimiento debe ser explícito.

Vamos a centrarnos en este punto, dejando para discusiones mucho más formales otros aspectos del cumplimiento de la GDPR. Este carácter explícito del consentimiento nos habla de que, a diferencia de lo que venía sucediendo hasta ahora, la persona que ha generado unos datos debe decidir si es posible o no tratar esa información de una forma específica. Este tratamiento nos informa del propósito que se persigue cuando se vaya a realizar el procesamiento de la información. Según GDPR, cada individuo debe estar plenamente informado sobre qué propósito y sobre qué datos se van a utilizar para determinados tratamientos. Y, de esta manera, decidir si se procede con ellos o no. Esta elección debe formalizarse con carácter previo a la realización de cualquier tipo de procesamiento. En última instancia, en lo que respecta a este ámbito, GDPR contempla el control y la transparencia, como guías fundamentales para proporcionar una adecuada protección de los datos personales.

¿Cómo perciben los usuarios de sistemas digitales esta transparencia y este control?

Al final, el control sobre la información y el ejercicio de la trasparencia es necesario cuando hay un déficit de confianza en aquellas organizaciones que almacenan nuestros datos o con cuyos servicios interactuamos, generando nuevos datos en el proceso. Es necesario preparar los sistemas y definir los servicios para que cada una de las personas que vayan a interactuar con ellos pueda determinar el nivel de confianza que considere apropiado en su relación con la compañía que los ofrece. Resulta imprescindible asumir que cada individuo es soberano de la confianza que deposita en una empresa y es únicamente él, de forma rotunda, quien debe tener el control sobre su información personal. ¡Todo es confianza! Y en esta sociedad tan digitalizada y conectada, esta confianza es dinámica. La propuesta que se vaya a ofrecer a las personas debe permitirles cambiar de opinión tantas veces como sea necesario. Así se percibirá la utilidad del control y la transparencia, a través de la confianza. 

¿Por qué en la aplicación de la GPDR hay ocasiones en la que no nos piden consentimiento?, ¿debe esto minar mi confianza?

La GDPR deja bastante claro que para que una organización pueda disponer de un dato es necesaria una clara descripción de la finalidad para disponer de él y, además, dicha finalidad debe ser legítima. Existen seis tipos de “legitimidades”: contractuales, legales, de interés vital, de interés público, de interés legítimo y las obtenidas directamente como consentimiento de los individuos. En este último supuesto, una compañía u organización puede almacenar o procesar datos de un individuo ya que así está contemplado en el contrato de los servicios de los que esa persona es cliente. El individuo es el que ha dado autorizado, aunque el tratamiento no sea compatible con el servicio que los genera o por motivos más elevados (legales, vitales, etc.). 

GDPR obliga a: si una empresa ya tiene los datos por alguna razón de las previas, puede tratar de nuevo el dato sin necesidad de un consentimiento adicional, siempre y cuando esta segunda finalidad sea compatible con la primera, es decir, no se desvíe en exceso de la finalidad con la que se generó. Es importante destacar que el tratamiento de los datos de tráfico, localización y weblogs no pueden basarse ni en interés legítimo, ni en el tratamiento compatible posterior. 

Por ejemplo, supongamos que una empresa quiere usar los datos que está recogiendo del consumo de un servicio, pensemos, por ejemplo, en una compañía que proporciona suministro eléctrico. Podría facilitarle la compresión de una factura de cualquier cliente y ser proactivo en la definición de cualquier anomalía que en ella pueda aparecer. Para este tratamiento, con esta nueva finalidad, no necesitaría pedir consentimiento a la persona, ya que la propia contratación del servicio ya la hace compatible. Si esta misma empresa incorporara nuevas fuentes de datos, o usara información de localización para enriquecer la información a la factura, en este caso sí sería necesario solicitar explícitamente el consentimiento.

En definitiva, GDPR ofrece una visión más conservadora de los derechos de los individuos en lo que respecta a la protección de sus datos personales. Es de obligado cumplimiento por todas las compañías, y está en la mano de cada una de ellas, utilizarla para construir un camino de confianza que para definir nuevos modelos de relación con sus clientes. 

Antonio Guzmán Sacristan

Head of Innovation & Discovery at Telefónica’s 4th Platform -AURA

Antonio.guzmansacristan@telefonica.com

@aguzsac