Por Agustín Pérez, director de Ágora Social
Esta es una de las principales dudas que nos plantean con motivo de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Muchas organizaciones tienen en sus bases de datos almacenada información sobre personas que han mostrado interés por sus actividades o han participado en algunas de ellas, asistiendo a eventos o firmando peticiones colectivas, pero que no mantienen una relación contractual con ella como es la que se deriva de la afiliación o la condición de usuario de servicios.
El RGPD mantiene que todo tratamiento de datos personales necesita apoyarse en una base que lo legitime. Además de la relación contractual ya mencionada y de otras tres razones poco comunes, las dos fuentes básicas de legitimación con el consentimiento o el interés legítimo prevalente del responsable o de terceros a los que se comunican los datos.
Aunque no está expuesto de forma explícita, se deduce de algunos artículos y del principio general de responsabilidad activa que hay que documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos. Así, por ejemplo, hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos personales de los interesados.
En este post vamos a explicar con más detalle en qué consiste el consentimiento y cómo se sabe si se ha obtenido el que es preceptivo. En uno posterior desarrollaremos el tema del interés legítimo, que es un concepto menos conocido y que tal vez muchas ONG están ignorando.
¿Qué es el consentimiento?
El consentimiento de la persona objeto de una acción de marketing directo será necesario en muchos casos, no en todos. Nótese que nos referimos a comunicaciones de marketing directo, lo que en nuestro ámbito equivale a decir orientadas directa o indirectamente a la captación de fondos (solicitudes de afiliación o donación puntual, comunicaciones para predisponer a la persona a ser receptiva a una solicitud de este tipo, etc.). Los diferentes canales tienen diferentes condiciones legales, como veremos más abajo. No hablamos de las comunicaciones administrativas, que obviamente no requieren consentimiento porque forman parte de la relación contractual con las personas que colaboran.
A menos que prefiramos acudir a otra base de legitimación, hay que contar con el consentimiento de las personas de que a partir de ese momento recibirán comunicaciones. Y esto ha de considerarse como algo diferente al propio hecho de donar, en el caso de que lo hagan. Es decir, que donar no implica aceptación de que se le envíen futuros materiales. Debe indicarlo de manera expresa.
El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Ya no se admiten formas de consentimiento tácito o por omisión, basados en la inacción.
Hay situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
¿Cómo obtener el consentimiento?
El procedimiento más habitual para expresar el consentimiento es una casilla de verificación en el formulario de solicitud de información o de donación que las personas puedan marcar. También pueden ponerse dos casillas alternativas (Sí y No) para que se pueda indicar la preferencia. También se puede utilizar un formulario online para que las personas puedan completarlo con sus datos con la indicación clara de que desean recibir futuros materiales. No es imprescindible que el consentimiento se dé por escrito, se puede dar verbalmente o mediante cualquier otra acción que demuestre conformidad. Por ejemplo, introduciendo una tarjeta de presentación en una urna de un evento, puesta con el fin de facilitar a la organización la información de contacto para ocasiones futuras.
El hecho imprescindible es que exista un acto claro y evidente de conformidad, mediante el cual las personas demuestren de manera inequívoca que han proporcionado sus datos personales con el fin de ser contactados por la organización en ocasiones futuras.
El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).
Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa. Si no es así, hay que valorar si los tratamientos afectados pueden apoyarse en otra base legal como puede ser, entre otras, la relación contractual o el interés legítimo del responsable que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).
¿Este contenido te está resultando interesante? Recibe cada semana tu píldora para ser mejor fundraiser. Suscríbete ahora a nuestro boletín y recibe consejos, ideas novedosas, webinars, recursos y mucho más.
¿Qué hacer si no sabemos si dieron su consentimiento?
Con el paso de los años, se acumulan datos personales recabados por diferentes medios y con distintos mensajes, lo que hace a menudo imposible saber si esas personas nos dieron o no su consentimiento. ¿Qué hacer entonces?
Lo primero de todo es que deberías dedicar el suficiente tiempo y recursos para tener actualizada tu base de datos. Para trabajar el marketing directo necesitas la seguridad de saber que lo estás haciendo de manera justa y legal. No es suficiente con cumplir las normas, sino que es necesario que puedas demostrar que las cumples. Esto significa que debes tener documentadas las preferencias de comunicación de las personas y cuándo te las han proporcionado. Si no eres capaz de demostrar que tienes su consentimiento en vigor (o, para el legítimo interés, que la información está actualizada) no podrás utilizarlo para el marketing directo.
Si no estás seguro de tener su consentimiento para enviar emails, entonces no le envíes un email de marketing, incluso aunque sea para solicitarle que te confirme que le apetece que le contactes. Podrías estar infringiendo la ley. Puede que pienses que estás escribiendo a esa persona como tarea de limpieza de base de datos, pero si lo que le estás preguntando es si quiere recibir marketing directo, las autoridades reguladoras pueden entender que se trata de un mensaje de marketing directo en sí mismo.
En el caso del marketing por correo postal, cuando no tienes el consentimiento, necesitarás sopesar si te puedes basar en el legítimo interés. ¿Sería razonable enviar algo? ¿Podrías estar actuando contra los derechos de esa persona? Recuerda que los derechos de las personas se superponen al legítimo interés de una organización para enviarle marketing directo.
Información clara y de fácil acceso
La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. Las clausulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.
Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD) y que añade:
- Base jurídica del tratamiento.
- Intención de realizar transferencias internacionales.
- Datos del Delegado de Protección de Datos (si lo hubiere).
- Elaboración de perfiles.
La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.
TE PUEDE INTERESAR:
0 responses on "¿Es legítimo conservar los datos personales de nuestros simpatizantes? (I)"