Icono del sitio LexGoApp Blog

Cómo adaptarse al nuevo RGPD // José Enrique Pérez Palaci

¿Cómo debo pedir el consentimiento a mis clientes y proveedores tras la entrada en vigor del nuevo RGPD de protección de datos?

 

José Enrique Pérez Palaci / Abogado Ilustre Colegio de Abogados de Girona
Especialista en protección de datos por AENOR
Integrante del equipo de Salud, Ética y Compliance (SEC)

 

El Reglamento General de Protección de Datos de la Unión Europea (RGPD, y GDPR en inglés) que ha entrado en vigor este viernes 25 de mayo prevé un conjunto único de normas en todo el marco de la Unión Europea (UE), garantizando y reforzando la seguridad jurídica de las empresas y el mismo nivel de protección de datos en toda la UE para los ciudadanos.

La aplicación de la nueva normativa avanza a distinto ritmo según los Estados y las empresas, y a tan sólo semanas de la entrada en vigor del RGPD el 10% de las empresas cumplen el RGPD, y otro 25% cuenta con planes activos para asegurar el cumplimiento en mayo de 2018. Esto supone que el restante 65% no puede garantizar el cumplimiento del nuevo reglamento, según el estudio de realizado por International Data Corporation (IDC) y Microsoft sobre 100 empresas en España de más de 250 empleados.

Uno de los puntos clave en el RGPD es el modo y el cómo debe prestar consentimiento el interesado, el cual debe ser inequívoco, conciso, transparente, inteligible y de fácil acceso, por escrito, o por medios electrónicos, siempre que sea apropiado, siendo el actuar del interesado proactivo. La filosofía y el espíritu del RGPD es huir del silencio y de lo enrevesado u oscuro, por lo que las casillas ya marcadas o la inacción no son consentimiento.

Los abogados son no sólo responsables de tratamiento, sino también encargados; y ello, ¿por qué? Los abogados tratan y determinan los fines y medios de ese tratamiento de los datos personales de sus clientes privados, pero, igualmente, tratan los datos personales de clientes de oficio o de contrarios por cuenta de los órganos judiciales y administrativos (responsables del tratamiento).

En esa doble condición son responsables del cumplimiento de los requisitos del Artículo 5.1 del RGPD, y además, deben de demostrarlo (es la conocida como responsabilidad proactiva), y ello comporta que deben crear las evidencias, la documentación ad hoc, que demuestre que el cliente consintió el tratamiento de sus datos personales, usando un lenguaje sencillo y claro que de forma inteligible «distinga claramente de los demás asuntos»; a saber, el resto de finalidades para las cuales recaba los datos (emails de publicidad, de información de novedades, etc.); y así, por ejemplo: Finalidad A: la gestión de los procedimientos extrajudiciales y judiciales; Finalidad B: envío de información de tribunales.

Por otro lado, hay que tener en cuenta que los datos que son recabados en un despacho sea unipersonal, sea colectivo no son solo los datos de los clientes, sino también de los empleados, otros profesionales, entre otros; de ahí que deba evaluarse debidamente el cómo recabar el consentimiento de aquellos que no son los clientes.

En el caso de los datos personales del contrario la Agencia española de protección de datos (AEPD) ha considerado que prevalece el derecho de defensa sobre el derecho a la protección de datos, puesto que en el caso de que el abogado tuviera que estar supeditado a solicitar el consentimiento de la parte contraria para ejercer el derecho de defensa, podría verse mermado ante dicha limitación, lo cual no lleva a la conclusión de que el contrario pueda solicitar el bloqueo y supresión de sus datos una vez archivado el procedimiento.

En cuanto al tratamiento de categorías especiales de datos, como los que trata el colectivo de abogados y , merecen una mayor protección, ese consentimiento, no bastara que reúna las condiciones antedichas, sino que, además, debe ser explícito, a saber, claro y determinante.

No cabe, en el caso de los clientes privados obtener el consentimiento por omisión; salvo las siguientes excepciones, reseñamos las principales, en que el tratamiento es necesario: para proteger intereses vitales del interesado o de otra persona física, si éste no esté capacitado, física o jurídicamente, para dar su consentimiento.

Esa importancia a la claridad comporta que el responsable o el encargado de tratamiento pueda recurrir a una combinación de iconos normalizados, ofreciendo, de este modo, una visión de conjunto del tratamiento que se prevé, los cuales serán aprobados, en su momento, por la Comisión Europea.

Por tanto, el consentimiento debe ser acorde con las precitadas exigencias, salvo que el tratamiento de los datos puede apoyarse en otra normativa o derecho que prevalezca sobre los derechos del interesado, como sería el derecho de defensa.

 

Por José Enrique Pérez Palaci

Salir de la versión móvil