GDPR: Bases legales para el procesamiento de datos

gdpr y WordPress bases legales

Bajo la nueva norma GDPR, estás obligado a tener un fundamento o base legal para cada actividad procesamiento de datos.

Una de estas bases legales es el consentimiento del sujeto. Si no estás seguro de si se aplican otros motivos legales, pedir permiso es algo incómodo, pero es la forma más segura de hacerlo. Dicho esto, desde un enfoque simple, pero no óptimo, una solución sería agregar una casilla de consentimiento por separado a cada formulario en el que recopiles datos de los clientes. Sin embargo, esto no siempre será necesario. Por ejemplo, tus formularios de contacto probablemente no necesiten una casilla de verificación de consentimiento, a diferencia de lo que mucha gente piensa y lo que otros plugins de GDPR recomiendan. Y como probablemente sepas, agregar campos innecesarios en el formulario generalmente reduce la tasa de conversión del sitio web, por lo que desde un punto de vista comercial y de marketing, conviene evitar agregar casillas de verificación extra en la medida de lo posible.

Partiendo de este punto, en primer lugar, repasaremos los motivos legales para que tengas una idea de qué otros recursos y soluciones puedes emplear en lugar de tener que solicitar el consentimiento.

Cumpliendo un contrato

Lo primero, cumplir un contrato es una base legal legítima para el procesamiento de datos.

Según el GDPR Art. 6 (1) (b): el procesamiento de datos es legal si dicho procesamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a solicitud del interesado antes de formalizar un contrato.

Por ejemplo, esto podría aplicarse a los formularios de contacto si alguien que se pone en contacto contigo lo hace para comprarte un producto o adquirir un servicio que ofreces.

Leyes

Si estás legalmente obligado a hacer algo, obviamente la norma GDPR no puede prohibirte hacerlo.

GDPR Art. 6 (1) (c): el procesamiento de datos es legal si dicho procesamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el controlador.

Por ejemplo, si un cliente solicita una factura tras una compra en tu ecommerce, lo más seguro es que debas almacenar las facturas por un determinado período de tiempo.

Interés Legítimo

Existe una especie de palabra clave mágica en todo este asunto: el interés legítimo. En algunos casos, el procesamiento de los datos personales de los clientes podría contar como tu interés legítimo. Si este es el caso, no es necesario que solicites su consentimiento.

El ejemplo más útil de esto es el marketing directo. En una situación en la que un cliente te haya comprado algo, podrías argumentar que tu interés legítimo es enviar anuncios a este cliente sobre productos similares a los que ha comprado con anterioridad.

Ten en cuenta que esto no significa que puedas enviar anuncios a discreción a tus clientes. El uso del concepto de «interés legítimo» es una habilidad avanzada que emplean los abogados. No recomiendo usarlo sin la ayuda de un experto en leyes porque si no estás al tanto de los precedentes o no comprendes algo, puedes recibir una multa. Cuidado con esto.

Consentimiento

Hay ciertas cosas adicionales que necesitas saber sobre el concepto de consentimiento.

El GDPR Art. 4 declara que el consentimiento del sujeto de los datos significa cualquier indicación libre, específica, informada e inequívoca de los deseos del interesado mediante el cual, con una declaración o una acción afirmativa clara, se está de acuerdo con el tratamiento de datos personales relacionados con el o ella.

Deconstruyamos entonces el significado de esto.

  • «Libre» significa exactamente lo que dice. Por ejemplo, no puedes obligar a tus clientes a dar su consentimiento haciendo trucos como darles casillas de verificación que digan «Acepto los términos y condiciones y quiero que me envíen publicidad», y si no lo comprueban, no pueden hacerlo.
  • «Específica» significa que debes solicitar cada consentimiento de manera específica y por separado. Necesitas una casilla de verificación para cada propósito de procesamiento para el que solicita el consentimiento.
  • «Informada» significa que debes explicar de manera clara y fácil de entender lo que el sujeto de datos está consintiendo.
  • «Inequívoca» básicamente significa «claro» nuevamente. El consentimiento debe pedirse por separado de la presentación de otra información.
  • «Acción afirmativa clara» significa que el sujeto de los datos tiene que hacer algo específico para demostrar que está de acuerdo con algo. Esto significa que las casillas de verificación de consentimiento no se pueden marcar previamente.

El procesamiento de datos confidenciales necesita un consentimiento explícito.

También se requiere consentimiento explícito para transferir datos personales fuera de la Unión Económica Europea sin la decisión de adecuación (GDPR Art. 45), salvaguardas apropiadas (códigos de conducta aprobados / reglas corporativas vinculantes, mecanismo de certificación aprobado – ver Art. 46 de GDPR) o reglas corporativas aprobadas.

Y la parte difícil: el interesado tiene derecho a retirar cualquier consentimiento que hayas otorgado en cualquier momento. Te mostraré cómo agregar esta funcionalidad a tu sitio de WordPress en el próximo capítulo.

Cómo pedir el Consentimiento

Al solicitar el consentimiento, debes mostrar la siguiente información:

  • Explica lo que quieres hacer;
  • Explica cuál es el propósito para hacer eso;
  • Explica con quién compartes datos y dales su información de contacto;
  • Proporciona la duración del período de procesamiento (o la duración de la actividad);
  • Proporciona un enlace para retirar el consentimiento;
  • Proporciona un enlace a otra información relevante (por ejemplo, al derecho a presentar una queja a la autoridad supervisora);
  • Asegúrate de que el sujeto de datos no pueda dar su consentimiento por defecto (¡que no haya casillas de verificación previamente marcadas!)

Sí, la verdad es que es bastante trabajo! Desde una perspectiva legal, la forma más segura es mostrar toda esta información en tus formularios.

Sin embargo, es probable que puedas cumplir con el trabajo mostrando sólo una línea de texto, algo así:

Y cuando un cliente haga clic en el enlace «More information», que se abra un modal con toda la información adicional que necesite mostrar. Algo como esto:

Una vez más, desde un punto de vista legal, no es una solución completamente óptima, así que úsala bajo tu propio riesgo.

Seguimiento y retirada del consentimiento

Los usuaruos de tu sitio web deben poder retirar cada consentimiento que te hayan otorgado. El GDPR Framework, por ejemplo, proporciona herramientas para rastrear cada consentimiento que tus visitantes hayan dado y les permite retirar estos consentimientos por separado en la página de herramientas de privacidad. Desarrollaré esto en el próximo capítulo.