Clausulas de protección de datos actualizadas

A estas alturas, todavía me encuentro con sanciones impuestas por la Agencia Española de Protección de Datos que tienen que ver con la falta de actualización de clausulados de protección de datos.

Aunque parezca mentira, en mayo de este año el Reglamento General de Protección de Datos llevará ya la friolera de tres años en vigor, período que se inició el 25 de mayo de 2018. Anteriormente a esta fecha, hubo un plazo de dos años para que antes de su entrada en vigor las empresas se fueran adaptando. Unos meses después, concretamente en diciembre de 2018 se aprobó y entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Y esto es precisamente lo que la Agencia Española de Protección de Datos toma en consideración cuando se encuentra con denuncias que ponen de manifiesto la desactualización de las cláusulas utilizadas por las empresas.

¿Y qué puede pasar si las empresas no han adaptado sus textos legales? Pues que, atendidas las circunstancias de cada caso concreto, podría imponerse una sanción por infringir los principios básicos para el tratamiento de datos. Con el siguiente ejemplo, que extraigo de una resolución de la Agencia Española de Protección de Datos, se ilustra perfectamente dicha conclusión.

Una empresa, en sus documentos incluía clausulados que todavía mencionaban la ya derogada Ley 15/99, además de solicitar el consentimiento del afectado, en palabras de la Agencia, de forma obsoleta e inadecuada. Dicha empresa utilizaba la siguiente fórmula para recabar el consentimiento del afectado: “si no desea autorizar el envío de publicidad marque esta casilla”, en lugar de una marcación positiva en los siguientes términos “marque esta casilla si desea recibir publicidad”, ya que, según la Agencia, “la diferencia entre un texto y otro es importante puesto que se suele utilizar el primero porque crea confusión y la tendencia a no marcar la casilla”. Considera la Agencia que la empresa recababa el consentimiento mediante la inacción del afectado, cuando lo que se requiere en el Reglamento es una clara acción afirmativa, excluyendo, por tanto, el consentimiento tácito o por omisión. La sanción se impone por no cumplir los requisitos establecidos en el Reglamento General de Protección de Datos y la no adaptación de los textos que constan en los documentos de recepción de datos, observando una actuación negligente por parte de la empresa.


Francamente, entiendo la postura de la Agencia Española de Protección de Datos ante dichas situaciones, aunque no comparto lo elevado de las sanciones impuestas.
Concluyendo, es de suma importancia la revisión diligente y responsable de todos los procedimientos que afecten al tratamiento de datos personales ante los cambios normativos ya comentados.

Autora: S. Torres

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PROTECCIÓN DE DATOS CÓRDOBA - GRUPO LEGITEC moderará sus comentarios. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico cordoba@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.