La vida con RGPD empieza el 25 de mayo entra en vigor la RGPD, y nos enfrentamos a la cita con varias dudas. 

Tengo 1000 contactos de email en mi empresa, ¿necesito 1000 consentimientos?

Si tu objetivo es emplear los correos para enviar promociones o comunicaciones (Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y del Comercio Electrónico, ver artículos 21 y 22) nos indica que no será necesario el consentimiento previo de los destinatarios cuando exista una relación contractual previa. Siempre que hubiéramos obtenido de forma lícita los datos del destinatario y los empleemos para enviar de comunicaciones comerciales referentes a productos o servicios de nuestra empresa, y que sean similares a los que inicialmente se contrataron por el cliente.

 

Hay cuestiones como:

¿El email es un dato personal?, deberíamos saber si a través de la dirección de correo electrónico identificamos al titular.

En sí, una dirección de correo electrónico, e-mail profesional, de empresa o corporativo es un dato de carácter personal si muestra datos relacionados con el titular de la cuenta. Sin embargo, cuando la dirección de correo electrónico no muestra datos relacionados con la persona titular (administracion@terabyte2003.com, marketing@terabyte2003.com), resulta difícil identificar al usuario, con respecto al envío de SMS al móvil hay sentencia (MyAlert del 17/09/2008 en).

Una dirección de correo (DNI, IP, número de teléfono, matrícula…) vinculado a un nombre y apellidos es un dato personal pues ofrece información e identifica a una persona.

Si el dato que tengo es personal, he de atender a los derechos de las personas físicas en lo referente a RGPD. No es de aplicación desde el 25/05/2018 la exclusión que hasta ahora refería la normativa actual (artículo 2.2 ni 2.3 del RD 1720/2007 de 21 de diciembre):

 

Si el fin del empleo del correo electrónico no es el mismo que en el primer párrafo, la RGPD no implica la obligación de recoger un nuevo consentimiento si el que se hubiera obtenido antes de su aplicación (25/05/18) fuese conforme a los requisitos (Considerando 171 del RGPD).

Son válidos los consentimientos expresos y consistentes en una manifestación o clara acción afirmativa. Así que, solo si el tratamiento está basado en el consentimiento tácito entonces ha de recabarse una base legal que regule el tratamiento, mediante una nueva solicitud de consentimiento, mediante otra base legal, en particular, la ponderación del derecho y el interés legítimo del responsable.

En definitiva, el interés legítimo es una base legal que hace lícito del tratamiento si el tratamiento es necesario para los fines del interés legítimo perseguido por el responsable del tratamiento o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o derechos y libertades fundamentales del sujeto de los datos que requiere protección de datos personales, en particular, cuando el sujeto de datos es un niño.

 

Por interés legítimo ha de entenderse, según GT29, cualquier tipo de interés legítimo, real y presente que corresponda con las actividades o beneficios que se esperan en un futuro próximo. En cuanto a si el tratamiento puede fundamentarse en el interés legítimo, habrá de atenderse a las circunstancias de cada tratamiento concreto (origen de datos, alcance de la información tratada y la finalidad perseguida), no es posible dar una respuesta concreta.

La RGPD ofrece algunos ejemplos de tratamientos que pueden fundamentarse en el interés legítimo como la prevención del fraude, marketing directo, transmisión de datos personales dentro de un grupo de empresas para fines administrativos internos, incluido el procesamiento de datos personales de clientes o empleados, garantizando la seguridad de la red y de la información, incluida la prevención de acceso no autorizado a redes de comunicaciones electrónicas y distribución de códigos maliciosos y detección de ataques de «denegación de servicio» y daños a sistemas informáticos y de comunicación electrónica.

Si el fin del tratamiento es la mercadotecnia directa, el tratamiento puede considerarse realizado según al interés legítimo, aunque debe ponderarse ese interés con la posible intrusión en el derecho fundamental de los interesados.

 

Si tienes alguna consuta sobre este tema contacta con Terabyte.