Ejemplos de Consentimiento del RGPD
Recientemente se ha producido mucha actividad relativa a la obtención del consentimiento. Los sitios web han presentado «banners de cookies». Las empresas han enviado mensajes de correo electrónico preguntando si los usuarios siguen queriendo estar suscritos a sus listas de correo. Y la lista sigue.
Todo esto se debe al Reglamento General de Protección de Datos de la UE (RGPD), una ley de privacidad que establece un estándar para el consentimiento más estricto que aquel al que estaban acostumbradas muchas empresas. En virtud del RGPD, consentimiento significa verdadero consentimiento. Algunos métodos que anteriormente se empleaban para obtener el consentimiento han dejado de ser válidos.
Veamos qué puede hacer su empresa para asegurarse de estar obteniendo el consentimiento de la forma correcta, y para los fines adecuados.
- 1. ¿Qué es el RGPD?
- 1.1. ¿Quién debe cumplir el RGPD?
- 1.2. ¿Qué incluye el RGPD?
- 2. Cómo ha cambiado el consentimiento con el RGPD
- 2.1. Consentimiento implícito
- 2.2. Consentimiento expreso
- 2.3. Los cinco elementos del consentimiento según el RGPD
- 2.4. ¿Cuándo se necesita consentimiento?
- 3. Cómo obtener el consentimiento según el RGPD
- 3.1. Consentimiento para las cookies
- 3.2. Consentimiento para enviar material de marketing
- 3.3. Consentimiento del marketing de terceros
- 3.4. El sexto elemento del consentimiento -Facilidad de retirada
- 3.5. Consentimiento para aplicaciones para móviles
- 4. Resumen - Obtener el consentimiento según el RGPD
¿Qué es el RGPD?
El RGPD es casi con total seguridad la ley de privacidad más estricta del mundo. Pero la legislación exigente en materia de privacidad y protección de datos no algo nuevo en la UE. La Directiva de Protección de Datos, una ley de privacidad más antigua a la que sustituye el RGPD, y la Directiva de Privacidad electrónica, conocida en ocasiones como la «ley de cookies» ya ofrecían a los ciudadanos de la UE un elevado nivel de protección de su privacidad.
El RGPD ha tenido un impacto especialmente significativo, en parte debido a que se aplica también a empresas de fuera de la UE.
¿Quién debe cumplir el RGPD?
El RGPD se aplica a su empresa tanto si está establecida en la UE como si no siempre que:
- Ofrezca bienes y servicios a residentes en la UE. Esto no depende de si lo hace con ánimo de lucro o no.
- Hace un seguimiento del comportamiento de las personas en la UE. Esto puede incluir el «perfil», es decir, tratar de predecir cómo podrían actuar basándose en su comportamiento en el pasado. Es algo muy habitual, dado que es lo que hacen muchas cookies de publicidad.
¿Qué incluye el RGPD?
Siempre que su empresa trate datos personales, deberá cumplir el RGPD. El tratamiento de datos personales es algo que las empresas hacen todos los días.
Los «datos personales» consisten en información que puede emplearse para identificar a una persona. Si se está preguntando si un dato podría considerarse datos personales, probablemente lo sea.
Las direcciones de IP dinámicas, por ejemplo, se consideran datos personales por el más alto tribunal de la UE. Esto se debe a que una dirección de IP dinámica puede teóricamente combinarse con otra información para identificar a una persona. Algunas cookies también cumplen este criterio.
El «tratamiento» de datos personales consiste en hacer algo con ellos. De nuevo, si se pregunta si una actividad constituye tratamiento, es probable que lo sea.
Aparte de las cosas más evidentes como los datos de pago o la compilación de una lista de correo, una acción como almacenar la dirección IP de alguien en los archivos de registro de su servidor web también podría constituir «tratamiento de datos personales».
Cómo ha cambiado el consentimiento con el RGPD
Existen dos tipos de consentimiento en la mayoría de las leyes de privacidad: el implícito y el expreso.
Pueden tener otro nombre. Por ejemplo, en la Ley de Spam de Australia de 2003, la ley de correo electrónico comercial, el consentimiento implícito se denomina «consentimiento inferido». Y, en EE. UU., la ley de privacidad CAN-SPAM lo denomina «consentimiento afirmativo».
Aunque la mayoría de las leyes de privacidad reconocen ambos tipos de consentimiento, el consentimiento implícito no existe en el RGPD. Con el RGPD resulta mucho más difícil demostrar que tiene el consentimiento de un cliente que con otras leyes de privacidad.
Consentimiento implícito
Básicamente, el «consentimiento implícito» significa que tiene motivos para creer que una persona le daría su consentimiento si se lo pidiera.
El consentimiento implícito puede existir en una relación entre un cliente y una empresa. Si alguien compra habitualmente productos a una empresa, esa empresa podría creer razonablemente que el cliente ha consentido recibir mensajes de marketing por correo electrónico. La empresa casi siempre tendrá que ofrecer al cliente la posibilidad de «rechazar» esas comunicaciones a través de un sistema para darse de baja.
Por ejemplo, en la Ley anti spam de Canadá (CASL), una ley de privacidad canadiense, el consentimiento implícito existe automáticamente en determinadas condiciones. El Gobierno de Canadá lo explica en su sitio web:
Consentimiento expreso
El consentimiento expreso es lo que significa «consentimiento» en el RGPD. Le pide a alguien su consentimiento, esa persona entiende la pregunta y sus implicaciones, y toma una decisión auténtica.
La Ley de Mensajes Electrónicos No Solicitados de Nueva Zelanda de 2007, una ley contra el spam, reconoce ambos consentimientos. Así es como el Departamento de Asuntos Internos de Nueva Zelanda describe el consentimiento expreso para enviar mensajes de correo electrónico comerciales:
Los cinco elementos del consentimiento según el RGPD
El artículo 4 del RGPD define el consentimiento como «toda manifestación de voluntad libre, específica, informada e inequívoca ... mediante una clara acción afirmativa» en virtud de la cual una persona da permiso para que sus datos personales se traten de determinada forma.
Puede dividirse en cinco elementos:
- Libre - la persona no debe haber sido presionada para dar su consentimiento ni sufrir ningún perjuicio si lo rechaza.
- Específico - se le debe pedir a la persona que consienta tipos individuales de tratamiento de los datos.
- Informado - se debe informar a la persona a qué está consintiendo.
- Inequívoco - el lenguaje debe ser claro y sencillo.
- Clara acción afirmativa - la persona debe consentir expresamente haciendo o diciendo algo.
Si falta alguno de estos cinco elementos, no tendrá el consentimiento según el RGPD.
¿Cuándo se necesita consentimiento?
Uno de los mitos que circula en torno al RGPD es que el consentimiento es necesario para cualquier tipo de tratamiento de datos. No es cierto.
El RGPD es solo una de las seis bases legítimas para el tratamiento de datos personales que establece el RGPD. Han sido resumidas por la Oficina del Comisionado de Información (la autoridad de protección de datos del Reino Unido):
En general, no debería pedir consentimiento si:
- Ejecuta un servicio básico (puede sustituirse por contrato).
- Necesita tratar datos personales con arreglo a la ley (obligación legal).
- Trata datos personales en beneficio de su empresa u otras personas de una manera razonablemente previsible para los usuarios, con un riesgo e impacto mínimo en las personas (intereses legítimos).
Debería pedir el consentimiento si ofrece una alternativa genuina relativa a un servicio no esencial. Los ejemplos habituales incluyen:
- Uso de cookies de seguimiento/publicidad
- Envío de mensajes de correo electrónico de marketing o boletines informativos
- Cesión de datos personales a otras empresas con fines comerciales
Cómo obtener el consentimiento según el RGPD
Debe implementar los cinco elementos del consentimiento cada vez que solicite el consentimiento de sus usuarios.
Consentimiento para las cookies
Los banners de cookies han proliferado desde la entrada en vigor del RGPD. Muchos de ellos serían perfectos en un sistema que aceptara el consentimiento «implícito» pero, recuerde, el RGPD solo reconoce el consentimiento expreso.
Existen banners de cookies que prácticamente piden el consentimiento pero se quedan cortos; este es un ejemplo del Southbank Centre:
En este ejemplo ni siquiera se solicita el consentimiento y las cookies se instalan por defecto. Se remite a información adicional, donde se explica cómo rechazar las cookies.
Pero debe recordar los cinco elementos. El consentimiento no se da libremente con este sistema. No resulta inequívoco ni se realiza a través de una clara acción afirmativa.
Este es un ejemplo mucho mejor de un aviso de cookies del Banco Central Europeo:
Los cinco elementos sí que están presentes. El consentimiento es:
- Libre - se hace énfasis en la posibilidad de «aceptar» o «no aceptar».
- Informado - se explica al usuario el motivo del tratamiento y se le invita a obtener más información.
- Inequívoco - el lenguaje es claro y fácil de entender.
- Específico - solo se invita al usuario a consentir un tipo de tratamiento de los datos.
- Se obtiene a través de una clara acción afirmativa - el usuario debe hacer clic en «Entiendo y acepto».
Tenga en cuenta que no hace falta una casilla de verificación «Acepto» adicional. Un clic es suficiente para una solicitud de consentimiento.
Este es un caso muy simple, ya que el sitio web del Banco Central Europeo utiliza unas cookies muy básicas. Sigue un ejemplo de Experian para solicitar el consentimiento específico para distintos tipos de cookies:
Debe informar a sus usuarios del uso que hace de las cookies en su Política de privacidad (o de cookies). Así es como Makermet explica los distintos tipos de cookies que usa:
Recuerde que el consentimiento no se refiere solo a lo que dice, sino que también tiene que ver con lo que hace. No instale cookies de publicidad salvo que sus usuarios le hayan dado su consentimiento para ello.
Consentimiento para enviar material de marketing
El RGPD pone fin a la casilla preseleccionada, una táctica que durante años las empresas han usado para tratar de que los suscriptores se unieran a su lista de correo sin darse cuenta.
Parecería que existe una pequeña diferencia entre pedirle a alguien que marque una casilla y pedirle que elimine una marca. Sin embargo, «no eliminar la marca de una casilla de verificación» no cumple con ninguno de los cinco elementos del consentimiento según el RGPD. Por tanto, no puede utilizarse para demostrar que ha obtenido el consentimiento de una persona.
Puede implementar fácilmente los cinco elementos del consentimiento del RGPD si pide los usuarios que se suscriban a su lista de correo. Este es un ejemplo de Dynastar:
¿Cumple esta medida los cinco elementos?
- Libre - el usuario tiene una posibilidad evidente de dar o no su dirección de correo electrónico.
- Informado - el usuario ha indicado el motivo para el tratamiento; sin embargo, la palabra «marketing» está en la letra pequeña. Se invita al usuario a leer la Política de Privacidad de Dynastar.
- Inequívoco - el lenguaje es claro y fácil de entender.
- Específico - podría decirse más claramente que el boletín informativo es una forma de marketing, pero esto es solo un detalle.
- Se ha obtenido a través de una clara acción afirmativa - escribir su dirección de correo electrónico y hacer clic en «suscribirse al boletín informativo» es una clara acción afirmativa.
Este es un ejemplo bastante bueno de mecanismo de suscripción en una lista de correo.
A continuación encontrará otro ejemplo de Cooper Vision. Para empezar, se indica claramente a qué se está suscribiendo:
Luego se ofrecen al usuario distintas alternativas acerca de cómo recibir la información:
La solicitud de consentimiento de Cooper Vision cumple fácilmente las exigencias del RGPD.
A menudo el consentimiento para enviar material de marketing se obtiene cuando el usuario se da de alta en otro servicio o interactúa con su empresa de otra forma. Este es un ejemplo de Protect Your Gadget. En este momento, el usuario está a punto de darse de alta para recibir el presupuesto de un seguro:
Siempre que quede claro que se trata de una opción independiente y que la respuesta por defecto sea «no», resulta perfecto. El problema surge si un usuario se suscribe para recibir material de marketing sin darse cuenta de ello o sin hacerlo activamente.
A este respecto, es conveniente implementar una «doble aceptación» que solicite al usuario que confirme su suscripción a través de un mensaje de correo electrónico de validación. Este ejemplo corresponde a Textbroker:
Consentimiento del marketing de terceros
Existen otras dos formas en que sus usuarios pueden aceptar el marketing de otras empresas. Podría enviarles material de marketing de terceros directamente o ceder sus datos de contacto con otras empresas.
Ninguno de estos dos casos está prohibido por el RGPD. Pero, como en cualquier otro aspecto del tratamiento de datos, debe ser claro y transparente. Casi siempre tendrá que pedir el consentimiento para estos fines.
No debería integrar su solicitud de consentimiento para ceder los datos personales con otras solicitudes de consentimiento. Vamos a fijarnos ahora en esta solicitud de consentimiento de Escapio:
Se informa a los usuarios de que se están dando de alta para recibir «nuestros consejos y ofertas de Escapio». Pero al bajar por la página aparece más información:
El usuario recibirá información de marketing de terceros, recomendaciones de hoteles, concursos, mucho más que simples «consejos y ofertas» de Escapio. El consentimiento de todo esto se ha integrado en una sola solicitud. Parece que se queda corto con respecto al requisito de que el consentimiento sea «específico».
Este es un ejemplo de una solicitud de consentimiento no integrada de Steam Railway:
La dirección de correo electrónico del usuario se utilizará con tres fines distintos. Por tanto, es apropiado pedir el consentimiento de tres formas diferentes con tres casillas de verificación distintas.
Aquí vemos otro ejemplo de una solicitud de consentimiento no integrada de Alfa Romeo:
Este es un buen ejemplo de consentimiento libre, informado, específico, inequívoco y dado a través de una clara acción afirmativa.
El sexto elemento del consentimiento -Facilidad de retirada
El RGPD establece un sexto requisito: el consentimiento debe poder retirarse fácilmente.
Por supuesto, se debe incluir un sistema de baja en sus mensajes de marketing por correo electrónico. Así es como lo hace Hermes:
Las otras formas de retirar el consentimiento deben explicarse claramente en su Política de Privacidad. Así es como lo hace Bauer Publishing:
Las cookies suelen poder gestionarse a través de un «gestor de cookies». Este ejemplo corresponde a Onedox:
Tenga en cuenta que muchos de estos ajustes deberían estar «desactivados» por defecto.
Consentimiento para aplicaciones para móviles
Los principios para obtener el consentimiento relativo a las aplicaciones para móviles son los mismos que para cualquier otro soporte.
Aquí vemos un ejemplo de un formulario de solicitud de aplicaciones para móviles de Swiftkey:
Swiftkey pretende obtener el consentimiento cuando el usuario instala la aplicación. Instalar la aplicación es presumiblemente un acto inequívoco o una clara acción afirmativa que necesariamente indica el consentimiento.
Esto no es necesariamente un problema, si la aplicación no funcionara así, haría falta que Swiftkey solicitara el consentimiento. Pero si echamos un vistazo rápido a la Declaración de Privacidad de Swiftkey (operada por Microsoft) indica que lo ideal sería solicitar el consentimiento específico porque la información recogida se utiliza para orientar la publicidad.
Es habitual que las aplicaciones para móviles recopilen información como la ubicación para prestar servicios no esenciales. Debe conceder a los usuarios cierto control al respecto. Este es un buen ejemplo de consentimiento informado de Google:
Resumen - Obtener el consentimiento según el RGPD
Para que el consentimiento sea relevante con arreglo al RGPD, debe ser:
- Libre - no tratar de «engañar» a los usuarios para que den su consentimiento. No retirar ningún otro servicio si deciden no darlo.
- Específico - si desea utilizar el consentimiento de una persona para varios fines, deberá pedirle que consienta cada tipo de tratamiento.
- Informado - dé información clara acerca de lo que se está pidiendo al usuario que consienta y qué hacer si cambia de opinión.
- Inequívoco - utilice un lenguaje claro y sencillo y presente una opción directa.
- Darse a través de una clara acción afirmativa - no dé nunca por supuesto que tiene el consentimiento de nadie hasta que haya aceptado algo activamente.
Y, por último, cuando tenga el consentimiento, debería facilitar su retirada.