RGPD/GDPR is coming

El Reglamento Europeo de Protección de Datos, abreviado como RGPD (o GDPR como acostumbrará a ver entre los anglófilos amigos de la pérfida Albión), se acerca y estén por seguros que no va a tardar tanto en llegar como el temido Rey de la noche de Juego de Tronos. Entre otras cosas, el 25 de mayo de 2018 tendremos que manejar ya, por ejemplo, cláusulas informativas basadas en la técnica de dos capas, conocida y denostada por el fracaso palpable de los avisos sobre el uso de cookies. ¿Pero qué es esto de las dos capas? ¿De qué me estás hablando? Bueno pues la técnica de dos capas, tal y como especifica la AEPD en su guía para cumplir con el deber de información y que puedes consultar aquí, funciona básicamente de la siguiente manera que explico a continuación. Tienes, por ejemplo, un sitio web dónde recoges datos de carácter personal en un formulario. Pues debajo del (o junto al) formulario pones una información inicial y reducida sobre quién es el Responsable del tratamiento (que no fichero), cuál es la finalidad del tratamiento, cuál es la legitimación que permite el tratamiento, cuales son los destinatarios de la información si es que los hay, así como los derechos que asisten al titular de los datos y, en su caso, cuál es la procedencia de los datos si es que no se recogen directamente del titular. Lo bueno es que si tenemos poco espacio nos dejan resumir la cláusula básica a algo de este estilo “antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, al pié, etc…)”. Bueno, pues al final de esa primera información invitamos al titular a que amplíe información en una segunda capa, que en esta guía se da por llamar “información adicional” y ahí ya le contamos de forma más extensa lo que hacemos con los datos: si se transfiere a terceros países fuera de la UE, si hay Delegado de Protección de Datos, las categorías de datos que se tratan, etc. Además, en el caso de los soportes en papel podemos invitar a esa segunda capa en la web si es que también tenemos poco espacio, o podemos poner un cartel en una zona visible. Vamos, que hay un montón de posibilidades para dar información, que al fin y al cabo es lo que interesa; Que sepamos qué se está cociendo con nuestros datos en los burladeros de Petyr Baelish y si se comparten con algún cuervo que los envía más allá del muro a no se sabe quién y con qué finalidad. Y claro, esto para ese tratamiento de recogida de datos en un formulario para la finalidad x, ¿pero y si tengo tres formularios con tres finalidades de recogida y tratamiento distintos? Ah, pues igual tienes que hacer esto tres veces o igual preparar una cláusula informativa adicional más amplia, con lo que tal vez (en cualquiera de los dos casos) nos alejamos de una cláusula informativa de sencilla comprensión y de todo menos clara y concisa de cara al interesado. ¿Pero si la Agencia no se lo ha planteado quién soy yo para hacerlo? Vaya por delante que a mí me gusta que haya que facilitar información clara y concisa, ¿pero seguro que siempre y en todo caso es preciso la técnica de dos capas? ¿No es posible que haya casos dónde se pudiese ofrecer toda la información posible en un único e inicial momento? Pero es que además para tratar los datos de forma legítima me piden consentimiento del titular mediante una declaración o una clara acción afirmativa (véase la opción resumida de la cláusula básica de antes, porque estaremos de acuerdo en que firmando nos encontramos al menos ante una acción afirmativa ¿o no?). Qué complicado es todo esto… creo que podría tirar por la vía del interés legítimo para justificar el tratamiento…, UPS, mejor no, creo que vuelvo al consentimiento como base de mi tratamiento. Estamos en una web, total ya tengo un formulario, ¿qué me cuesta poner un check box (sin pre-marcar, claro) solicitando aceptación del tratamiento de los datos con la finalidad indicada? Pues la verdad poco, pero OJO, si son diferentes finalidades, solicite el consentimiento oportuno para cada una de ellas.  ¿Y si es un formulario en papel? Pues me temo que algo habrá que hacer, pero si eso ya lo vemos otro día.