Hola a todos los enfermos de consentimiento,
Imagínese que está de compras por la ciudad y, de repente, encuentra el par de zapatos perfecto. Entra en la tienda dispuesto a gastarse el dinero. Pero la dependienta le dice que solo puede preguntarle su talla una vez que haya leído y aceptado la declaración de privacidad de datos (DSE).
¡¿QUÉ?! ¡¿EN SERIO, AHORA?! - ¡Claro que no!
Al entrar en la tienda, usted ha hecho una declaración de intenciones para el posible inicio de un negocio jurídico. En el tráfico jurídico, esto también se conoce como "comportamiento implícito".
Wikipedia escribe:
"La acción concluyente o implícita (del latín concludere "concluir", "sacar una conclusión") (también comportamiento concluyente, declaración tácita de voluntad o acción implícita) existe en los negocios jurídicos si alguien expresa su voluntad mediante un comportamiento no verbal y el destinatario honesto puede inferir de ello la intención de obligarse jurídicamente, de modo que un contrato puede celebrarse incluso sin una declaración expresa de voluntad."
Usted entra en la tienda para comprar zapatos, por lo que está dispuesto a iniciar una transacción y celebrar el correspondiente contrato. Y para asegurarse de que los zapatos le quedan bien, se da cuenta desde el principio de que su talla es un dato personal obligatorio. Es lógico, ¿verdad?
Entonces, ¿por qué hay formularios de contacto con casillas de verificación obligatorias en muchos sitios web? Sólo puede enviar la consulta si activa la casilla de verificación y confirma así que usted
- consiente el tratamiento de sus datos con el fin de responder a la consulta o
- ha leído el DSE y lo acepta o está de acuerdo con él.
¿Qué sentido tiene? Puede que los operadores de sitios web o las agencias se decanten por el consentimiento por ignorancia o por miedo a las advertencias. Puede que simplemente asuman que es la forma más fácil y segura.
Pero ten cuidado, puedes equivocarte bastante. Porque el consentimiento es algo delicado. Por un lado, debe estar documentado que el consentimiento se ha obtenido legalmente. Y por otro, los interesados tienen derecho a retirar su consentimiento en cualquier momento.
Por tanto, los procesos deben seguirse y documentarse y, en caso de cancelación, los datos deben eliminarse inmediatamente de acuerdo con el GDPR (sistemas activos, copias de seguridad, etc.). Así que lo que parece tan seductoramente sencillo tiene en realidad una serie de trampas y causa bastante esfuerzo.
¿Qué dice el GDPR?
El artículo 6 del RGPD establece toda una serie de "condiciones de autorización" bajo las cuales se permite el tratamiento de datos personales. Los artículos pertinentes para nuestro formulario de contacto son
Artículo 6, apartado 1, letra a): Consentimiento del interesado
Art. 6, apdo. 1, lit. b: cumplimiento de un contrato o aplicación de medidas precontractuales
Art. 6, apdo. 1, lit. f: Interés legítimo del responsable del tratamiento
Artículo 6, apartado 1, letra a): Consentimiento del interesado
Hay operaciones de tratamiento para las que debe obtenerse el consentimiento. Esto incluye, por ejemplo, el uso de determinadas herramientas de marketing o de seguimiento/análisis, etc. Según la autoridad supervisora de protección de datos de Baviera, "el consentimiento es necesario para los formularios de contacto si se tratan categorías especiales de datos personales de conformidad con el artículo 9, apartado 1, del GDPR. Este puede ser el caso, por ejemplo, si el formulario se utiliza para solicitar datos sanitarios para citas con un médico, si el formulario de contacto se utiliza para registrarse en una organización religiosa o partido político o si el usuario puede cargar archivos adjuntos que permitan extraer conclusiones sobre religión, origen étnico, orientación sexual, etc. [1]".
[1] Extracto del informe de actividades 2017/2018 de la LDA Baviera de marzo de 2019 -
Esto no se aplica en el caso de un formulario de contacto que no contenga datos especialmente sensibles. Por tanto, el uso de un formulario de contacto puede basarse en otros fundamentos jurídicos para la mayoría de las aplicaciones.
Art. 6, apdo. 1, lit. b: cumplimiento de un contrato o aplicación de medidas precontractuales
Art. 6, apdo. 1, lit. f: interés legítimo del responsable del tratamiento
La otra opción es basar el uso de un formulario de contacto en el interés legítimo del operador del sitio web. Es obvio que el operador del sitio web tiene un interés evidente y justificado en responder a una consulta que se le envíe.
El legislador sí estipula que debe llevarse a cabo una ponderación de intereses al tratar datos basados en este fundamento jurídico. Sin embargo, cuando se utiliza un formulario de contacto, es lógico suponer que los intereses de las partes implicadas coinciden: Una parte realiza una consulta y espera una respuesta, la otra desea responder a la consulta.
Cuidado con las mezclas con bases contractuales
Así que seamos claros: una "casilla de verificación obligatoria" es innecesaria para la mayoría de los formularios de contacto. Con el DSE, nos limitamos a cumplir con nuestro deber de facilitar información de conformidad con el GDPR. Ningún interesado o cliente está obligado a leer realmente la información y, desde luego, tampoco a dar su conformidad o aceptarla.
Sin embargo, hay otra razón -no relacionada con la protección de datos- para no utilizar estas casillas:
La definición de un campo obligatorio para reconocer y aceptar el DSE puede dar la impresión de que el DSE es parte integrante del contrato, similar a las CGC. Pero NO lo es.
En diciembre de 2018, el Tribunal de Apelación de Berlín conoció el caso de una tienda en línea que exigía el consentimiento del cliente al "acuerdo de protección de datos" del proveedor a través de una casilla de verificación durante el proceso de pedido. El Tribunal de Apelación dictaminó (referencia del caso 23 U 196/13) que gran parte de las disposiciones de protección de datos infringían la ley sobre condiciones generales de contratación porque eran incompatibles con las ideas fundamentales del GDPR.
El Tribunal de Apelación dictaminó que la distinción entre condiciones contractuales generalmente vinculantes e información no vinculante debe basarse en la comprensión del "cliente medio sin formación jurídica previa". Debido a la redacción de los términos y condiciones del proveedor y del "acuerdo de protección de datos" que deben aceptarse por separado, el cliente medio consideraría que los términos y condiciones del proveedor y la obligación de consentimiento son "términos y condiciones contractuales" que tendría que aceptar si quisiera hacer un pedido. Por tanto, el tribunal sometió todo el texto a una revisión de las CGC.
Por lo tanto, es aconsejable mantener una clara distinción entre los componentes puramente informativos y los contractuales para evitar encuentros desagradables con abogados y tribunales.
Conclusión
Lo importante es:
- El cifrado HTTPS, según el estado actual de la técnica, es un requisito imprescindible para utilizar un formulario de contacto.
- Para minimizar los datos, sólo los campos realmente relevantes deben definirse como campos obligatorios en el formulario de contacto. Cuáles son éstos debe considerarse caso por caso. Para un minorista en línea de frigoríficos, por ejemplo, la edad del solicitante no es un dato relevante. Para una tienda de cigarrillos electrónicos, sin embargo, puede serlo. Según el lema "tanto como sea necesario, tan poco como sea posible" sólo deben definirse como campos obligatorios aquellas entradas que sean realmente necesarias para responder a la consulta.
- También debería colocar un enlace al DSE en el formulario de contacto para que los interesados puedan acceder fácilmente a la información deseada. Algo así "Puede encontrar más información sobre el tratamiento de datos personales en nuestra política de privacidad"
- En el propio DSE, debe añadirse al formulario de contacto la nota correspondiente, que informa sobre qué datos se tratan y con qué fin, quién los trata, con arreglo a qué fundamento jurídico y durante cuánto tiempo se almacenan.
Más enlaces e información
Encontrará más información y ayuda en Art. 6, apartado 1, GDPR y en el Considerando 47 del GDPR. Mientras tanto, también existen publicaciones bastante comprensibles y prácticas en la literatura especializada. La Oficina Estatal de Supervisión de Protección de Datos de Baviera hace referencia a una publicación en un comunicado de prensa en https://www.lda.bayern.de/media/pm2018_15.pdf. En la página del gurú de la protección de datos se puede encontrar un (todavía vigente) bastante entretenido Podcast. O simplemente puede preguntar a su experto de confianza en protección de datos.
Información jurídica
He recopilado la información de este ensayo según mi leal saber y entender y he incluido mi criterio. Aunque he hecho todo lo posible para que toda la información esté actualizada, no garantizo que sea completa ni exacta.
El contenido tiene carácter meramente informativo y no es vinculante. No constituye expresamente asesoramiento jurídico en el sentido de la Ley alemana de Asesoramiento Jurídico (RBerG) y, por tanto, no sustituye al asesoramiento de un abogado. No asumo ninguna responsabilidad por errores u omisiones y no seré responsable de ningún daño contractual, extracontractual o de otro tipo derivado del uso o la confianza depositada en esta información o de cualquier acción o decisión tomada como resultado del uso de esta información.
