Consentimiento del cliente en el tratamiento de sus datos

¿Qué son los datos personales protegidos?
Se consideran como datos personales protegidos, la información relativa a personas físicas identificadas o que se puedan identificar.
Algunos datos tienen una protección especial por ejemplo los que se refieren a ideología, la afiliación a sindicatos o partidos políticos, la religión, la raza, enfermedades, hábitos sexuales, condenas penales, multas administrativas.
No tienen especial protección los datos de los empresarios (cuando se les nombre como tales y por su actividad), empresas o sociedades mercantiles y de las personas que les prestan servicios referidos a su nombre y apellidos, sus funciones o puesto y las dirección, teléfono, e-mail profesionales. Tampoco tienen especial protección los datos personales de las personas fallecidas (aunque los familiares pueden solicitar la cancelación de esos datos).
Por ejemplo, no tendría especial protección los datos de una tarjeta de visita de un abogado, un médico, o cualquier otro profesional o empresario, salvo que incluyera el NIF.
¿Qué es necesario para recoger datos personales y darles un tratamiento?
Para que puedas recoger datos personales de clientes, o de otras personas con las que te relacionas es necesario que cumplas lo siguiente:
los datos deben ser adecuados y correctos y que no deben exceder del ámbito y las finalidades para los que fueron recogidos (deben tener calidad)
los datos recogidos que vaya a incluir en un fichero informatizados, deben ser exactos y debes mantenerlos al día, de forma, que sean fiel reflejo de la situación actual del cliente (si tuvieras información de la inexactitud de algún fichero debes modificarlo o darle de baja lo antes posible)
debes según la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento europeo de Protección de datos de informar de una manera clara al afectado y solicitar su consentimiento que debe ser claro (inequívoco), en ocasiones explícito, en otras implícito, pero con una acción del cliente (como seguir navegando y aceptar las cookies).
La información hacia los clientes en lo referido a un posible tratamiento de sus datos, como las respuestas que se deben dar a sus solicitudes de ejercicio de sus derechos, deberá ser de clara, transparente, entendible y de fácil acceso.
Esta información podrás incluirla en los avisos legales y política de privacidad en tu página web corporativa.
¿Qué debes hacer antes de querer recoger datos de clientes?
Hasta el 28 de mayo de 2018 como empresario o empresa y por lo tanto, responsable del tratamiento de los ficheros de los datos de tus clientes tenías previamente que:
realizar una comunicación a la Agencia Española de Protección de Datos, por vía electrónica, de que vas a crear y de que existe un fichero
inscribir el fichero en el Registro General de Protección de Datos
también debes comunicar los cambios que realices en los ficheros o si los eliminas
debes crear procedimientos que permitan a los clientes ejercer sus derechos de manera electrónica y éstos deben ser, con carácter general, gratuitos.
Con el nuevo RGPD y el art 31 de la LOPDGDD deberás llevar un registro del tratamiento en el que debe incluirse:
el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos
los fines del tratamiento
una descripción de las categorías de interesados y de las categorías de datos personales
las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional
cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos
cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad
¿En qué consiste el deber de informar al cliente?
Para poder recoger los datos personales de una persona y después tratarlos, es necesario informar claramente de:
la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de los mismos y de quien será el destinatario de esa información
si es obligatorio o no responder a determinadas preguntas del formulario de captación de datos y de las consecuencias de la obtención de los datos o de la negativa a darlos
posibilidad del cliente de poder ejercer los derechos de acceso, rectificación, cancelación, oposición, olvido, limitación en el tratamiento y portabilidad.
identificación y datos de dirección del responsable del tratamiento del fichero de datos personales o, en su caso, de su representante
Por ejemplo, en los cuestionarios u otros impresos donde se pidan los datos, las advertencias antes indicadas deben constar en ellos de forma clara y si se incluyen otros asuntos, la solicitud del consentimiento debe estar diferenciada.
¿En qué consiste el consentimiento del cliente?
Generalmente necesitarás el consentimiento de tu cliente para poder tratar sus datos personales. Este consentimiento debe ser:
libre: debe haber sido obtenido del interesado sin coacción ni amenazas
concreto: Debe darse el consentimiento para una determinada operación de tratamiento y finalidad específica con los datos personales (debe indicarse expresamente)
informado: el interesado debe conocer, con anterioridad al tratamiento, la existencia del fichero y el para qué se le piden los datos
sin duda alguna (inequívoco): el Reglamento europeo de Protección de Datos (RGPD) establece que el consentimiento debe ser expreso e inequívoco. A partir de mayo de 2018 no es posible un consentimiento tácito, pero puede ser implícito, por ejemplo cuando un usuario o cliente navega en nuestra página web y acepta el uso de las cookies. En definitiva debe producirse de alguna manera con una acción del cliente o usuario.
Deberás ser capaz de probar o demostrar que el cliente o usuario ha consentido en el tratamiento de sus datos personales.
El consentimiento del menor al tratar sus datos personales será válido cuando sea mayor de 13 años. Para edades inferiores, o cuando el tipo de operación lo requiera, será necesario el consentimiento de padres o tutores. El Reglamento General de Protección de datos fija esta edad en los 16 años, pero faculta a los Estados a fijar otra no inferior a 13 años.
No tendrás necesidad de pedir consentimiento a tu cliente, cuando:
el fichero de datos personales es tratado por una Administración Pública dentro del mantenimiento de una relación contractual (o precontractual), laboral o administrativa
la finalidad sea proteger el interés del cliente porque éste no pueda dar el consentimiento ya que se encuentra física o jurídicamente incapacitado para dar su consentimiento (p.e. acceder a la base de datos de enfermos para hacer estudios epidemiológicos, o cuando se requiera el acceso a datos de salud para salvar la vida del paciente en una urgencia)
los datos que son accesibles al público para facilitar su publicidad o su conocimiento comercial
El cliente o persona que consintió en su momento a la recogida de sus datos, puede solicitar la revocación o fin, de una manera sencilla y gratuita. Además, el Reglamento europeo de Protección de datos (RGPD), exige que sea igual de fácil el consentimiento como la retirada del mismo. Por ejemplo, el envío con franqueo pagado o llamada a un número de teléfono gratuito o a los servicios de atención al público, etc.