Un empresario está preocupado por la viabilidad de su negocio. Explica que se dedica al diseño y desarrollo de páginas web de venta de viajes a través de internet, de acceso libre y gratuito en cualquier dispositivo móvil. Él es un mero intermediario que se lleva una pequeña comisión por cada operación y su principal fuente de ingresos procede de la cesión de los datos de los usuarios registrados en sus páginas web. «¿Es ilegal lo que hago? ¿Me pueden sancionar por ello?«.
El panorama ha cambiado radicalmente tras la entrada en vigor del nuevo Reglamento General de Protección de Datos europeo (RGPD), aplicable desde el pasado 25 de mayo. A ello se añade, por un lado, que el legislador español llega de nuevo tarde a la tarea de adaptar nuestro derecho interno al reglamento europeo y, por otro, que dada la novedad que representa el reglamento, todavía no existen resoluciones emitidas por la Agencia Española de Protección de Datos que interpreten sus preceptos legales.
Las empresas ceden a diario miles de millones de datos personales que, en apenas unos segundos, recorren el mundo obteniendo a cambio cuantiosos beneficios. Se estima que solo en la Unión Europa hay alrededor de 50 grandes empresas ‘data brokers’ (empresas de comercio de datos) y el precio por la cesión de los datos puede ser realmente elevado cuando se ceden datos personales de muchos usuarios, especialmente si se aporta información adicional que permite crear un perfil del usuario.
Tanya O‘Carroll, asesora de Tecnología y Derechos Humanos de Amnistía Internacional, expuso hace unos meses que “el comercio con datos privados es un negocio floreciente” y “el inmenso avance experimentado por el ‘big data’ en la última década ha permitido que los ‘data brokers’ lo sepan todo de ti”.
No obstante, la entrada en vigor del nuevo Reglamento General de Protección de Datos y las recientes sanciones a Facebook y WhatsApp alertan del fin de este tipo de prácticas.
En marzo de 2018, a las puertas de la entrada en vigor del nuevo RGPD, la Agencia Española de Protección de Datos sancionó a las redes sociales Facebook y WhatsApp a pagar 300.000 euros cada una, equivalentes a la sanción máxima que se podía entonces interponer por una infracción grave de la Ley Orgánica de Protección de Datos, al no ajustarse a la normativa española y europea en esta materia. En concreto, las sanciones se impusieron por un lado a WhatsApp, con motivo de la cesión de datos personales de sus usuarios a la red social Facebook sin haber obtenido un consentimiento válido de los mismos, y por otro a Facebook, por haber tratado esos datos para sus propios fines y sin disponer de un consentimiento válido a efectos de la LOPD.
Pese a que puede parecer una multa elevada, es indudable que el beneficio obtenido por dichas empresas como consecuencia de la infracción es muy superior al importe de la sanción. En todo caso, con el nuevo RGPD, las sanciones que se hubieran impuesto a estas redes sociales serían mucho más altas. En el RGPD, la falta de consentimiento para la cesión de datos está castigada con una infracción que va hasta los 20 millones de euros o un 4% del volumen de negocios de la empresa responsable.
En un contexto punitivo sin precedentes, si bien es posible que se cedan datos personales, hay que extremar al máximo las precauciones. En líneas generales, la cesión de datos personales será lícita cuando se informe a los usuarios de que sus datos van a ser cedidos a terceros y se obtenga su consentimiento libre, específico, informado e inequívoco para proceder a la cesión (art. 4.11 RGPD).
Con la nueva legislación, el silencio, la inacción o las casillas previamente seleccionadas no resultan ya medios válidos para recabar el consentimiento.
La cuestión es que muchas de las empresas que ceden datos no disponen de un interés legítimo que justifique la necesidad de la cesión, sino que lo realizan única y exclusivamente para fines comerciales. En estos casos, la única base que justificaría la cesión de datos sería el consentimiento otorgado por el usuario expresamente para este fin en los términos mencionados.
El RGPD ha afectado de manera significativa al gran negocio de compraventa de información, protegiendo la privacidad de los usuarios
Está claro que el RGPD ha afectado de manera significativa al gran negocio de compraventa de información, protegiendo la privacidad de los usuarios y resultando más difícil para las empresas tener bases de datos comerciales, a menos que cuenten con un consentimiento claro de los usuarios. El futuro dirá cómo se aplica el reglamento y si verdaderamente vamos a empezar a ver las cuantiosas sanciones que prevé.
*Javier Goizueta es abogado y socio director de Vaciero, firma española de referencia en asesoramiento legal a empresas. Desde 1993 hasta 2014 ha sido abogado en Cuatrecasas, director en el área legal de KPMG, y ‘general counsel’ de Gamesa en Latinoamérica. Ha dado clase de Derecho Civil y Mercantil en diversas universidades y másteres jurídicos.
FUENTE: ELCONFIDENCIAL.COM