Pasos a seguir para una correcta cesión de datos a terceros
Los nuevos requerimientos del Reglamento Europeo de Protección de Datos siguen generando dudas a las organizaciones incluso un año después de que esta normativa se convirtiese en obligatoria el 25 de mayo de 2018.
Uno de los asuntos que más preocupa a las empresas, sobre todo a las de publicidad, es la cesión de datos a terceros, ya que con GDPR sufre algunos cambios importantes que, de ser incumplidos, pueden resultar en infracciones graves y por tanto en sanciones económicas.
Ahora bien, ¿qué es una cesión de datos a terceros y qué no lo es? La nueva normativa europea explica que habrá cesión de datos si el tercero puede aplicarlos a sus propias finalidades, pudiendo decidir sobre el motivo y la finalidad del tratamiento de los mismos.
Para más aclaración, pongamos el ejemplo de una agencia de publicidad y veamos tres supuestos:
Caso A: La empresa comunica los datos de sus empleados a una asesoría para la gestión de las nóminas
En este supuesto no existe cesión, pues el tercero (asesoría) simplemente accede a los datos para la prestación de un servicio. En este ejemplo, la agencia de publicidad es la responsable de los datos y la asesoría el encargado.
Sin embargo, debido al acceso a datos sensibles, la asesoría debería firmar un contrato en el que se indique que únicamente se van a utilizar los datos para los fines indicados (gestión de nóminas) y en el que se acuerden las medidas que se van a cumplir durante su tratamiento.
Además, el tercero deberá destruir debidamente los datos personales o devolverlos sin copia alguna después de la prestación del servicio.
Caso B: La agencia de publicidad contrata un servicio externo -mantenimiento, seguridad, limpieza- que va a realizarse en sus instalaciones, donde se almacenan ficheros de datos personales
En este caso no existe cesión a terceros, pues el servicio externo no implica el tratamiento de datos personales. Sin embargo, para prevenir fugas de información, GDPR exige un contrato que prohíba al tercero acceder a los ficheros y se establezca una obligación de secreto respecto a los datos personales que pueda haber en las instalaciones.
Caso C: La empresa cede sus datos a otra agencia de publicidad para que a su vez anuncie sus productos
En este supuesto sí estamos ante una cesión de datos personales de clientes, pues el tercero (la otra agencia) tendría poder de decisión sobre los mismos y podría lucrarse con ellos.
Esto será así aunque estemos ante una empresa filial o del mismo grupo, pues a efectos legales se trataría de organizaciones independientes.
En este caso, para cumplir con GDPR o solo habría que realizar un contrato con el cesionario (el tercero) sino también seguir una serie de pasos para obtener un consentimiento válido ante la nueva normativa europea de protección de datos. Ya que este tipo de consentimiento dista mucho del que se utilizaba antes de la implantación con la antigua LOPD.
Pasos a seguir para una correcta cesión de datos a terceros
Lo primero que debe saber una empresa que pretende realizar una cesión de datos es que solo podrá hacerlo cuando la motivación tenga que ver con la actividad legítima de la organización, o de la persona o empresa a la que se cedan los datos, siempre utilizando un contrato entre ambos (cedente y cesionario).
Sabiendo esto, antes de realizar la cesión será necesario tener también por escrito el consentimiento del interesado, tanto para la recogida de sus datos personales como para su tratamiento y cesión. Éste es el paso más importante, pues realizar estas operaciones sin consentimiento previo es motivo de infracción grave.
Sin embargo, como decíamos, el consentimiento debe ofrecerse de forma diferente a la que se utilizaba en la LOPD. Ya no se puede recurrir a fórmulas como las casillas premarcadas o frases comodín como "He leído y acepto la política de privacidad". Además, según GDPR, el silencio y la inacción tampoco podrán entenderse como un consentimiento.
Así, para la obtención del consentimiento explícito deben explicarse de forma minuciosa y fácil de entender qué datos se van a recopilar y los detalles del tratamiento y la transferencia, así como también los riesgos que supone la cesión de los mismos. Hecho esto, los interesados deben manifestar afirmativamente y de forma clara que consienten todo lo informado. Para ello, ese consentimiento debe hacerse por bloques de tratamiento y no de forma global, de lo contrario no estaríamos hablando de un consentimiento explícito. En cuanto a la cesión de datos a terceros, será necesario identificar, además de a la propia empresa, a los terceros que recibirán los datos.
Una vez tenemos el consentimiento explícito para la recopilación, tratamiento y cesión de los datos personales de un interesado, deberá mantenerse un registro del mismo, ya que las autoridades podrán solicitar una demostración de dicho consentimiento, incluyendo qué dijo el usuario, cuándo lo dijo, y sobre todo qué fue lo que se le informó cuando estaba firmando dicho consentimiento.
Por otra parte, las empresas han de tener en cuenta de que GDPR entiende el consentimiento como un proceso revocable, en el que debe ser igual de fácil revocarlo que otorgarlo. Por lo tanto, las organizaciones han de tener en cuenta mecanismos simples y eficaces para realizar esta retirada del consentimiento.
Sin embargo, el trabajo no termina aquí, ya que la empresa que cede los datos a un tercero deberá comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato ni se comunican a otras personas. Ya que, a efectos legales, las empresas que ceden los datos a terceros siguen siendo las responsables de los mismos.
En conclusión, ante todo GDPR nos lleva a utilizar siempre el sentido común, no cediendo nunca datos personales para fines distintos en los que nos los comunican los interesados, y utilizando siempre los oportunos contratos y consentimientos informados.
Fuente: Asentify.