Obtenir el consentiment de l’usuari en sol·licitar dades personals
Aquest consentiment exprés pot traslladar-se a un formulari web a través de la implementació d’unes caselles de verificació que estiguin desmarcades per defecte, això és vital, per a poder demostrar aquesta voluntat per part de la persona per tractar les seves dades personals.
Les caselles de pre-marca, el silenci i la inacció de l’interessat no constitueixen un tractament lícit de dades, de manera que aquestes fórmules no s’han d’utilitzar.
Hem parlat en l’apartat anterior de fins específics, és a dir, quan algú proporciona les seves dades cal de detallar de manera clara, inequívoca i transparent quines seran les condicions de tractament de les dades.
Al ser un consentiment exprés lligat a una finalitat específica cal demostrar que s’ha recollit seguint aquests preceptes i la càrrega probatòria recau sobre l’organització que rep i tracta aquestes dades.
Un exemple de com poder demostrar que ens han autoritzat es que cada alta generi un e-mail de resposta automàtica amb les dades de la persona sol·licitat, la seva IP, accepto, data, hora exacta i navegador que va utilitzar. Aquest e-mail s’ha de guardar com a justificant en cas de conflicte amb l’usuari.
Primera capa d’informació bàsica
Amb els requisits i principis introduïts pel RGPD respecte a l’obligació d’informar, la simple remissió a la política de privacitat des dels formularis web ja no és suficient per a complir amb aquestes obligacions.
Les Autoritats de Protecció de Dades de la Unió Europea, recomanen utilitzar un model d’informació per capes, presentant una primera capa, amb una informació bàsica sobre protecció de dades i remetre des d’aquesta, més senzilla i immediata, a una segona capa amb la informació restant.
En la Guia per al Compliment del Deure d’Informar, de l’AEPD estableix que aquesta primera capa informativa ha de reunir els següents requisits:
– La informació s’ha de posar a la disposició dels interessats en el moment en què se sol·licitin les dades, prèviament a la recollida o registre.
– Aquesta obligació s’ha de complir sense necessitat de cap requeriment, i el responsable haurà de poder acreditar amb posterioritat que l’obligació d’informar ha estat satisfeta.
– Ha d’estar clarament identificada amb un títol tal com “Informació bàsica sobre protecció de dades”.
– El responsable del tractament ha de garantir que aquesta informació quedi “dins del camp de visió” de l’interessat.
– Els interessats han de rebre una còpia on s’inclogui aquesta informació bàsica.
La LOPDGDD en el seu article 72 tipifica com a INFRACCIÓ MOLT GREU l’omissió del deure d’informar l’afectat sobre el tractament de les seves dades personals conforme al que es disposa en els articles 13 i 14 del Reglament (UE) 2016/679 (RGPD).