Necesito que alguien por favor me explique qué significa o como se hace para poder demostrar que los usuarios que hagan algo en la web han dado su consentimiento. Tengo una web muy normalita que me hizo un amigo hace años. Es tan simple y funciona tan bien que no hace falta reformarla ni mejorarla al día de hoy, pero después de meterme en poner el tema legal con lo de la nueva ley me encuentro con que además hay que demostrar que la gente que entra y, por ejemplo envía un formulario ha dado su consentimiento para ello. Lo que no entiendo es si el formulario lleva una casilla con el típico "Acepto política de privacidad" y el enlace a la zona de privacidad que no se puede dejar vacío porque si no no se puede enviar el formulario, ¿no vale con eso? Osea, si tú no has seleccionado que sí, que aceptas la política de privacidad, entonces no has podido enviar el formulario, es decir, que si se ha enviado el formulario es porque se ha aceptado. ¿Qué más pruebas hacen falta?
Efectivamente, la prueba del consentimiento del interesado pesa sobre el responsable del tratamiento, como principio que alumbra la nueva normativa de protección de datos en una mejor y más segura defensa de los derechos que regulan.
Establecido de forma expresa en el considerando 42 del RGPD:
"Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento (...)".
Prueba que no admite presunciones ni suposiciones basadas igualmente en supuestos procedimientos o estados de la técnica propia del responsable o encargado del tratamiento, como es el caso que describes.
Primeramente, el estado presente del formulario de registro, inscripción, contacto o cualquiera otro en tu sitio web no demuestra que haya sido tal en todo momento desde el comienzo de la operación del mismo, o al menos desde la entrada en vigor de la nueva normativa. Podrías manipularlo cuando más te convenga para dar esa apariencia.
Los que conocemos la programación y funcionamiento de las páginas web, sabemos lo sencillo que es instalar un checkbox autoseleccionable mediante javascript para agilizar el proceso y evitar posibles pérdidas de usuarios. Rervertible en cualquier momento colocándole el atributo "required" a fin de "demostrar" que se exigía la aceptación.
En cualquier caso, la mecánica del procedimiento que describes no permite demostrar nada, con independencia de cuándo ni cómo comenzó a funcionar en la forma en que lo hace.
Se pide una prueba fehaciente y tangible, y no suposiciones. Un registro con indicación precisa de que la persona seleccionó la casilla de aceptación en el momento de enviar los datos personales sujetos a tratamiento.
Oye, que yo no me dedico a manipular nada. Lo que estoy diciendo es que yo exijo que se seleccione la aceptación y que sin eso no se puede enviar el formulario. Con eso creía que era suficiente.
No hay más que requisitos hoy en día para ganar un sueldo. Que yo tengo una web para anunciar gestionar la actividad de albañilería y reformas de mi marido, no para hacer negocio. Que no soy IKEA.
La importancia de tu actividad es irrelevante. Para el caso de sitios web de gran porte o implicados en el tratamiento de gran cantidad de usuarios existen otros requisitos aún más complejos.
De lo que se trata es de hacer efectiva la responsabilidad proactiva y demostración de diligencia por parte del responsable y/o encargado del tratamiento que, como te he dicho, son principios ampliamente desarrollados por la nueva normativa.
Lo que tienes que hacer es modificar los formularios para que recojan la aceptación de las condiciones de privacidad en el momento de su procesado junto con los demás datos añadidos por el usuario. La aceptación figurará después en la tabla de la base de datos o en el mensaje/ejecutable recibido dependiendo del método que utilices, y servirá para demostrar el cumplimiento de esta obligación.
Además del considerando 42 que te he indicado, el propio articulado del RGPD lo exige:
"Artículo 7
Condiciones para el consentimiento
1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales."
No importa si son formularios en la web de un albañil o en la de IKEA. No es la cuestión aquí.
Gracias majo. Te cuento. Es un formulario muy simple que envía un mensaje a la dirección de correo electrónico que quieras. Hice un curso de diseño web y algo de programación de aquellos del INEM para parados y monté una página primero y ahora la que tenemos. El formulario lo bajé de internet y lo puse a funcionar, y funciona perfectamente, sin ningún spam ni rollos de esos que se dicen por Internet. Es muy muy simple, que es lo que queremos, porque la web es estática sin bases de datos ni nada de eso que dices y carga en un segundo, luego el formulario es lo más fácil y sencillo que hay. En realidad son tres formularios: uno de contacto, otro para pedir presupuesto y otro tercero para pedir un servicio muy concreto que no vamos a contar aquí. Todos los tres son el mismo en realidad con distintos títulos, pero los mismos campos, iguales. Y luego el tema de aceptar la política de privacidad con el link a la página de privacidad, claro.
Si dices que es una web estática de la vieja escuela, supongo que los formularios funcionarán con CGI, y que el html será simple y llano, así que lo que puedes hacer es introducir este elemento:
Te he puesto la clase "privacidad" - que puedes cambiar - para que le des la forma que quieras.
De esta forma, el formulario llegará con el contenido del atributo "name", que te servirá para demostrar el usuario seleccionó la casilla.
Disculpa, parece que este foro tiene filtros que impiden introducir código, como es lógico.
Explicándolo, de lo que se trata es de añadir un atributo "name" al elemento input del formulario. No es esta su función, pero sirve en tu caso. De esta forma:
name = "He leído y acepto la política de privacidad de este sitio web antes de enviar este formulario"
Si son formularios cgi como dices. Ya he implementado el tema y efectivamdnte, recibo el formulario con la nota de que se ha aceptado el aviso de privacidad (y leido).
¿Con esto ya basta entonces?
Tengo miedo de que vaya a venir una denuncia y nos vayan a meter un paquete, que no hay más que noticias sobre eso en internet. La multa a estos y a los otros. No estamos para pagar ninguna multa.
Con eso es suficiente en el caso del tipo de formularios y la página web que indicas.
Y sí, muchos requisitos para poner en marcha cualquier cosa hoy en día, pero sobre una base lógica derivada de una experiencia de años en que se han visto y sufrido todo tipo de abusos en esta y otras materias circundantes.
Ahora se exige el cumplimiento de principios y estructuras producto de un desarrollo de veinte años en materia de protección de datos. Y se entiende que su aplicación efectiva solo es posible en la práctica por operadores debidamente cualificados. No sirve alegar desconocimiento o falta de medios frente a denuncias o inspecciones (en realidad en ningún otro sector jurídico).
El considerando 78 del RGPD lo describe claramente:
"La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. (...)"
Y el artículo 5-2 de este mismo Reglamento establece el principio de proactividad a la hora de demostrar que se cumplen los principios de tratamiento de protección de datos:
"2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)."
Todo ello con relación al responsable o al encargado del tratamiento de los datos, sin que quepan excusas ni alegaciones de dejación o falta de conocimiento.
Se trata de estar cualificado para cumplir y poder demostrar que se han tomado las medidas y que efectivamente se ha cumplido.
RGPD:
"Artículo 24
Responsabilidad del responsable del tratamiento
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario."
"Artículo 28
Encargado del tratamiento
3
h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, (...)".
Ya hemos discutido sobre este mismo tema en este y otros foros. Con este nuevo marco legal finaliza la época del tranquilo y cómodo copiado y pegado de páginas legales y de privacidad ajenas.