Per què estic rebent una allau de peticions de consentiment aquests mesos?

Miniatura

Una de les sis vies que té en compte el GDPR perquè un tractament de dades sigui lícit és la via del consentiment exprés. Moltes empreses tenen les nostres dades sense que en siguem clients, perquè les hi vam donar en algun moment per a una acció concreta (p. ex: targetes de fidelització als supermercats, newsletters gratuïtes a què estem subscrits, etc.).

Com que no són clients i no hi ha un contracte legal que justifiqui el tractament d'aquestes dades (tractar és el mer fet de conservar les teves dades encara que no facis res amb elles!), ni segurament una obligació legal (hi ha molts sectors que estan molt pocs regulats, no com la banca o les asseguradores) recorrem a la via de l'interès legítim o del consentiment exprés.

L'interès legítim ja es recollia a la Directiva anterior de la Unió Europea del 1999, però no es va desenvolupar gaire a la LOPD, perquè costa més demostrar-lo i cal fer un judici de ponderació dels drets i interessos de tots dos, avaluar riscos, etc. finalment, queda el consentiment com la via més ràpida per demostrar que el tractament és lícit, però cal anar amb compte amb el consentiment, perquè ha de ser vàlid i pot ser que te'l donin un dia i te'l retirin un altre, no és vitalici.

El títol III de la Llei 34/2002 de Serveis de la Societat de la Informació (LSSI) és la responsable que se sol·licitin els consentiments, excepte en cas que hi hagi una altra base legal. És a dir, el GDPR no ha inventat res en aquest sentit. El problema és que la LOPD deia que n'hi havia prou amb el consentiment tàcit (inacció o caselles premarcades) i ara ja no val, perquè el GDPR diu que el consentiment ha de ser exprés tant sí com no. La LOPD segueix vigent, però si hi ha punts incompatibles, el que mana és el GDPR.