Las denuncias sobre vulneración de la protección de datos han aumentado con la promulgación del RGPD. El fin del consentimiento tácito obliga a que las empresas pidan permiso para utilizar datos personales, así que el asesoramiento de una consultoría de protección de datos es fundamental. Aquí vamos a analizar el caso de Uber.
La AEPD señala una posible vulneración del RGPD tras las denuncias de FACUA contra Uber
El RGPD tiene una serie de pautas de cumplimiento en el articulado que conviene conocer. Uno de los peligros recurrentes es que se aprovechen ambigüedades de los articulados o que se redacte una cláusula que dé lugar a confusión.
El Reglamento Europeo de Protección de Datos (RGPD) indica que el consentimiento tiene que ser claro, expreso e inequívoco. Por otra parte, también obliga a que la utilización de datos esté limitada a una determinada finalidad. Si no se da alguna de estas circunstancias, podría haber una vulneración del RGPD que convendrá solucionar.
¿Cuál es el planteamiento de FACUA? Que se está vulnerando la normativa porque en una cláusula contractual no queda clara cuál es la finalidad de enviar mensajes. Concretamente, el usuario de Uber tiene que aceptar en el contrato la «recepción de mensajes informativos», aunque en ningún momento se aclara para qué.
En un primer momento, FACUA solicitó a Uber que modificase esta cláusula para que se supiera con más claridad cuál era su alcance, pero sin éxito. La no respuesta implica que Uber no aclara la finalidad de la utilización de estas comunicaciones comerciales.
Ante esta situación, FACUA tramitó una denuncia ante la Agencia Española de Protección de Datos (AEPD). El organismo regulador español considera que hay «indicios racionales de una posible vulneración del artículo 7 del RGPD» y ha trasladado la queja al regulador de los Países Bajos. No en vano, el artículo 56 aclara que, en estos casos, corresponderá al regulador del país en que esté domiciliada la compañía.
¿Está cumpliendo realmente con la RGPD? Veamos qué dice la normativa
El caso de Uber es paradigmático de cómo la interpretación puede prestarse a ambigüedades. Lo más conveniente es estudiar qué dice el articulado literalmente y, a partir de ahí, inferir conclusiones.
El artículo 7.2 del RGPD afirma que «Si el consentimiento (…) se da en (…) una declaración escrita que también se refiera a otros asuntos, la solicitud (…) se presentará de tal forma que se distinga claramente de los demás asuntos». Se puede afirmar, pues, que la legislación con respecto a esta cuestión es lo suficientemente clara como para que no haya ningún tipo de confusión.
El resumen es que el consentimiento para cada finalidad se ha de conseguir por separado y de forma que el usuario entienda con claridad qué implicará su aceptación. Si esto no se da, el consentimiento se podría considerar nulo de pleno derecho.
Lo que sucede en la cláusula contractual de Uber es que no queda clara esta cuestión. El texto se limita a afirmar que es necesaria la «recepción de mensajes informativos (SMS) como parte de la actividad comercial normal de su uso de los servicios». Esto podría interpretarse de varias maneras, así que convendrá tener presente cada cuestión para que no haya ningún problema.
Si se lee la cláusula y se compara con lo que dice el articulado del RGPD, es indudable que hay un margen de discrecionalidad para la empresa que supondría una vulneración. La antigua legislación de protección de datos consentiría este margen en virtud del principio del consentimiento tácito, pero hoy es considerado de todo punto ilegal.
Lo que tendría que hacer la empresa, en un principio, es aclarar para qué va a utilizar los datos y no hacerlo de forma que se preste a confusión. Es lícito el uso de información personal para prestar el servicio, pero no lo es para enviar información publicitaria si no se cuenta con un consentimiento expreso y por separado.
En consecuencia, se puede afirmar que sí hay indicios de vulneración del RGPD porque esta ambigüedad puede ser interpretada como una carta blanca para enviar publicidad no deseada. No ha de extrañar, pues, que hubiese una denuncia ante el órgano regulador para delimitar responsabilidades.
Conclusión
Es conveniente recordar que un incumplimiento del RGPD implica sanciones pecuniarias lo suficientemente cuantiosas como para generar problemas en las empresas. Los supuestos más graves pueden ser sancionados con hasta 20 millones de euros o, en su defecto, una cifra equivalente al 4 % de la facturación. Por lo tanto, se impone evitar este tipo de situaciones.
La posible vulneración de la protección de datos es un problema con el que se pueden encontrar las empresas. Este es el motivo por el que conviene trabajar con profesionales como Gesprodat que puedan proporcionar unas pautas adecuada de actuación para no tener problemas.
