Veíamos en el artículo anterior que eran 3 los factores más impactantes a tener en cuenta en este nuevo Reglamento Europeo cuando se ofrece un servicio de atención personalizado por WhatsApp.
Al solicitar datos personales del usuario (como el nombre, DNI, fecha de nacimiento, domicilio personal, etc.) es necesario que este nos de su consentimiento expreso para poder hacer un tratamiento de estos datos.
Pero… ¿Qué es un “consentimiento expreso”? El reglamento europeo lo define como: una afirmación libre del interesado mediante la cual acepta que sus datos sean archivados y tratados conforme al fin informando con anterioridad.
Esto implica 3 condiciones:
- El usuario debe realizar una acción que indique su consentimiento o respuesta afirmativa (ya sea escribiendo un “si”, marcando la opción “si” de una casilla (que previamente está desmarcada) o cualquier otro método que requiera una acción inequívoca asociada a ese consentimiento.
- El usuario no debe ser condicionado, coaccionado o confundido mediante el texto informativo. Este debe ser claro, completo y fácilmente entendible. Además se debe informar del fin para el que se guardas los datos y sólo se puede utilizar para dicho fin y durante un tiempo determinado, pasado el cual, la información debe ser eliminada.
- El usuario tiene derecho a revocar ese consentimiento y debe poder hacerlo de forma automática mediante alguna opción fácilmente accesible o bien informar de un canal de contacto donde el usuario pueda solicitar esa cancelación. En el caso de un servicio de atención al cliente/ciudadano por WhatsApp, tanto el “consentimiento expreso” como la “cancelación” deberían estar automatizados mediante algún sistema como un chat conversacional. De esta forma el usuario podrá dar su consentimiento en el mismo chat y este es almacenado automáticamente. Igualmente, con la cancelación.
En el nuevo Reglamento, es la empresa, Ayuntamiento o Administración quien tiene una “responsabilidad proactiva” en el cumplimiento y recae en ellos toda la obligación de cumplir las normas establecidas siempre y cuando el servicio lo estén prestando ellos, y sean los responsables de la guarda y custodia de la información.
Si el servicio estuviera externalizado, la responsabilidad recaería en la empresa final que sería la que almacena los datos y la que debe poner los medios necesarios para su custodia y salvaguarda a través de la figura del “Responsable del tratamiento de datos”. Los trabajados del Ayuntamiento/Administración/empresa pasarían a tener la figura de “Encargados del tratamiento de datos” cuya función consistiría en realizar su trabajo manteniendo las precauciones indicadas por el “Responsable del tratamiento de datos”.
Dado que el ciudadano puede ejercer su derecho a revocar su consentimiento cuando quiera, así como a solicitar la información asociada a sus datos personales para poder solicitar su eliminación, no es recomendable que estas acciones las tenga que controlas una persona que puede dejar pasar alguna conversación porque esté de vacaciones o de baja. Un descuido puede tener consecuencias de cara a la ley.