¿Por qué algunos correos electrónicos de GDPR requieren que yo desactive la opción y algunos opten por participar? [cerrado]

No está claro que el primer tipo de correo electrónico sea legal. Una asociación francesa, la Quadrature du Net , planea lanzar una acción de clase contra cinco grandes compañías de tecnología (la famosa "GAFAM ") el 28 de mayo sobre solo esta práctica. Aquí hay un resumen de sus argumentos:

• El artículo 6 §1 de GDPR enumera seis casos para procesar datos personales legalmente, uno de ellos es el consentimiento del usuario;
• El Artículo 4 §11 establece que el consentimiento debe obtenerse de manera que demuestre que es la voluntad del usuario de una manera clara, específica, informada e inequívoca;
• En el preámbulo de GDPR, se explica que el consentimiento debe ser una acción positiva, y no puede haber consentimiento en caso de silencio, casillas previamente marcadas o inacción;
• El Artículo 7 §4 establece que al obtener el consentimiento, es necesario considerar si el procesamiento de datos personales es absolutamente necesario para brindar un servicio.

Como consecuencia, el "G29", el grupo de autoridades nacionales de protección de datos en la UE, afirmó que si el usuario no tiene una opción real, se siente constreñido o enfrentará consecuencias negativas por rechazar el consentimiento, entonces el consentimiento dado no es válido. Por lo tanto, el G29 afirmó que GDPR garantiza que dar consentimiento para el procesamiento de datos personales no puede ser la contraparte de la prestación de servicios.

Además, si una empresa solicita el consentimiento como base legal para el procesamiento de datos personales, se les prohíbe utilizar las otras bases legales del Artículo 6 para justificar su procesamiento.

(El razonamiento se profundiza, si puedes leer en francés. Lo que he escrito anteriormente es solo un resumen.)

Por lo tanto, el primer correo electrónico es esencialmente para que aceptes algo ilegal. Si las acciones de clase que mencioné anteriormente son exitosas, entonces puede esperar que las compañías más pequeñas sigan su ejemplo y dejen de enviar correos electrónicos del primer tipo (o enfrenten serias consecuencias legales).

Algunas citas de la ley GDPR:

  

[...] El consentimiento debe otorgarse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado con el procesamiento de datos personales relacionados con él, tal como por escrito. declaración, incluso por medios electrónicos, o una declaración oral. Esto podría incluir marcar una casilla al visitar un sitio web de Internet, elegir la configuración técnica para los servicios de la sociedad de la información u otra declaración o conducta que indique claramente en este contexto la aceptación por parte del sujeto de los datos del procesamiento propuesto de sus datos personales. El silencio, las casillas pre-marcadas o la inactividad no deben constituir consentimiento. El consentimiento debe cubrir todas las actividades de procesamiento realizadas con el mismo propósito o propósitos. Cuando el procesamiento tiene múltiples propósitos, se debe dar el consentimiento para todos ellos. Si se otorga el consentimiento del interesado a raíz de una solicitud por medios electrónicos, la solicitud debe ser clara, concisa y no debe interrumpir innecesariamente el uso del servicio para el que se proporciona. [...]

     

[...] Cuando el procesamiento se basa en el consentimiento de conformidad con la Directiva 95/46 / CE, no es necesario que el interesado vuelva a otorgar su consentimiento si la forma en que se ha otorgado el consentimiento es en conforme a las condiciones del presente Reglamento [...]

     

[...] "consentimiento" del sujeto de los datos significa cualquier indicación libre, específica, informada e inequívoca de los deseos del interesado por los cuales él o ella, mediante una declaración o una acción afirmativa clara, significa un acuerdo con el tratamiento de los datos personales relativos a él o ella; [...]

     

[...] Al evaluar si el consentimiento se otorga libremente, se debe tener muy en cuenta si, entre otras cosas, el cumplimiento de un contrato, incluida la prestación de un servicio, está condicionado al consentimiento para el procesamiento de datos personales. Eso no es necesario para la ejecución de ese contrato. [...]

GDPR requiere consentimiento explícito. Si un servicio ha estado recolectando datos personales y usted no dio su consentimiento explícito, entonces deben solicitar su consentimiento nuevamente, explícitamente. Creo que, en teoría, un servicio también debe solicitar un consentimiento explícito cada vez que modifican su política de privacidad, aunque no puedo encontrar una declaración al respecto. Entonces, creo que su ejemplo de "exclusión voluntaria pseudo-implícita" no es legal en ningún caso, incluso si previamente había dado su consentimiento explícitamente de una manera compatible con GDPR (y lo dudo), porque ahora están cambiando su política de privacidad y pidiéndole que lo acepte implícitamente simplemente al continuar usando su servicio.

La primera categoría son las grandes empresas (como los grandes proveedores de correo electrónico) que harán lo que quieran de todos modos y como usted quiere usar su servicio, tendrá que aceptar sus condiciones. No hacerlo evitará que uses sus servicios.

La segunda categoría son las más justas que le preguntan si desea recibir información de ellas o no. Por lo general, esas son empresas comerciales y la exclusión voluntaria de recibir sus ofertas no le impedirá hacer negocios con ellas.

En primer lugar, aún no existe una jurisprudencia, y diferentes abogados interpretan las reglas de diferentes maneras: algunos juegan de manera muy segura y otros navegan más cerca del viento. Algunos probablemente consideran que es poco probable que ocupen un lugar destacado en la lista de personas a las que vale la pena procesar. (Seamos realistas, nadie va a procesar a un club deportivo por mantener una nota de quién reparó por última vez el cortacésped).

En segundo lugar, el consentimiento es solo una de las formas en que puede permitirse la retención de datos. Otros incluyen la existencia de un contrato, la necesidad de cumplir con las leyes y regulaciones, y los "intereses legítimos" (que están muy abiertos a la interpretación: pero, por ejemplo, una compañía de seguros puede retener su historial de reclamaciones para que pueda detectar un patrón de reclamaciones fraudulentas).

En tercer lugar, a diferencia de las apariencias, los consentimientos existentes no necesitan renovarse para GDPR; si aceptaste el año pasado, eso es (¡probablemente!) lo suficientemente bueno.

IANAL - Sin embargo, he leído las regulaciones.

Como han indicado otras respuestas, GDPR requiere un consentimiento explícito, informado e inequívoco. Además, de acuerdo con el principio de responsabilidad, los controladores de datos deben poder demostrarlo. En teoría:

1. Las organizaciones que envían correos electrónicos de exclusión voluntaria ya tenían su consentimiento explícito registrado correctamente (por ejemplo, cuando se suscribió a un boletín informativo o firmó un contrato), y tal vez estén actualizando sus políticas de privacidad para alinearse mejor con GDPR. y, por lo tanto, le envían un correo electrónico y aprovechan para recordarle que siempre puede optar por no participar.
2. Las organizaciones que envían correos electrónicos de suscripción voluntaria no tienen el consentimiento adecuado registrado, y se apresuran a que su consentimiento se registre y almacene en sus nuevas herramientas de gestión GDPR.

En la práctica:

1. Algunas organizaciones que envían correos electrónicos de exclusión tal vez están caminando sobre hielo delgado, y confían en que las autoridades reconocerán sus consentimientos pasados de antemano.
2. Algunas organizaciones que envían correos electrónicos opt-in ya estaban fuera de la ley (con respecto a la directiva anterior y las leyes de los Estados miembros), pero ahora se están arrepintiendo porque temen las multas.

O, depende del abogado que haya contratado cada uno de ellos.

En la parte superior de las áreas ya mencionadas aquí, hay una sección de GDPR relacionada con la retención de datos. Muchos de los correos electrónicos que le piden a las personas (o al menos a los que estoy recibiendo) que opten por participar también indican que no han tenido ninguna interacción con (o más bien, de parte de mí) durante algunos años, y por lo tanto Si quiero seguir recibiendo sus correos electrónicos aún, entonces es necesario volver a participar. Esto les permite saber que sus datos están actualizados y que se puede eliminar cualquier otra cosa.

Si bien la ley de protección de datos del Reino Unido ya establece que los datos no pueden conservarse durante más tiempo del necesario, se ignoró en gran medida y las listas de correo siguieron creciendo. Sin embargo, GDPR requiere que los datos se eliminen después de un período de tiempo razonable. Si te inscribes, estás reiniciando el reloj porque sus datos son relevantes.

Hay 2 cosas en juego aquí:

• siempre que el consentimiento anterior siga siendo válido, porque se solicitó de una manera que ya cumplía con esta ley entrante (lo que da la impresión de una opción de exclusión voluntaria, pero es simplemente la continuación de su opción de suscripción anterior) frente a antiguo consentimiento fue encontrado insuficiente o nulo por lo que necesita renovarlo, por ejemplo. porque la casilla de verificación estaba marcada de forma predeterminada (en realidad, se excluyó en ese entonces, por lo que tiene que ser reemplazada por una nueva opción de inclusión).
• cada vez que la compañía quiere mantener las cosas como estaban (una vez más, la vieja opción de aceptación que se siente como una opción de exclusión ahora) o están aprovechando la oportunidad para pedirle más permisos de los que ya tenían (opción de suscripción para algo completamente nuevo, como correos electrónicos).

Parece que estás tratando con el primer caso aquí. La primera compañía simplemente actualizó sus políticas y consideró que los antiguos consensos son lo suficientemente buenos, mientras que la segunda considerará que su antiguo consentimiento quedará nulo según la nueva ley y le pedirá que dé su consentimiento nuevamente.

GDPR no es nuevo, aquí donde vivo tenía 2 años de licencia legislativa, por lo que en teoría los sitios podrían estar preparados desde 2 años como mínimo. Es perfectamente imaginable que algunos consentimientos ya sean conformes (en realidad, a nadie le importó hasta que el proyecto de ley entró en vigor).

Sobre el caso número 2, hay un ejemplo en enlace donde el zoom intenta hacer exactamente eso.