El consentimiento según el RGPD es una de las seis bases legales para el tratamiento de datos personales con las que tiene que lidiar el responsable del tratamientos, con el asesoramiento del Delegado de Protección de Datos, tal como se enumeran en el artículo 6 del Reglamento (UE) 2016/679 (RGPD). Sin embargo, aunque el concepto básico de consentimiento sigue siendo similar al de la Directiva 95/46/CE, con la entrada del Reglamento General de Protección de Datos viene a establecer nuevos requisitos destinados a reforzar el grado de control de los interesados si se tratarán o no los datos personales que les conciernen. Para recordamos, la función de asesoramiento que puede aportar el Delegado de Protección de Datos para configurar adecuadamente esta base legal.
El artículo 4 del RGPD lo define de la siguiente forma “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Elementos que debe considerar el Delegado de Protección de Datos (DPO) para obtener un consentimiento válido.
1. Libremente dado.
El elemento «libre» implica una verdadera elección y control de los interesados. Por lo tanto, si el consentimiento se agrupa o vincula como parte no negociable de los términos y condiciones, se presume que no ha sido dado libremente. En consecuencia, no se considerará que el consentimiento es libre si el interesado no puede negarse o retirar su consentimiento sin que ello genere algún perjuicio para él. Hay 4 elementos que debemos de considerar para verificar si el consentimiento se ha otorgado de forma libre:
a) El desequilibrio de poder. El considerando 43 del RGPD indica que es poco probable que las autoridades públicas puedan confiar en el consentimiento para el tratamiento, ya que cuando el responsable del tratamiento es una autoridad pública, a menudo existe un claro desequilibrio de poder en la relación entre el responsable del tratamiento y el interesado. También se produce un desequilibrio de poder en el contexto del empleo. Dada la dependencia que resulta de la relación empleador/empleado, es poco probable que el interesado pueda negar su consentimiento del empleador al tratamiento de los datos sin experimentar el temor o el riesgo real de efectos perjudiciales como resultado de una negativa.
Sin embargo, esto no significa que los empleadores o las Autoridades Públicas nunca puedan basarse en el consentimiento como base legal para el procesamiento, eso sí, el consentimiento solicitado nunca tendrá consecuencias adversas en absoluto, independientemente de que se dé o no el consentimiento.
b) Condicionalidad. El consentimiento no debe de vincularse a la aceptación de los términos o condiciones, o «vincular» la prestación de un contrato o servicio a una solicitud de consentimiento para el tratamiento de datos personales que no sean necesarios para la ejecución de dicho contrato o servicio. Si se da el consentimiento en esta situación, se presume que no se da libremente. Siempre que una solicitud de consentimiento esté vinculada a la ejecución de un contrato, el interesado que no desee poner sus datos personales a disposición del responsable del tratamiento corre el riesgo de que se le nieguen los servicios que ha solicitado, quebrantándose la opción de libertad genuina para dar su consentimiento. El responsable del tratamiento debe de dar la opción real y libre de consentir o no a los tratamientos adicionales que conlleva la ejecución de un contrato o prestación de un servicio, sin que en ningún momento la negativa afecte a la ejecución del contrato o la prestación de servicio solicitado por el interesado. En términos generales, cualquier elemento de presión o influencia inapropiada sobre el interesado (que puede manifestarse de muchas maneras diferentes) que impida a un interesado ejercer su libre albedrío, invalidará el consentimiento.
c) Granularidad. Cuando el tratamiento tenga múltiples propósitos, se debe dar consentimiento para todos ellos, de forma separada y no agrupada bajo una sola acción de consentimiento. Si el responsable del tratamiento ha mezclado varios propósitos para su procesamiento y ha agrupado en una sola acción de consentimiento para todos los propósitos, por lo tanto, no se intenta obtener un consentimiento separado para cada propósito, hay una falta de libertad de elección de aquellos propósitos que realmente se quiera consentir. Por lo tanto, las opciones de o todo o nada, no son válidos bajo el RGPD.
Cuando el tratamiento de los datos se realiza con varios fines, la solución para cumplir con las condiciones para el consentimiento válido reside en la granularidad, es decir, la separación de estos fines y la obtención del consentimiento para cada fin
d) Detrimento. El responsable del tratamiento debe demostrar que es posible denegar o retirar el consentimiento sin perjuicio del mismo (considerando 42 RGPD). Por ejemplo, el responsable del tratamiento debe demostrar que la retirada del consentimiento no supone ningún coste para el interesado y, por lo tanto, ninguna desventaja clara para los que retiran el consentimiento.
La retirada del consentimiento no puede tener consecuencias negativas para el interesado.
2. Específico.
Para para cumplir con el elemento de «específico» debe aplicarse las siguientes condiciones:
a) Especificación de la finalidad. La obtención de un consentimiento válido debe estar siempre precedida por la determinación de un propósito específico, explícito y legítimo para la actividad de tratamiento prevista.
Si un responsable del tratamiento procesa datos con el consentimiento y desea tratarlos para un nuevo fin, el responsable del tratamiento debe solicitar al interesado un nuevo consentimiento para el nuevo fin del tratamiento. El consentimiento original nunca legitimará otros propósitos o nuevos para el procesamiento.
b) Granularidad en las solicitudes de consentimiento. Los mecanismos de consentimiento no sólo deben ser granulares para cumplir el requisito de «libre», sino también para cumplir el elemento de «específico». Esto significa que un responsable del tratamiento que busque el consentimiento para diversos fines diferentes debe proporcionar una opción de consentimiento independiente para cada fin, para permitir a los usuarios dar un consentimiento específico para fines específicos
c) clara separación entre la información relativa a la obtención del consentimiento para las actividades de tratamiento de datos y la información sobre otros asuntos.
3. Informado
El RGPD refuerza el requisito de que el consentimiento debe ser informado. El suministro de información a los interesados antes de obtener su consentimiento es esencial para permitirles tomar decisiones informadas. La consecuencia del incumplimiento de los requisitos para el consentimiento informado es que el consentimiento será inválido.
Para que el consentimiento sea informado, es necesario informar al interesado de ciertos elementos que son cruciales para tomar una decisión. Por lo tanto, WP29 opina que al menos la siguiente información es necesaria para obtener el consentimiento válido:
- la identidad del responsable del tratamiento,
- la finalidad de cada una de las operaciones de tratamiento para las que se solicita la autorización,
- qué (tipo de) datos se recopilarán y utilizarán
- la existencia del derecho a revocar el consentimiento
- información sobre la utilización de los datos para decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, de conformidad con el apartado 2 del artículo 22, y
- si el consentimiento se refiere a transferencias, sobre los posibles riesgos de las transferencias de datos a terceros países en ausencia de una decisión de adecuación y las garantías adecuadas (artículo 49, apartado 1 bis).
Recomendaciones para el Delegado de Protección de datos de como debemos proporcionar la información.
El RGPD no determina la forma en cómo debe proporcionarse la información para cumplir con el requisito del consentimiento informado, lo que extiende a que la información válida puede presentarse de diversas maneras (declaraciones orales o escritas, mensajes de audio o vídeo, etc), dejando dicha circunstancia a criterio del responsable del tratamiento, bajo el asesoramiento del Delegado de Protección de Datos o de los profesionales de la privacidad. No obstante, el RGPD si exige la utilización de un lenguaje claro y sencillo en todos los casos, además debe de ser diferenciable de los demás asuntos y facilitarse de forma inteligible y fácilmente accesible (se presume que no debe de ocultarse el consentimiento informado en los términos y condiciones generales).
El responsable del tratamiento, con el asesoramiento del Delegado de Protección de Datos, debe asegurar que el consentimiento permita a los interesados identificar fácilmente quién es el responsable del tratamiento y describir de forma clara y específica la finalidad para la que se solicita el consentimiento, comprendiendo a qué está de acuerdo. La información escalonada y granular puede ser una forma adecuada de abordar la doble obligación de ser precisa y completa, por una parte, y comprensible, por otra.
Cuando se solicite el consentimiento como parte de un contrato (papel), la solicitud de consentimiento debe distinguirse claramente de los demás asuntos. Si el contrato en papel incluye muchos aspectos que no guardan relación con la cuestión del consentimiento para el uso de los datos personales, la cuestión del consentimiento debe tratarse de manera que destaque claramente, o en un documento separado. Del mismo modo, si el consentimiento se solicita por medios electrónicos, la solicitud de consentimiento tiene que ser separada y distinta, no puede ser simplemente un párrafo dentro de los términos y condiciones.
El responsable del tratamiento que utilice el consentimiento del interesado como base legal debe también ocuparse de las distintas obligaciones de información establecidas en los artículos 13 y 14 para ajustarse al RGPD. No obstante, puede obtenerse el consentimiento «informado» válido, aun cuando no todos los elementos de los Artículos 13 y/o 14 se mencionen en el proceso de obtención del consentimiento, dicha información debe mencionarse en otros lugares, como el aviso de privacidad de una empresa. Es responsable del tratamiento asesorado por el Delegado de Protección de Datos o profesionales de la privacidad, puede implementar sistemas de información por capas.
4. Indicación inequívoca de los deseos (declaración del interesado o un acto afirmativo claro)
El consentimiento requiere una declaración del interesado o un acto afirmativo claro, lo que significa que siempre debe darse a través de una moción o declaración activa. Debe ser evidente que el interesado ha dado su consentimiento al tratamiento concreto.
Un «acto afirmativo claro» significa que el interesado debe haber tomado una acción deliberada para dar su consentimiento al tratamiento en cuestión. (Ej: Al marcar activamente la casilla opcional que indica «Consiento», el usuario puede realizar válidamente un «acto afirmativo claro» para dar su consentimiento al procesamiento)
Tal vez la manera más literal de cumplir con el criterio de una «declaración escrita» es asegurarse de que el interesado escriba en una carta o escriba un mensaje de correo electrónico al responsable del tratamiento explicando exactamente a qué está de acuerdo. Sin embargo, esto a menudo no es realista. Las declaraciones escritas pueden venir en muchas formas y tamaños que podrían cumplir con el GDPR.
El responsable del tratamiento, bajo el asesoramiento del Delegado de Protección de Datos, debe saber que el consentimiento no puede obtenerse mediante la misma acción de aceptación de un contrato o condiciones generales de un servicio. La aceptación general de las condiciones generales no puede entenderse como una acción afirmativa clara para autorizar el uso de los datos personales.
Asimismo, el RGPD no permite a los responsables del tratamiento, utilizar el silencia, la inacción, ofrecer cajas premarcadas o construcciones de exclusión voluntaria que requieran una intervención del interesado para impedir el acuerdo (por ejemplo, «cajas de exclusión voluntaria»).
Consentimiento por medios electrónicos
Cuando el consentimiento se conceda a raíz de una solicitud por medios electrónicos, la solicitud de consentimiento no debe ser innecesariamente perturbadora para la utilización del servicio para el que se concede el consentimiento. Por lo tanto, puede ser necesario que una solicitud de consentimiento interrumpa hasta cierto punto la experiencia de uso para que esa solicitud sea efectiva.
Por otro lado, el RGPD indica claramente que el silencio, las casillas ya marcadas o la inacción no son medios de obtención del consentimiento válidos.
En cualquier caso, siempre debe obtenerse el consentimiento antes de que el responsable del tratamiento comience a tratar los datos personales para los que se necesita el consentimiento.
- Obtención del consentimiento explícito.
El consentimiento explícito se requiere en determinadas situaciones en las que existe un riesgo grave para la protección de datos, por lo que se considera apropiado un alto nivel de control individual sobre los datos personales. En el marco del RGPD, el consentimiento explícito se precisa para:
- El tratamiento de categorías especiales de datos,
- Para la realización de transferencias de datos a terceros países u organizaciones internacionales en ausencia de salvaguardias adecuadas.
- Para la toma de decisiones automatizada e individualizada, incluida la elaboración de perfiles.
El término explícito se refiere a la forma en que el consentimiento es expresado por el interesado. Significa que el interesado debe dar su consentimiento expreso.
- El consentimiento explícito puede ser una declaración escrita esté firmada por el interesado.
- En el contexto digital o en línea, un interesado puede emitir la declaración requerida rellenando un formulario electrónico, enviando un correo electrónico, cargando un documento escaneado con la firma del interesado o utilizando una firma electrónica.
- La verificación en dos etapas del consentimiento también puede ser una forma de asegurarse de que el consentimiento explícito sea válido.
6. Condiciones adicionales para la obtención del consentimiento válido
El RGPD introduce requisitos para que los responsables del tratamiento, bajo el asesoramiento del Delegado de Protección de Datos, tomen disposiciones adicionales para asegurar que obtengan, mantengan y puedan demostrar el consentimiento válido, estableciendo disposiciones específicas sobre el mantenimiento de registros del consentimiento y el derecho a retirar fácilmente el consentimiento.
a) Demostrar el consentimiento.
Los responsables del tratamiento son libres para desarrollar métodos que permitan acreditar el consentimiento. No obstante, el deber de demostrar un consentimiento válido no debe conducir por sí mismo a cantidades excesivas de tratamiento de datos adicionales.
El responsable del tratamiento, con el asesoramiento del Delegado de Protección de Datos, debe poder demostrar que el interesado ha dado su consentimiento en un caso concreto. Mientras dure una actividad de tratamiento de datos en cuestión, existe la obligación de demostrar el consentimiento. Una vez concluida la actividad de tratamiento, la prueba del consentimiento no debe mantenerse más tiempo de lo estrictamente necesario para el cumplimiento de una obligación legal o para el establecimiento, el ejercicio o la defensa de los derechos legales.
El WP29 recomienda, como mejor práctica, que se refresque el consentimiento a intervalos adecuados
b ¿Qué elementos debemos poder acreditar?
Es preciso poder acreditar y documentar en cualquier momento los siguientes puntos:
- Quién consintió. Hay que identificar al titular de datos por su nombre o por otro identificador, dependiendo de los casos.
- Cuándo consintió.
- Consentimiento offline: se debería aportar copia del documento con la cláusula informativa correspondiente firmado por el interesado y fechado.
- Si se trata de un consentimiento verbal, a través de una grabación donde consten los datos del afectado y la fecha de la grabación.
- Consentimiento online: Se deberá crear un archivo con sello de tiempo.
- Qué información recibió el particular:
- En el caso de formularios offline, bastaría el formulario físico con la cláusula informativa correspondiente firmada y fechada por el afectado.
- En el caso de los formularios online, se debería aportar capturas de la primera capa informativa y de la segunda, con la información más detallada con la correspondiente información de su sello de tiempo. Otra forma de acreditar la información onlinesería a través del doble opt-in, se puede insertar la segunda capa informativa en el correo de verificación que se envía al usuario para confirmar su alta o suscripción y hacer capturas de ese proceso.
- Grabación del consentimiento verbal así como de la información suministrada al titular de datos.
- Cómo se consintió:
- Por escrito: copia de los documentos anteriormente citados.
- Online: Proceder a registrar una copia de los datos suministrados, así como un sello de tiempo para vincularlo a la versión correspondiente de la captura de los datos.
- Verbalmente: grabación.
- Lo que se ha dicho en el momento del consentimiento.
- En el caso de formularios offline, bastaría el formulario físico con la cláusula informativa correspondiente firmada y fechada por el afectado
- En el caso de formularios online Captura del formulario de datos que contiene la declaración de consentimiento en uso en ese momento, junto con cualquier política de privacidad separada, incluyendo números de versión y fechas que coincidan con la fecha en que se dio el consentimiento.
- Otra forma de acreditar la información onlinesería a través del doble opt-in, se puede insertar la segunda capa informativa en el correo de verificación que se envía al usuario para confirmar su alta o suscripción y hacer capturas de ese proceso.
c) Retirada del consentimiento.
El responsable del tratamiento debe garantizar que el consentimiento pueda ser retirado por el interesado con la misma facilidad con la que esta se obtuvo y en cualquier momento dado. No obstante, el RGPD no dice que dar y retirar el consentimiento debe hacerse siempre a través de la misma acción.
Sin embargo, cuando el consentimiento se obtiene por medios electrónicos a través de un solo clic del ratón, deslizamiento o pulsación de tecla, en la práctica, los interesados deben poder retirar ese consentimiento con la misma facilidad.
Sin embargo, cuando el consentimiento se obtiene por medios electrónicos a través de un solo clic del ratón, deslizamiento o pulsación de tecla, los interesados deben poder retirar ese consentimiento con la misma facilidad. Cuando el consentimiento se obtiene mediante el uso de una interfaz de usuario específica del servicio (por ejemplo, a través de un sitio web, una aplicación, una cuenta de acceso, la interfaz de un dispositivo de IoT o por correo electrónico), no cabe duda de que el interesado debe poder retirar su consentimiento a través de la misma interfaz electrónica, ya que el cambio a otra interfaz para retirar el consentimiento requeriría un esfuerzo indebido. Además, el interesado debe poder retirar su consentimiento sin perjuicio de ello y de forma gratuita.
El requisito de una retirada fácil se describe como un aspecto necesario del consentimiento válido en el RGPD, sino es así el consentimiento no se considera legítimo y no cumple con el RGPD. Se recuerda que el responsable del tratamiento debe informar al interesado del derecho a revocar el consentimiento antes de dar su consentimiento efectivo.
Si se retira el consentimiento, todas las operaciones de tratamiento de datos que se basaban en el consentimiento y tenían lugar antes de la retirada del consentimiento siguen siendo lícitas, sin embargo, el responsable del tratamiento debe poner fin a las acciones de tratamiento en cuestión.
Por otro lado, si el tratamiento se basa en más de una base legal, por ejemplo, cuando los datos del cliente se basen en la ejecución de un contrato y el consentimiento la retirada del consentimiento no significa que el responsable del tratamiento deba borrar los datos que son tratados la ejecución del contrato.
En los casos en los que el interesado retire su consentimiento y el responsable del tratamiento desee seguir procesando los datos personales sobre otra base legal, no podrá migrar silenciosamente del consentimiento (que se retira) a esta otra base legal.
Conclusión:
La complejidad que conlleva la gestión del consentimiento en las organizaciones hace recomendable el asesoramiento de expertos en privacidad como el Delegado de Protección de Datos (DPO)