Protección de datos personales

Consentimiento válido en el RGPD: cómo debes obtenerlo

Consentimiento válido / valid consent

La obtención de un consentimiento válido es una cuestión de capital importancia en el momento de diseñar un tratamiento con datos personales. Fallar supondría que tratarías los datos de forma ilícita y que estarías privando a sus titulares de un verdadero control sobre sus datos, y todo ello exponiendo a tu organización a severas sanciones administrativas.

 

1. ¿Qué se entiende por consentimiento válido?

El artículo 4.11) del RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

A fin de evaluar si el consentimiento es la base legítima adecuada para tu tratamiento, o si es un consentimiento válido, es recomendable que lo pases por el filtro del Dictamen del Grupo de Trabajo del Artículo 29 (desde el 25 de mayo, “Comité Europeo de Protección de Datos”) sobre el consentimiento en el Reglamento 2016/679, WP 259 rev.01, de 10 de abril de 2018.

En el documento anterior el GT29 analiza cada elemento que conforma la definición de consentimiento del RGPD de forma separada. En síntesis, el consentimiento será válido cuando cumpla con las siguientes condiciones:

 

1.1. Consentimiento libre

El elemento libre implica una verdadera elección y control por el titular de los datos, de modo que si este no tiene una verdadera alternativa, se siente obligado a consentir o el no consentir le acarreará consecuencias negativas, el consentimiento no será válido.

Se considera que el consentimiento no es libre cuando existe un desequilibrio de poder, cuando se obtiene de forma condicional, cuando no es granulado y cuando su no concesión o retirada conlleva un detrimento para su titular.

 

Desequilibrio de poder

El considerando 43 establece que el consentimiento “no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular”.

SI bien el Reglamento cita expresamente esas situaciones en que el responsable del tratamiento es una autoridad pública, no se limita a esos casos. El consentimiento no será libre siempre que exista un desequilibrio claro, lo que también ocurre entre las relaciones laborales entre el empleado y el empleador.

 

Condicionalidad

Para que el consentimiento sea libre, este no puede ser la moneda de cambio para realizar un servicio o cumplir con un contrato. Esto es especialmente cierto cuando los datos recabados por el consentimiento no son necesarios para la ejecución del contrato.

Si los datos recabados con el consentimiento sí son necesarios para la ejecución del contrato, entonces la cuestión es si el consentimiento es la base legal adecuada para este caso, probablemente no lo sea.

El consentimiento obtenido también será libre cuando proporciones una elección genuina al interesado. Esto significa que deberás obtener el consentimiento del siguiente modo:

  1. deberás presentar la opción de dar el consentimiento para una finalidad distinta de forma separada;
  2. deberás prestarle el servicio o cumplir con el contrato independientemente de si te da o no el consentimiento para ese otro tratamiento, y;
  3. el servicio que le deberás dar será equivalente, de o no el consentimiento.

 

Granularidad

En el Reglamento existe una cierta ambigüedad en este requisito, y es que mientras de los considerandos 42 y 43 se infiere o claramente se estipula que el consentimiento debe darse para cada operación del tratamiento, el considerando 32 establece que debe darse para cada finalidad, que es lo más congruente con el principio de limitación de la finalidad del artículo 5.1.b.

La distinción no es baladí, pues lo normal es que un tratamiento tenga una finalidad y, para cumplir con esa finalidad, sea necesario realizar varias operaciones. Obtener un consentimiento separado para cada operación no sería congruente con los principios de protección de datos, pues ni se estaría limitando a la finalidad ni sería realmente libre.

¿Y qué debe hacerse? Pues la opinión mayoritaria es que deben granularse las finalidades. En el citado Dictamen, el GT29 dice: “Cuando el tratamiento de los datos es realizado en aras del cumplimiento de varias finalidades, la solución para cumplir con las condiciones del consentimiento válido descansa en la granularidad, i.e. la separación de esas finalidades y la obtención del consentimiento para cada finalidad”.

 

Detrimento

Para obtener un consentimiento válido y libre, debe ser posible para el titular de los datos decidir no otorgar, o retirar el consentimiento, sin sufrir perjuicio alguno.

Así lo estipula el considerando 42, que dice: “El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”.

 

1.2. Consentimiento específico

Muy relacionado con la necesidad de granular el consentimiento, para cumplir con los requisitos de un consentimiento válido, deberás:

  1. Especificar las finalidades a fin de evitar que los datos sean tratados posteriormente con una finalidad distinta de esa para la que fueron obtenidos;
  2. Granular las solicitudes del consentimiento, y;
  3. Separar claramente la información relacionada con la obtención del consentimiento para los tratamientos de la información sobre otros asuntos.

 

1.3. Consentimiento informado

Como ya has visto, debes granular las solicitudes de consentimiento según finalidades y proporcionar información por cada solicitud. Respecto a la información, son dos los aspectos que deberás tener en cuenta: (i) sobre qué contenido necesitas informar, y (ii) cómo debes proporcionar la información.

 

Contenido mínimo para que el consentimiento sea informado

Los artículos 13 y 14 del RGPD establecen todo un listado de aspectos de los que debes informar para cumplir con el deber de transparencia, pero ojo, no es necesario que informes de todo ello para obtener un consentimiento válido.

Para el GT29, el contenido mínimo del que debes informar para que el consentimiento se considere “informado” es el siguiente:

  1. la identidad del responsable;
  2. la finalidad de cada una de las operaciones de tratamiento para las que se recaba el consentimiento;
  3. qué tipo de datos son recogidos y usados;
  4. la existencia del derecho a retirar el consentimiento (y ojo, que retirarlo debe ser tan fácil como darlo);
  5. en su caso, la información acerca del uso de los datos para tomar decisiones automáticas según el artículo 22.2.c); y
  6. del posible riesgo en las transferencias de datos que se deba a la ausencia de decisiones de adecuación y garantías adecuadas a que se refiere el artículo 46 (es una de las excepciones específicas para transferir datos a que habilita el artículo 49.1.a).

 

Cómo proporcionar la información

El RGPD no obliga a presentar la información de una forma concreta, lo que significa que puedes dar la información en la forma que mejor te convenga. En cualquier caso, deberás asegurarte de darla:

  1. en un lenguaje claro y sencillo de entender;
  2. de forma separada a otra información, y;
  3. en una forma inteligible y de fácil acceso.

Finalmente, para evitar entorpecer demasiado la experiencia del usuario o el diseño de un producto, ten en cuenta que también puedes presentar la información por capas (como se hace para informar sobre el uso de las cookies) en esos casos en que hay poco espacio para colocarla.

 

consentimiento declaración sí es sí
Imagen de Max Pixel

 

1.4. Manifestación de voluntad inequívoca

Para recabar un consentimiento válido, debes registrar una manifestación de voluntad inequívoca del interesado, como una declaración o una clara acción afirmativa. El considerando 32 amplía esta información, estipulando que puede seruna declaración por escrito, inclusive por medios electrónicos, o una declaración verbal”.

No se requiere una declaración expresa o explícita del titular de los datos, sino que basta con poner un medio que permita al titular expresar su consentimiento por medio de una clara acción afirmativa.

El mismo considerando estipula que “esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales”.

Como ves, existe una considerable libertad a la hora de diseñar el modo de obtención del consentimiento, no siendo estrictamente necesario que lo obtengas por medio de una declaración escrita, ni tampoco con una casilla opt-in que el usuario deba marcar, aunque son las formas más usadas.

Finalmente, un aspecto importante que también deberás tener en cuenta al diseñar el modo en que obtienes el consentimiento es su registro, y es que el artículo 7.1 te atribuye, como responsable, el deber de estar siempre en posición de demostrar que obtuviste el consentimiento.

 

Consentimiento tácito o implícito

Debido a que el consentimiento válido debe ser obtenido por medio de una declaración o una clara acción afirmativa, automáticamente el consentimiento implícito o tácito no es bueno y no sirve para cumplir con el RGPD. El considerando 32 estipula que “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.

 

Consentimiento expreso o explícito

Existen ciertas categorías de datos que son consideradas “especiales” debido a su naturaleza sensible y, si no puedes basar tu tratamiento en otra base legal distinta al consentimiento, sí deberás obtener un  consentimiento expreso para tratarlos. Están listadas en el artículo 9 y son todos esos datos personales que revelen:

  • el origen étnico o racial;
  • las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical;
  • datos genéticos, o datos biométricos dirigidos a identificar de manera unívoca a una persona física; y
  • datos relativos a la salud, o datos relativos a la vida sexual o las orientación sexuales de una persona física.

Además, también será necesario que obtengas un consentimiento explícito en los casos del artículo 49 y el artículo 22, es decir, (i) cuando preveas hacer transferencias internacionales de datos en ausencia de decisiones de adecuación o garantías adecuadas, y (ii) cuando el tratamiento incorpore la toma de decisiones automáticas individualizadas, incluyendo la creación de perfiles.

 

2. Consentimiento obtenido antes del 25 de mayo

El considerando 171 estipula que “cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento”.

En otras palabras, si el consentimiento que obtuviste antes del 25 de mayo era un consentimiento válido, según todo lo visto en este artículo, entonces no deberás obtenerlo de nuevo. Por el contrario, si no era un consentimiento válido necesitarás recabarlo de nuevo para seguir con el tratamiento.

 


Foto de cabecera de Max Pixel, licencia CC0 1.0.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *