Reglamento General de Protección de Datos (RGPD) : El Consentimiento

El consentimiento se regula en el art. 6 como uno de los supuestos que legitiman el tratamiento de datos, adicionalmente en el art. 7 se identifican las condiciones en las que debe prestarse el consentimiento y, finalmente en el art. 9 se regula el consentimiento con datos sensibles. También se regula el mismo en los considerandos 32, 40, 42, 43 y 171.

Artículo 6: Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
   1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

Artículo 7: Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se dio libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

La principal novedad que se introduce en el RGPD con respecto a nuestra normativa, es que el consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento tácito.

De esta manera, el consentimiento debe de ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Expresamente se indica en el considerando 32 la posibilidad de utilizar casillas para la obtención del mismo, estableciendo que la casilla pre marcada o la inacción no constituye una forma de prestar el consentimiento. Igualmente, también se establece en dicho considerando que cuando existan varios fines para el tratamiento se deberá recabar el consentimiento para todos ellos.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Por tanto, el consentimiento para el tratamiento de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el responsable del tratamiento que el titular de los datos o interesado consintió el tratamiento de los mismos a través de un proceso claro inteligible y de fácil acceso, en el que se utilizó un lenguaje claro y sencillo.

PREGUNTAS FRECUENTES:

Respecto del consentimiento en datos seudonimizados, ¿es necesario recabar consentimiento por parte del responsable si los tratamientos efectuados fuesen sobre datos seudonimizados?

Debemos prestar atención al hecho de que la normativa refleja de modo claro que un dato seudonimizado es un dato personal, circunstancia que no ocurre con los datos anonimizados. En base a ello, efectivamente es necesario recabar ese nuevo consentimiento.

Entre los ejemplos de consentimiento manifestado mediante un acto afirmativo claro, el considerando 32 menciona «escoger parámetros técnicos para la utilización de servicios de la sociedad de la información». ¿Qué puede entenderse, a efectos prácticos, por esos parámetros técnicos para utilización de servicios de sociedad de la información?

La traducción del RGPD no es estrictamente la más adecuada. En su versión inglesa –choosing technical settings for information society services–  se refiere, por ejemplo, a aquellas situaciones en las que seleccionamos los parámetros de la aplicación o del dispositivo para permitir el acceso a datos personales. De esta manera, si es el interesado es el que los habilita se entiende que se está prestando el consentimiento a que se traten sus datos, ya que en caso contrario no sería considerado un consentimiento válido.

Por tanto, atendiendo a la obligación del Responsable/Encargado de asegurar la privacidad desde el diseño y por defecto, los dispositivos o aplicaciones deberán venir protegiendo la privacidad por defecto y desde el diseño, de tal forma que si se quiere obtener los datos del interesado, el usuario deberá habilitarlo en la configuración del dispositivo o de la aplicación.

En relación con el consentimiento, también debemos tener en cuenta, que no será necesario recabar de nuevo el mismo por el responsable de Tratamiento si la forma en la que se recogió el dato cumple con el RGPD. Efectivamente el considerando 171 establece:

“La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.”

PREGUNTAS FRECUENTES:

Si actualmente el Responsable ha recabado el consentimiento de forma tácita ¿es preciso recabar un nuevo consentimiento de dichos interesados ajustándome a las nuevas especificaciones del RGPD antes de mayo de 2018?

Sí, efectivamente se deberá recabar un nuevo consentimiento ajustándose a las especificaciones marcadas por el RGPD, ya que a partir de mayo en el que será de aplicación directa los consentimientos recabados sin cumplir con las exigencias del RGPD serán ilícitos.

Por otro lado, el consentimiento también será revocable, existiendo el derecho del titular del datos o interesado a retirar dicho consentimiento, el cual deberá ser igual de fácil a la hora de retirarlo que a la hora de darlo o prestarlo. A este respecto, el considerando 42 señala que el consentimiento no será libremente prestado si el interesado no puede retirar el mismo o no goza de una verdadera y libre elección.

“El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

Así mismo se presume también por el considerando 43 que, el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.

“Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, inclusive la prestación de un servicio, sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.”

EJEMPLOS PRÁCTICOS

SUPUESTO: Se presume por el considerando 43 que el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.

EJEMPLOS: Apertura de una cuenta corriente donde al aceptar el tratamiento de datos, se acepta facilitar datos sobre preferencias personales, religión, creencias.

Descargas de aplicaciones móviles en donde se obliga a facilitar datos y acceso a funcionalidades del dispositivo, (contactos, galería de fotos y videos, la cámara, etc.) para la descarga de la aplicación, ya que en caso contrario no sería posible la descarga o el funcionamiento de la misma.

El considerando 43 efectivamente establece que si hay un tratamiento de datos completamente distinto del necesario para la prestación de servicio, éste deberá de ser gestionado de forma independiente y debiendo solicitarse el consentimiento de forma separada sin vincular el mismo a la prestación del servicio.

PREGUNTAS FRECUENTES:

Si actualmente tengo consentimiento expreso, pero no separados por finalidades ¿he de recabar un nuevo consentimiento de dichos interesados ajustándome a las nuevas especificaciones de cada finalidad tenga su consentimiento separado?

El considerando 43 establece que no es posible vincular un consentimiento para un tratamiento de datos que no tenga que ver con el servicio. Por tanto no solo será necesario recabar consentimientos separados para cada tratamiento no relacionado con la prestación del servicio o el cumplimiento del contrato, sino que también será necesario informar sobre los extremos de dicho tratamiento, pues el interesado tiene derecho a no autorizar dicho tratamiento ya que no es necesario para la prestación del servicio.

Por último, en relación con el consentimiento se establece que el mismo deberá ser explícito en el tratamiento de datos sensibles que revelen origen racial, opiniones políticas, convicción religiosa, afiliación sindical, datos genéticos, biométricos y en general los relativos a la salud, vida sexual y orientación sexual.

Artículo 9: Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
   1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

PREGUNTAS FRECUENTES:

Si para obtener el consentimiento normal es necesario que el interesado realice una declaración o una clara acción afirmativa ¿qué se precisa para obtener el consentimiento explícito necesario en el tratamiento de datos sensibles?

No necesariamente tiene que ser por escrito, ya que el consentimiento explícito podría ser incluso oral, pero el problema sería más bien de prueba, es decir cómo podemos demostrar que se ha prestado el mismo. También podrá ser electrónico, lo importante es que sea específicamente dado para dicha finalidad y por tanto expresamente se consienta la misma, no puede venir implícito en el acto o en la acción del interesado, debe ser por tanto específico, expreso y explícito.

En la opinión del GT 29 15/2011 se establece que se entiendo por consentimiento explícito o expreso.

Jurídicamente, el término «consentimiento explícito» significa lo mismo que el consentimiento expreso. Abarca todas las situaciones en las que se propone a la persona que consienta o no un uso particular o la difusión de su información personal y la persona responde de forma activa a la pregunta, verbalmente o por escrito. Por lo general, el consentimiento explícito o expreso se da por escrito y se firma a mano. Por ejemplo, se da el consentimiento explícito cuando los interesados firman un formulario de consentimiento que especifica claramente los motivos por los que el responsable del tratamiento desea recopilar y seguir tratando datos personales.

Tradicionalmente, el consentimiento explícito ha sido escrito, en papel o en soporte electrónico, como ya se ha mencionado en el capítulo III.A.2, pero no tiene que ser necesariamente así, ya que también puede ser verbal. Así lo confirma el hecho de que el requisito del consentimiento escrito, que se propuso en el artículo 8, fuera suprimido en la última versión de la Directiva. Ahora bien, como se explica en el mismo capítulo, el consentimiento verbal puede ser difícil de demostrar, por lo que en la práctica se pide a los responsables que utilicen el consentimiento escrito a efectos probatorios.

CONCLUSIONES

• El consentimiento debe de ser una manifestación de voluntad libre.
• Se debe facilitar tantos consentimientos como finalidades existan en el tratamiento.
• El consentimiento tácito o casillas pre marcadas no es válido.
• Tampoco es válido si la prestación del servicio depende del consentimiento.
• Es necesario consentimiento explícito para datos sensibles.