Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

El consentimiento como base legal

El tratamiento de datos personales es lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos, de conformidad con el artículo 6, apartado 1, letra a) del RGPD.

Uno de los grandes cambios introducidos por el Reglamento General de Protección de Datos (RGPD) en el tratamiento de datos personales es la eliminación de las formas de «consentimiento tácito».

El RGPD solo reconoce como válido el consentimiento que constituya una «manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (artículo 4, apartado 11). Por tanto, no se admite el consentimiento por omisión, por inacción ni mediante casillas premarcadas. 

El Tribunal de Justicia de la Unión Europea, en su sentencia de 1 de octubre de 2019 (asunto C-673/2017) declaró que el consentimiento no es válido cuando el almacenamiento de información o el acceso a información ya almacenada en el equipo del usuario (cookies) se autoriza «una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento».

Para que el consentimiento sea válido debe ser, además de específico, informado e inequívoco, libre. Esto implica que debe prestarse sin vicios (error, dolo, violencia o intimidación) y que el interesado debe tener un control real y una genuina capacidad de elección, sin que el rechazo del consentimiento suponga una penalización o un perjuicio significativo.

Consentimiento informado

El consentimiento debe obtenerse antes de iniciar el tratamiento de datos.

El principio de transparencia exige que la información dirigida al interesado sea concisa, transparente, inteligible, fácilmente accesible y redactada en un lenguaje claro y sencillo, evitando términos jurídicos complejos, circunloquios, dobles negaciones o estructuras sintácticas confusas.

La información puede facilitarse por escrito o verbalmente. No obstante, se recomienda hacerlo por escrito (o mediante registro electrónico auditable), ya que la carga de la prueba de que el interesado ha sido correctamente informado recae en el responsable del tratamiento. La Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 1ª, Sentencia de 31 de mayo de 2006 (Rec. 539/2004) señala: «Es el responsable del tratamiento a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración encargada de velar por el cumplimiento de la ley». 

En la solicitud de consentimiento deberá informarse al interesado, al menos, sobre los siguientes extremos:

  • Identidad del responsable del tratamiento y del delegado de protección de datos, en su caso
  • Base jurídica que legitima el tratamiento
  • Finalidad que se persigue
  • Destinatarios o categorías de destinatarios
  • Intención del responsable de transferir los datos personales a un tercer país u organización internacional
  • Plazo de conservación o los criterios utilizados para determinar dicho plazo
  • Existencia del derecho a solicitar al responsable del tratamiento el acceso a la información personal relativa al interesado, su rectificación o supresión, la limitación de su tratamiento, oponerse al mismo y la portabilidad de los datos
  • Existencia de decisiones automatizadas o elaboración de perfiles.
  • Posibilidad de presentar una reclamación ante la autoridad de control en caso de que el interesado considere que se están vulnerando sus derechos

El consentimiento será explícito cuando se traten categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, salud, vida y orientación sexual, datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona física, o infracciones penales y administrativas). También cuando se adopten decisiones automatizadas (art. 22.2.c) y en el caso de transferencias internacionales (art. 49.1.a).

La información debe facilitarse en el momento de la recogida de los datos o, cuando estos se obtengan de otra fuente, en los plazos establecidos en el artículo 14 del RGPD.

Datos obtenidos de fuentes distintas del interesado

Cuando los datos personales no se hayan obtenido directamente del interesado, el responsable del tratamiento deberá informarle en los siguientes plazos (el que antes se cumpla):

  • En el plazo de un mes desde la obtención de los datos.
  • Si se van a utilizar para comunicarse con el interesado, a más tardar en la primera comunicación.
  • Si se prevé comunicarlos a otro destinatario, a más tardar en el momento de la primera comunicación.

No será necesario informar al interesado en los siguientes casos:

  • Cuando ya disponga de la información.
  • Cuando la comunicación resulte imposible o suponga un esfuerzo desproporcionado.
  • Cuando el registro de los datos esté expresamente establecido por el Derecho de la Unión o de los Estados miembros.
  • Cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.

La manera de informar a los interesados ​​se ajustará a las características de cada medio utilizado para la recopilación o registro de datos. Entre los métodos más comunes para obtener datos se encuentran los formularios en papel, las entrevistas telefónicas, los formularios web y los registros mediante aplicaciones móviles.

Respecto a las formas de comunicación, las más habituales son el correo postal, la mensajería electrónica y las notificaciones emergentes en servicios y aplicaciones.

Información por capas

Es una práctica recomendada y ampliamente aceptada por la AEPD presentar la información en dos capas. En la primera capa se ofrece una información básica y resumida, proporcionada en el mismo momento y lugar en que se recogen los datos, con un enlace o referencia a la segunda capa. Esta segunda capa contendrá la información detallada, presentada en un formato más adecuado para su comprensión, como la web corporativa.

En la primera capa, bajo el título «Información básica sobre protección de datos personales», se presentarán los siguientes puntos:

  • Responsable del tratamiento
  • Finalidades del tratamiento
  • Legitimación
  • Destinatarios
  • Derechos del interesado
  • Procedencia de los datos (cuando no se obtengan del propio interesado)
  • Información adicional (enlace)

La información de la segunda capa debe ser completa y no puede omitir ningún elemento por el hecho de haber aparecido resumido en la primera capa.

En relación con la información por capas o niveles, recomiendo la lectura de la Guía para el cumplimiento del deber de informar de la AEPD, disponible aquí.

Tratamientos anteriores al RGPD

Los tratamientos iniciados con anterioridad al RGPD seguirán siendo lícitos si el consentimiento se obtuvo mediante una manifestación o una clara acción afirmativa conforme a los nuevos estándares. En caso contrario, será necesario volver a solicitar el consentimiento o fundamentar el tratamiento en otra base jurídica (por ejemplo, interés legítimo, obligación legal, etc.).

Tratamiento de datos de menores

Según el artículo 7 de la LOPDGDD, el tratamiento de datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela.

En todo caso, está prohibido recabar a través del menor datos relativos a otros miembros de la unidad familiar (situación económica, profesión de los progenitores, etc.) sin el consentimiento expreso de estos. Solo podrán recabarse los datos de identidad y contacto de los padres o tutores con la exclusiva finalidad de obtener su autorización.

Más información

Puede ampliar la información con el informe del Grupo de Trabajo del Artículo 29 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, disponible aquí .

No se pierda nuestro podcast sobre el artículo

 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es