Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Olvídense del “consentimiento tácito”

Uno de los grandes cambios que introdujo el Reglamento General de Protección de Datos (RGPD) en el tratamiento de datos personales es que ya no caben las llamadas formas de “consentimiento tácito”. 

El RGPD solo admite la licitud del tratamiento de datos personales basado en la «manifestación libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (artículo 4 apartado 11). De modo que no se admite el consentimiento por omisión, ni por inacción, ni las casillas premarcadas*.

El principio de transparencia exige que la información y las comunicaciones con el interesado sean concisas, transparentes, inteligibles, de fácil acceso, con un lenguaje claro y sencillo, evitando formulas farragosas y circunloquios, dobles enunciados negativos o complejos que puedan inducir a confusión.

La información puede facilitarse por escrito o verbalmente si lo solicita el interesado, aunque es aconsejable que se deje constancia por escrito, dado que la carga de la prueba la soporta el responsable del tratamiento.

En la solicitud de consentimiento se informará al interesado:

  • De la identidad del responsable del tratamiento y del delegado de protección de datos, si se hubiere designado.
  • De la base jurídica que legitima el tratamiento.
  • De la finalidad que se persigue.
  • De las categorías de datos personales de que se trate.
  • De la posibilidad de ejercer los derechos previstos en los artículos 15 a 22 del RGPD y cómo ejercitarlos.
  • Si se tiene prevista la cesión o comunicación de los datos a terceros, así como la realización de transferencias internacionales.
  • Del plazo de conservación o los criterios utilizados para determinar dicho plazo.
  • De la existencia de decisiones automatizadas o elaboración de perfiles.
  • De la posibilidad de presentar una reclamación ante la autoridad de control en caso de que el interesado entienda que se están vulnerando sus derechos.
  • Si los datos no se obtuvieron del interesado, además se le informará del origen de dichos datos.
  • También se informará al interesado que tiene derecho a retirar su consentimiento en cualquier momento, si bien la retirada del consentimiento no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada. Será tan fácil retirar el consentimiento como darlo.

El consentimiento será explícito cuando se traten categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, salud, vida y orientación sexual, datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona física, o infracciones penales y administrativas). También cuando se adopten decisiones automatizadas y en el caso de transferencias internacionales.

La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.

En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el responsable del tratamiento informará a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales.
  • Antes o en la primera comunicación con el interesado.
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.

No será necesario informar al interesado cuando este ya disponga de la información. Tampoco es preciso informarle cuando:

  • La comunicación resulte imposible o suponga un esfuerzo desproporcionado.
  • El registro de los datos esté expresamente establecido por el Derecho de la Unión o de los Estados miembros.
  • Los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.

Los procedimientos de recogida de información pueden ser muy variados y, en consecuencia, los modos de informar a las personas interesadas deben adaptarse a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos. Algunas de las formas más habituales de recogida de datos suelen ser: formularios en papel, entrevista telefónica, formularios web y registro a través de aplicaciones móviles. 

En cuanto a las formas de comunicación las habituales son correo postal, mensajería electrónica y notificaciones emergentes en servicios y aplicaciones.

La información se puede ofrecer por capas o niveles. La idea es presentar una información básica en un primer nivel, de forma resumida, en el mismo momento en que se recogen los datos y remitir a la información adicional o ampliada en un segundo nivel, donde se presenta, de forma detallada, el resto de informaciones, en un medio más adecuado para su presentación y comprensión. Por ejemplo, la segunda capa podría encontrarse en la web corporativa.

En la primera capa o nivel, bajo el título “Información básica sobre protección de datos” se recomienda presentar cinco epígrafes: “Responsable”, “Finalidad”, “Legitimación”, “Destinatarios” y “Derechos”, añadiendo el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado. La forma de presentación preferente de esta primera capa será en forma de tabla.

La información que se presente en la segunda capa ha de completar con todos los detalles la información resumida, así como añadir la información adicional, requerida por el RGPD y que no estaba presente en la primera capa. La información ofrecida en esta segunda capa debe ser completa, es decir, no se omitirá información por el hecho de que ya se hubiese incluido en la información básica de la primera capa. 

En relación a la información por capas o niveles, recomiendo la lectura de la guía publicada por la AEPD en el siguiente enlace:

https://www.aepd.es/sites/default/files/2019-09/guia-modelo-clausula-informativa.pdf

Los tratamientos iniciados con anterioridad a la entrada en vigor del RGPD seguirán siendo legítimos, siempre que el consentimiento del interesado se hubiera prestado mediante una manifestación o acción afirmativa. Si no es así, tendrá que volver a solicitar el consentimiento del interesado o valorar si el tratamiento puede fundamentarse en otra base legal como, por ejemplo, el interés legítimo. 

En el caso de los menores de edad, será lícito el tratamiento de sus datos personales cuando el consentimiento lo otorgue un mayor de catorce (14) años, según lo previsto en el artículo 7 apartado 1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Por regla general, la edad para contratar son los 18 años, antes de la mayoría de edad se requiere la asistencia de los padres o tutores para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento. 

Le corresponde al responsable del tratamiento articular el procedimiento que garantice que se ha comprobado de modo efectivo la edad del menor, así como la autenticidad del consentimiento de sus padres o representantes legales. Lo aconsejable es fotocopiar el documento de identidad del menor y adjuntarlo al escrito en el que prestó su consentimiento.

Tengan presente que no se podrá recabar a través de un menor de edad datos sobre los miembros de su unidad familiar, como datos relativos a la actividad laboral de sus padres, información económica, datos sociológicos y similares. Tan solo se podrá recabar los datos de identidad y dirección de los progenitores o representantes legales con la única finalidad de solicitar su autorización al tratamiento de los datos del menor.

En la práctica, el tema del consentimiento es uno de los que más controversias genera, pero si siguen los principios y reglas anteriores no tendrán mayores problemas.

* El Tribunal de Justicia de la Unión Europea en su sentencia de fecha 1 de octubre de 2019 (Asunto C-673/2017) resuelve que el consentimiento no es válido cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo del usuario a través de cookies se autoriza mediante «una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento». Les dejo un enlace a la publicación de la sentencia, por si quieren ahondar en el tema:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=1425833

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual