Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

El consentimiento como base legal

Uno de los grandes cambios que introdujo el Reglamento General de Protección de Datos (RGPD) en el tratamiento de datos personales es que ya no caben las formas de «consentimiento tácito». 

El RGPD solo admite la licitud del tratamiento de datos personales basado en la «manifestación libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (artículo 4.11). De modo que, no se admite el consentimiento por omisión, ni por inacción, ni las casillas premarcadas*, que pueden sancionarse con multa de 16.000,00 € como le ocurrió al hospital Recoletas de Ponferrada (fuente aquí).

Para que sea válido, el interesado debe prestar su consentimiento de forma libre, lo que implica que debe haberse obtenido sin la intervención de vicios en los términos regulados por el artículo 1.265 del Código Civil, es decir, ausencia de violencia, intimidación, error y dolo. El consentimiento es realmente libre cuando se ofrece al interesado el control y la capacidad real de elección con respecto a si desea aceptar o rechazar las condiciones ofrecidas o rechazarlas sin penalización o perjuicio.

Consentimiento informado

El consentimiento debe darse antes de que comience la actividad de tratamiento. 

El principio de transparencia exige que la información y las comunicaciones con el interesado sean concisas, transparentes, inteligibles, de fácil acceso, con un lenguaje claro y sencillo, evitando formulas farragosas y circunloquios, dobles enunciados negativos o complejos que puedan inducir a confusión.

La información al interesado puede facilitarse verbalmente o por escrito. No obstante, es aconsejable hacerlo por escrito, dado que la carga de la prueba de que el interesado ha sido informado recae en el responsable del tratamiento, debiendo el interesado acusar recibo de la información recibida. En este sentido, la Sección 1ª de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional señala en su sentencia de 31 de mayo de 2006 que: «Es el responsable del tratamiento a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley». 

En la solicitud de consentimiento se informará al interesado de los siguientes extremos:

  • Identidad del responsable del tratamiento y del delegado de protección de datos, en su caso.
  • Base jurídica que legitima el tratamiento.
  • Finalidad que se persigue.
  • Destinatarios o categorías de destinatarios.
  • De la intención del responsable de transferir los datos personales a un tercer país u organización internacional.
  • Plazo de conservación o los criterios utilizados para determinar dicho plazo.
  • De la existencia del derecho a solicitar al responsable del tratamiento el acceso a la información personal relativa al interesado, a su rectificación o supresión, a la limitación de su tratamiento, a oponerse al mismo y a la portabilidad de los datos.
  • De la existencia de decisiones automatizadas o elaboración de perfiles.
  • De la posibilidad de presentar una reclamación ante la autoridad de control en caso de que el interesado entienda que se están vulnerando sus derechos.

El consentimiento será explícito cuando se traten categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, salud, vida y orientación sexual, datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona física, o infracciones penales y administrativas). También cuando se adopten decisiones automatizadas y en el caso de transferencias internacionales.

La información se pondrá a disposición del interesado en el momento en que se soliciten sus datos, o sea, previamente a la recogida o registro.

Si los datos personales se han obtenido de fuentes de acceso público o de alguna cesión legítima, el responsable del tratamiento informará a los interesados:

  • Antes de un mes desde que se obtuvieron los datos personales.
  • Antes o en la primera comunicación con el interesado.
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.

No será necesario informar al interesado cuando este ya disponga de la información. Tampoco es preciso informarle cuando:

  • La comunicación resulte imposible o suponga un esfuerzo desproporcionado.
  • El registro de los datos esté expresamente establecido por el Derecho de la Unión o de los Estados miembros.
  • Los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.

La forma o modo de informar a los interesados se adaptará a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos. Las formas más habituales de recogida de datos suelen ser formularios en papel, entrevista telefónica, formularios web y registro a través de aplicaciones móviles. 

En cuanto a las formas de comunicación las más habituales son correo postal, mensajería electrónica y notificaciones emergentes en servicios y aplicaciones.

Información por capas

La información se puede ofrecer por capas o niveles. La idea es presentar una información básica en un primer nivel, de forma resumida, en el mismo momento en que se recogen los datos y remitir a la información adicional o ampliada en un segundo nivel, donde se presenta, de forma detallada, el resto de informaciones, en un medio más adecuado para su presentación y comprensión. Por ejemplo, la segunda capa podría encontrarse en la web corporativa.

En la primera capa o nivel, bajo el título «Información básica sobre protección de datos personales», se recomienda presentar cinco epígrafes:

  • Responsable del tratamiento
  • Legitimación
  • Finalidades
  • Destinatarios.
  • Derechos de los usuarios.

A los anteriores, se añadirá el epígrafe Procedencia, cuando los datos tratados no procedan del propio interesado. 

La información que se presente en la segunda capa ha de completar la información resumida en la primera capa. En la segunda capa no se omitirá información por el hecho de que ya se hubiese incluido en la información básica de la primera capa. 

En relación a la información por capas o niveles, recomiendo la lectura de la Guía para el cumplimiento del deber de informar de la AEPD, que pueden consultar haciendo clic aquí.

Tratamientos anteriores al RGPD

Los tratamientos iniciados con anterioridad a la entrada en vigor del RGPD seguirán siendo legítimos, siempre que el consentimiento del interesado se hubiera prestado mediante una manifestación o una acción afirmativa. Si no es así, tendrá que volver a solicitar el consentimiento del interesado o valorar si el tratamiento puede fundamentarse en otra base legal como, por ejemplo, el interés legítimo. 

En el caso de menores, será lícito el tratamiento de sus datos personales cuando el consentimiento lo otorgue un mayor de catorce (14) años, según lo previsto en el artículo 7.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. 

Le corresponde al responsable del tratamiento articular el procedimiento que garantice que se ha comprobado de modo efectivo la edad del menor. Una forma de acreditarlo es unir una fotocopia del documento de identidad a la autorización firmada. 

En cualquier caso, tengan presente que no podrán recabar, a través de un menor de edad, datos sobre los miembros de su unidad familiar, como datos relativos a la actividad laboral de sus padres, información económica, datos sociológicos y similares. Únicamente, se podrán recabar los datos de identidad y dirección de los progenitores o representantes legales, con la única finalidad de solicitar su autorización al tratamiento de los datos del menor.

Más información

Pueden ampliar la información con el informe del Grupo de trabajo del artículo 29 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 que encontrarán haciendo clic aquí.

* El Tribunal de Justicia de la Unión Europea resuelve en la Sentencia de 1 de octubre de 2019 (Asunto C-673/2017) que el consentimiento no es válido cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo del usuario a través de cookies se autoriza mediante «una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento».

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).