El consentimiento del interesado

Comentario de Manuel Castilleja 24 de septiembre de 2024

EL CONSENTIMIENTO DEL INTERESADO

  1. Qué es el consentimiento

El consentimiento del interesado es una de las bases jurídicas en las que puede basarse el tratamiento de datos personales en virtud del art. 6 RGPD y una de las excepciones parar poder tratar datos de categoría especial en virtud del art. 9.2 RGPD.

Lo podríamos definir como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen (art. 4.11 RGPD).

  1. Condiciones para que el consentimiento sea válido

Para que sea válido debería ser:

  • Libre
  • Libre implica elección y control reales por parte de los interesados, por tanto como norma general, si el interesado no es realmente libre para elegir, se siente obligado a dar su consentimiento o puede sufrir consecuencias negativas si no lo da, el consentimiento no puede considerarse válido.
  • Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta:
    • La condicionalidad del consentimiento, en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato o servicio (art. 7.4 RGPD).
    • El posible desequilibrio de poder entre el responsable y el interesado (ej.: empleador-empleado, autoridades públicas) (Cdo. 43)
    • La granularidad del consentimiento, cuando el tratamiento de los datos se realice con fines diversos, y la base jurídica que los ampare sea el consentimiento, la solución para cumplir la condición del consentimiento válido estará en la granularidad, es decir, en la disociación de dichos fines y la obtención del consentimiento para cada uno de ellos. (Cdos. 32 y 43 RGPD)
    • El posible perjuicio para el interesado, el consentimiento no debe considerarse libremente prestado cuando el interesado no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Corresponde al responsable demostrar que es posible negar o retirar el consentimiento sin sufrir perjuicio alguno (considerando 42). Por ejemplo, el responsable del tratamiento debe demostrar que la retirada del consentimiento no conllevará ningún coste para el interesado y, por tanto, ninguna clara desventaja para quienes retiren el consentimiento.
  • Específico
  • El tratamiento de datos personales basado en el consentimiento del interesado solo será lícito si éste lo dio para uno o varios fines específicos, es decir, para cumplir con el carácter de específico un interesado puede elegir con respecto a cada uno de dichos fines (art. 6.1.a RGPD), este requisito está en línea con el requisito de granularidad para obtener el consentimiento libre.
  • Informado
  • Se debe proporcionar a los interesados toda la información que exige el art. 13 RGPD, así como en este caso el derecho a retirar su consentimiento en cualquier momento.
  • Información por capas. Se puede informar facilitando al afectado la información básica del tratamiento e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información (art. 11.1 LOPDGDD). En cualquier caso, el consentimiento siempre debe estar en la primera capa.
  • Inequívoco
  • El consentimiento requiere una declaración del interesado o una clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción o declaración. Debe resultar evidente que el interesado ha dado su consentimiento a una operación concreta de tratamiento de datos.
  • Una “clara acción afirmativa” significa que el interesado debe haber actuado de forma deliberada para dar su consentimiento a ese tratamiento en particular, con una declaración por escrito, por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.(Cdo. 32 RGPD)
  1. Condiciones adicionales
  • Acreditable
    • Corresponde al responsable del tratamiento demostrar que el interesado ha dado su consentimiento a la operación de tratamiento (art. 7.1. y Cdo. 42 RGPD)
    • Según sea el formato en que se ha obtenido el consentimiento, el responsable del tratamiento guardará las pruebas o evidencias necesarias para poder demostrar que lo obtuvo.
  • Revocable
    • El responsable del tratamiento debe garantizar:
      • Que el interesado pueda retirar su consentimiento en cualquier momento y deberá informarle de ello.
      • Que será tan fácil retirarlo como lo fue darlo.
      • Que la revocación del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada (art. 7.3 RGPD).
  1. Menores
  • El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años, salvo los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
  • El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela. (art. 8 LOPDGDD)
  1. Consentimiento explícito

En determinadas situaciones en las que existe un grave riesgo en relación con la protección de los datos y en las que se considera adecuado que exista un elevado nivel de control sobre los mismos, se requiere que además de los requisitos enumerados en el apartado anterior, el consentimiento sea explícito:

  • Para levantar la prohibición de tratar datos de categoría especial (art. 9.2.a RGPD)
  • Para poder llevar a cabo una decisión automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar (art. 22.2.c RGPD).
  • Cuando en ausencia de una decisión de adecuación o de garantías adecuadas se pretenda realizar una transferencia internacional solicitando previamente al interesado su consentimiento explícito, tras haber sido informado de los posibles riesgos para él (art. 49.1.a RGPD)

El término explícito significa que el interesado debe realizar una declaración expresa de consentimiento. Una manera evidente de garantizar que el consentimiento es explícito sería confirmar de manera expresa dicho consentimiento en una declaración escrita, con el fin de eliminar cualquier posible duda o falta de prueba en el futuro.

No obstante, dicha declaración firmada no es el único modo de obtener el consentimiento explícito y no puede decirse que el RGPD prescriba declaraciones escritas y firmadas en todas las circunstancias que requieran un consentimiento explícito válido. Algún ejemplo de otras fórmulas:

  • En el contexto digital u online, un interesado puede emitir la declaración requerida cumplimentando un impreso electrónico, enviando un correo electrónico, cargando un documento escaneado con su firma o utilizando una firma electrónica.
  • La verificación del consentimiento en dos fases también puede ser una forma de garantizar que el consentimiento explícito sea válido.
  1. Algunas fórmulas para solicitar el consentimiento
  • Formulario de datos con un apartado de protección de datos

Deberá disponer de un apartado claramente distinguible en el que se facilite toda la información relativa al tratamiento o el sistema de información por capas expuesto anteriormente en el punto 2 y se solicite el consentimiento para tratar los datos personales para unos fines determinados.

  • Circular específica en un solo documento con la información sobre el tratamiento de datos

Deberá disponer de un apartado claramente distinguible en el que se facilite toda la información relativa al tratamiento o el sistema de información por capas expuesto anteriormente en el punto 2 y se solicite el consentimiento para tratar los datos personales para unos fines determinados.

  • Documento que también se refiera a otros asuntos

En este caso, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del Reglamento (art. 7.2 RGPD).

  • Casillas o botones específicos en el entorno digital

Las casillas o botones específicos para solicitar el consentimiento no deben estar premarcadas de forma predeterminada y siempre deben tener las opciones de “Sí” y “No” consiento en el caso de casillas o “Acepto” y “Rechazo” en el caso de botones, para asegurarnos que la elección es inequívoca.

  • A través de una llamada telefónica:

También se puede también obtener el consentimiento mediante una conversación telefónica, siempre que se facilite toda la información relativa al tratamiento o el sistema de información por capas expuesto anteriormente en el punto 2 y la información sobre las opciones sea inteligible y clara y pida una confirmación específica del interesado (por ejemplo, pulsando un botón o proporcionando confirmación verbal).

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido