Si queremos utilizar el consentimiento como base para el tratamiento de datos personales, el Reglamento General de Protección de Datos (RGPD) nos pone el listón alto. Necesitamos métodos que permitan una selección más avanzada a la hora de recabar el consentimiento (no sólo la opción binaria sí/no), necesitamos herramientas sencillas que den la posibilidad al interesado de revocar su consentimiento y necesitamos documentar adecuadamente ese consentimiento.

Y precisamente de este último punto -la documentación del consentimiento- vamos a hablar en este post.

El artículo 7.1 del RGPD dice:

Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Esto significa que debemos tener una documentación efectiva que recoja el cómo y el cuándo ese consentimiento fue proporcionado por el sujeto, de modo que podamos mostrarla como prueba si es necesario. Esta documentación debe ser conservada mientras todavía se procesen datos relativos a ese consentimiento.

Una buena documentación nos ayudará también a llevar un control del consentimiento y, en caso de ser necesario, nos permitirá identificar más fácilmente la necesidad de renovarlo o ampliarlo.

Una buena documentación de consentimiento debería contener la siguiente información:

  • Quién da el consentimiento: el nombre del sujeto o cualquier otro dato identificativo (nombre de usuario, número de identificación).
  • Cuándo dio el consentimiento: una copia documental con fecha o un registro digital que incluya una entrada de fecha. En el caso de consentimiento sea verbal, una nota con la hora y fecha en la que tuvo lugar la conversación.
  • La información que se le dio al interesado: debemos mantener una copia del documento que contenía la declaración de consentimiento así como una referencia a la política de privacidad aplicable en el momento en el que se recabó el consentimiento. Si el consentimiento fue verbal, se debe conservar una copia escrita de lo que se le dijo al sujeto.
  • Cómo se dio el consentimiento: para consentimiento escrito, una copia del documento. Si el consentimiento se ha obtenido por medios digitales, la documentación debe incluir los datos proporcionados y la fecha y hora. Si el consentimiento ha sido verbal, debemos crear una nota con la fecha y hora y los detalles de cómo se proporcionó el consentimiento.
  • Si el consentimiento ha sido revocado: y si ha sido así, cómo y cuándo.

Es importante señalar que la documentación sobre consentimiento deber ser completa y granular con todos los detalles sobre a qué tratamiento se consiente. De este modo podremos probar el tipo de tratamiento que el consentimiento cubre.

En el caso de la documentación digital, esta debe almacenarse con un nivel de protección criptográfica que proteja su integridad.