Cambios en el consentimiento tras la entrada en aplicación del RGPD

Son importantes los cambios a la hora de obtener el consentimiento con el Nuevo Reglamento Europeo de protección de datos, ya que su artículo 32 recoge:

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”.

El consentimiento ha de ser inequívoco, prestado mediante una acción clara afirmativa, no se admiten formas de consentimiento tácito o por omisión.  Debe de prestarse además para cada finalidad, por separado. No caben consentimientos prestados en bloque.

Además de inequívoco debe ser explícito en algunos casos:

  • Tratamiento de datos sensibles
  • Adopción de decisiones automatizadas
  • Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Surgen dudas respecto de la recogida de los consentimientos previos al Nuevo Reglamento Europeo de protección de datos. Así, será importante aclarar, que los tratamientos iniciados con anterioridad al inicio de la aplicación del Nuevo Reglamento, sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Puntos claves del consentimiento en el RGPD

Libre: es decir, debe de tener opción de aceptar o no, sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil. Además, el interesado puede retirar el consentimiento en cualquier momento y debe poder hacerlo con la misma facilidad que para darlo.

Específico: referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento. En ningún caso se puede ampliar la finalidad una vez el usuario ha consentido la recogida y el tratamiento de sus datos. Si hubiese más de un fin para los datos, deberá solicitarse para cada uno de ellos.

Informado, es decir, que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce.

Inequívoco: no se puede deducir el consentimiento de determinados actos que realice el usuario, es decir, de un “consentimiento presunto” como puede “el silencio, las casillas ya marcadas o la inacción”. Es necesario que exprese claramente una acción que implique que hay consentimiento. No son válidas aceptaciones tácitas como ocurría hasta ahora en la LOPD con casillas ya marcadas

Lenguaje claro y sencillo: Lenguaje fácilmente comprensible

Elementos claves a la hora de informar y obtener el Consentimiento

Identificación del Responsable de Tratamiento: Informar sobre la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento

Finalidades: Informar sobre el uso o tratamiento de los datos. En el caso de diferentes finalidades la información debe de prestarse de manera separada, recogiendo la autorización para cada una de las finalidades.

Legitimación: Informar sobre cuál es la base del tratamiento de sus datos, consentimiento del interesado, cesión por terceros, interés legítimo, necesidad del tratamiento para la ejecución de un contrato, obtención a través guía publica….

Destinatarios: Informar sobre la posible cesión de los datos a empresas del grupo o a otras entidades.

Derechos: Informar sobre los derechos de las personas respecto de sus datos, acceso, rectificación, limitación, portabilidad, olvido, cancelación

Información Adicional: Informar de manera más extensa sobre la política de protección de datos, en información adicional en Políticas de privacidad de las páginas Web, o en documentación en segunda capa a solicitar por el interesado/a

Recomendación

No seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del Nuevo Reglamento Europeo de protección de datos.