“El RGPD no acepta la inactividad; la petición de consentimiento ha de ser clara y concreta” (Resolución PS-00187-2019 de la AEPD). Esto significa que ya no valen los formularios con trucos y ambigüedades. En una reciente resolución, la AEPD ha sancionado con 48 000 euros a una empresa hospitalaria por utilizar formularios no adaptados al RGPD . Toda una llamada de atención a todos aquellos centros que le restan importancia a la actualización de los formularios y cláusulas.

El caso, cuya resolución se ha conocido esta semana, parte de una denuncia presentada en enero de 2019. La denunciante solicitó el ingreso en urgencias de un hospital. Allí le entregaron un formulario de recogida de datos (Solicitud de Ingreso Urgente) en el que se le solicitaba su consentimiento para el tratamiento de sus datos personales. El formulario contenía estas tres cláusulas:

  • Si no desea que se facilite esta información a terceros, marque esta casilla
  • Asimismo, y salvo indicación expresa, autorizo al responsable del fichero […], a la utilización de los datos personales del paciente para el envío de información de sus productos y servicios, pudiendo revocar dicho consentimiento en cualquier momento. Si no desea autorizar el envío de publicidad, marque esta casilla

Este método recaba el consentimiento mediante la inacción del interesado. Es decir, si la paciente no hace nada, estará aceptando todo lo que digan cada una de las cláusulas. Esto es totalmente contrario al RGPD. Según la nueva normativa, de aplicación desde mayo de 2018 y en vigor desde mayo 2016, de la inacción de una persona no puede deducirse el consentimiento.

¿Cómo corregir los formularios no adaptados al RGPD?

El consentimiento solo puede venir de una acción afirmativa. En este caso el formulario debería haber cambiado el planteamiento negativo de las cláusulas. En lugar de poner “Si no desea” debería haber puesto “Si desea”. De haberlo hecho así, la paciente habría tenido que marcar las casillas correspondientes para dar su consentimiento y esto se consideraría acción afirmativa.

Este tipo de formularios eran muy frecuentes en la era pre-RGPD, pero hoy son considerados por la AEPD como obsoletos y contrarios a la ley. La mejor prueba es la sanción de 60 000 euros impuesta que se vio reducida a 48 000 por reconocer su responsabilidad la empresa infractora. Este reconocimiento lleva aparejada una reducción del 20% sobre la sanción.

La AEPD considera en su resolución que se trata de una infracción tipificada en el artículo 83.5 del RGPD y considera que vulnera “los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9”. Asimismo, cita los artículos 71 y 72 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

En la estimación de la sanción, la AEPD ha valorado positivamente que no se aprecia que actuase dolosamente sino con negligencia. También destaca que se han tomado medidas para evitar que se vuelvan a producir incidencias como la que dio origen a la denuncia.