Consentimiento Expreso: Qué es y cómo conseguirlo para el tratamiento de datos de carácter personal

En la mayoría de nuestros artículos sobre protección de datos, siempre hacemos mención sobre la necesidad de recabar el consentimiento expreso para el tratamiento de los datos de carácter personal, pero ¿qué es exactamente el consentimiento expreso? ¿Y cómo podemos recabarlo? En las siguientes líneas daremos respuesta a estas y otras preguntas sobre el consentimiento expreso en protección de datos.

¿Qué es el consentimiento expreso?

El consentimiento expreso es aquel que se otorga de forma concreta, explícita y directa, pudiendo registrarse de una o varias maneras que no dejen lugar a dudas. Lo más habitual es darlo mediante la firma de algún documento oficial o cláusula, para que las partes puedan acudir a él en el futuro en caso de desacuerdo.

El consentimiento expreso en el RGPD no viene definido como tal, pero en el artículo 4.11 se alude a él, puesto que nos dice que el consentimiento es:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

El consentimiento expreso en el RGPD y la LOPDGDD

El consentimiento RGPD en protección de datos, solo es válido cuando se trata de consentimiento expreso, por lo tanto, cualquier otro tipo de consentimiento, como el consentimiento tácito o presunto, no tienen ninguna validez y no es admitido como base legitimadora para el tratamiento de datos personales.

Además, el consentimiento, como hemos visto en la definición que hace el RGPD de él, debe ser informado, es decir, el interesado debe estar al tanto de todo lo relacionado con el tratamiento y gestión de sus datos personales (identidad del responsable, finalidad, plazos de conservación, etc.), así como libre (es decir, no puede estar condicionado), especificar para qué finalidades se está dando e inequívoco.

Así mismo, el consentimiento expreso siempre debe recabarse con carácter previo al tratamiento de datos personales. Y debe poder revocarse con la misma facilidad con la que se concedió, en cualquier momento.

Ejemplos de consentimiento expreso

Un ejemplo de consentimiento expreso es cuando un formulario web cuenta con una casilla o checkbox desmarcada junto a la leyenda «Acepto la política de privacidad» y el usuario debe marcarla para aceptar dicha política.

Otro ejemplo de consentimiento expreso es la cláusula informativa sobre protección de datos que se incluye en los contratos de prestación de servicios y que el interesado debe firmar para aceptar.

La configuración de las cookies de las páginas web por parte del usuario, es otro ejemplo más de consentimiento expreso, puesto que este puede activarlas o desactivarlas a su gusto.

Un último ejemplo lo tenemos en las llamadas telefónicas a atención al cliente o al servicio técnico, donde una locución nos advierte e informar de que nuestros datos van a ser tratados y nos pregunta si estamos de acuerdo con ello.

¿Cuándo es necesario el consentimiento expreso según el RGPD?

El consentimiento expreso en protección de datos debe recabarse en las siguientes situaciones:

• Cuando la licitud del tratamiento de datos personales sea el consentimiento (no concurran alguno de los supuestos contemplados en los artículos 6 y 9 del RGPD).
• Siempre que se traten datos de categorías especiales, incluidos los relativos a la salud (artículo 9 del RGPD).
• Se traten datos de menores de edad.
• Si una página web, independientemente de su tipo o propósito, recoge datos personales a través de formularios (como el de suscripción o el de solicitud de más información)
• Si se recogen datos de empleados que no son necesarios para el cumplimiento de las obligaciones de la relación contractual.
• Se recaben datos biométricos (como la huella dactilar para acceder a zonas determinadas).
• Es necesario contar con el consentimiento en una comunidad de propietarios cuando el administrador de la misma vaya a ceder datos de estos a terceros.

¿Cómo conseguir el consentimiento expreso para el tratamiento de datos personales?

Ya hemos adelantado en parte cómo conseguir el consentimiento expreso LOPD / RGPD; es necesario que facilitemos a los interesados un medio mediante el cual puedan dar, a través de una acción positiva o afirmativa, su consentimiento para el tratamiento de datos personales, por ejemplo, puede ser un anexo en un contrato, o una cláusula sobre protección de datos o una casilla desmarcada que haga referencia a la política de privacidad o un banner de cookies.

La forma de recabar el consentimiento expreso dependerá del medio a través del cual se solicite, para qué se solicite o incluso de la edad del interesado. Existen diferentes formas de conseguir el consentimiento expreso de clientes, empleados, usuarios, proveedores, etc. Lo que siempre debemos tener presente es que ese consentimiento debe quedar registrado y almacenado en nuestro sistema o archivo, porque se nos puede solicitar en el curso de una inspección de la AEPD.

A continuación vamos a ver cómo recabar el consentimiento expreso en diferentes medios y situaciones:

– En páginas web

Para solicitar el consentimiento expreso de clientes en páginas web que incluyan formularios, este puede conseguirse a través del marcado de casilla correspondiente o mediante un botón de «acepto», si bien, previamente, el interesado ha debido de ser informado sobre cómo y para qué se van a recoger sus datos y qué datos son los que se van a recabar. Esta información se suministra en la política de privacidad y en la política de cookies de la web.

– En redes sociales

Las redes sociales deben recabar el consentimiento previo de los interesados para llevar a cabo el tratamiento de sus datos (este proceso se lleva a cabo durante el proceso de suscripción o creación de la cuenta de usuario).

Por otro lado, nadie podrá publicar imágenes o vídeos de terceras personas en redes sociales sin haber conseguido previamente su consentimiento expreso. En ningún caso podemos hacer una foto o grabar un vídeo de una persona en la calle o en un establecimiento público o privado y después subirla a redes sociales, sin que esa persona haya dado su consentimiento para ello.

Si se va a llevar a cabo un sorteo a través de una red social, se debe recabar el consentimiento expreso de los participantes, informándoles previamente de:

• La finalidad para la que se recaban los datos.
• Quiénes son los destinatarios que recibirán esos datos.
• Nombre y dirección del responsable de tratamiento de los datos.
• Dónde y cómo pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).

– A trabajadores

En el caso de que se vayan a recabar datos personales de los trabajadores que no tengan ninguna finalidad dentro de la relación contractual, será obligatorio recabar el consentimiento expreso del trabajador para recoger y tratar dichos datos. Así mismo, se le debe informar de cómo y dónde puede ejercer sus derechos ARSULIPO.

Además de esto, hay que tener en cuenta otras consideraciones. Entre ellas, que la información personal que pueda publicarse en el tablón de anuncios de la empresa, debe contar con el consentimiento expreso de los trabajadores. Para recogerlo, se incluirá una cláusula de información y de consentimiento en el contrato laboral, que deberá ser firmada por el trabajador.

La instalación de cámaras de seguridad que graben a los empleados en sus puestos de trabajo está permitida, puesto que queda dentro de la facultad de dirección del empresario, siempre y cuando su finalidad esté limitada al que prevé el Estatuto de los Trabajadores, es decir, que sirva para «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Además, los trabajadores deben estar informados de la presencia de las cámaras.

Sin embargo, no se contempla como lícito grabar conversaciones en el centro de trabajo sin el consentimiento expreso de los trabajadores.

– En sanidad

Dado que los datos relacionados con la salud están especialmente protegidos de acuerdo al RGPD, para poder recogerlos y tratarlos cuando la base legitimadora del tratamiento no está contemplada en los supuestos del artículo 9.2 del RGPD o por la prestación de asistencia sanitaria, siempre será necesario recabar el consentimiento expreso del interesado.

– A menores

La edad mínima de consentimiento para el tratamiento de datos personales en España es de 14 años, por lo que para los menores de esa edad, es necesario que sus padres o tutores legales den dicho consentimiento.

Aparte de esto, el RGPD establece que a la hora de recabar los datos de menores, confeccionar perfiles u otras situaciones que impliquen la responsabilidad del tratamiento de datos personales de menores de edad, se deben tener en cuenta estas consideraciones:

• Si los servicios están dirigidos específicamente a ellos, la información previa que se les debe facilitar, debe no solo ser clara y específica, sino estar adaptada a sus capacidades cognitivas.
• Los plazos mínimos de conservación serán menores que los establecidos para los adultos.
• Se dará derecho al interesado a revocar o cancelar el consentimiento cuando se convierta en adulto, especialmente en el caso de menores de 14 años, donde son los padres o tutores legales los que conceden el consentimiento en nombre del menor.
• No se podrán tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad que puedan tener efectos jurídicos vinculantes.
• En el caso de padres divorciados, puesto que se considera (generalmente) que la patria potestad la comparten ambos progenitores, el consentimiento para el tratamiento de los datos del menor debe darse por parte de ambos padres.

Modelo de consentimiento expreso

A continuación podéis ver un ejemplo de modelo de consentimiento expreso para un formulario de contacto en una página web.

¿Dónde almacenar el consentimiento expreso recabado de los interesados?

Como ya indicamos más arriba, el consentimiento expreso debe quedar almacenado porque el responsable debe ser capaz de demostrar que recabó dicho consentimiento del interesado de acuerdo a lo establecido en la normativa, puesto que el uso de datos personales sin consentimiento es motivo de sanción por parte de la AEPD (con multas que pueden alcanzar hasta los 20 millones de euros).

Si bien no existe un procedimiento estandarizado para almacenar el consentimiento RGPD, a la hora de obtener el consentimiento de los interesados, se debe generar un justificante del mismo, que podrá ser almacenado tanto por medios electrónicos en una base de datos como de forma física en ficheros.

Un software de gestión RGPD resultará un gran apoyo para la gestión y almacenamiento del consentimiento expreso para los tratamientos de datos que realice la empresa, puesto que cuenta con herramientas que se ocuparán tanto de generar los correspondientes impresos o formularios de consentimiento como para registrarlos y guardarlos en su correspondiente archivo, permitiendo un acceso rápido a los mismos, en caso de que los solicite la AEPD.

Este tipo de software puede conseguirse, por ejemplo, al contratar protección de datos con una consultoría como Grupo Atico34, que ofrece a sus clientes un completo software para la gestión del RGPD y la LOPDGDD.

¿Siempre es obligatorio recabar el consentimiento expreso?

Aunque el consentimiento expreso es la primera base legitimadora para el tratamiento de datos personales, no siempre es obligatorio recabarlo, ya que el RGPD contempla una serie de supuestos en los que el tratamiento de datos personales puede legitimarse sobre otras bases jurídicas.

Estos supuestos están recogidos en el artículo 6.1 (letras b, c, d, e y f) y en el artículo 9.2 del RGPD.

Fuera de estos supuestos, siempre será necesario recabar el consentimiento expreso de los interesados en la forma que hemos descrito a lo largo de este artículo.