Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Consentimiento Expreso ¿Qué es y cómo conseguirlo?

En muchos de nuestros artículos sobre protección de datos, mencionamos el consentimiento expreso, ¿pero qué es exactamente?, ¿cuándo es necesario recabarlo?, ¿cómo se puede recabar? En las siguientes líneas damos respuesta a estas y otras preguntas y os dejamos varios ejemplos de consentimiento expreso.

¿Qué es el consentimiento expreso?

El consentimiento expreso es aquel que se otorga de forma concreta, explícita y directa, pudiendo registrarse de una o varias maneras que no dejen lugar a dudas. Lo más habitual es darlo mediante la firma de algún documento oficial o cláusula, para que las partes puedan acudir a él en el futuro en caso de desacuerdo.

El consentimiento expreso se emplea en diferentes ámbitos para dar validez a un acuerdo entre diferentes partes, ya que queda registrado y da seguridad jurídica a las partes implicadas, puesto que cualquiera de ellas puede acudir al soporte en que haya quedado registrado en caso de problemas o desacuerdos que puedan producirse en una relación laboral, contractual, comercial, etc.

Aunque la forma más habitual es el consentimiento expreso y por escrito, lo cierto es que también se admiten los consentimientos verbales que queden grabados o registrados en un soporte de audio o audiovisual (como puede ser la grabación de una llamada telefónica o de una videollamada).

En el ámbito de la protección de datos, el consentimiento expreso es sumamente importante; el RGPD ya nos dice en su artículo 4.11 que el consentimiento es:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Por lo tanto, el consentimiento RGPD en protección de datos solo se considera válido cuando se trata de consentimiento expreso, sin que el consentimiento tácito, presunto o implícito tengan ya ninguna validez (aquí encontraréis un ejemplo de consentimiento tácito para que podáis ver la diferencia con el consentimiento expreso).

tarifas proteccion datos

Ejemplos de consentimiento expreso

Entre los ejemplos de consentimiento expreso más habituales está la firma de un contrato; la firma es una acción afirmativa que queda plasmada en el documento, en este caso el contrato, y requiere que una o varias partes firmen. Cada parte, además, se queda con una copia del contrato.

Si nos vamos al ámbito de la protección de datos, un primer ejemplo de consentimiento expreso lo tenemos en los formularios web que tienen una casilla o checkbox desmarcada junto a la leyenda «Acepto la política de privacidad», que el usuario debe marcar para aceptar dicha política.

Otro ejemplo de consentimiento expreso es la cláusula informativa sobre protección de datos que se incluye en los contratos de prestación de servicios y que el interesado debe firmar para aceptar.

La configuración de las cookies de las páginas web por parte del usuario, es otro ejemplo más de consentimiento expreso, puesto que este puede activarlas o desactivarlas a su gusto.

Un último ejemplo lo tenemos en las llamadas telefónicas a atención al cliente o al servicio técnico, donde una locución nos advierte e informar de que nuestros datos van a ser tratados y nos pregunta si estamos de acuerdo con ello.

¿Cuándo es necesario el consentimiento expreso?

El consentimiento expreso se debe recoger cuando es necesario tener una seguridad y validez legal que respalde un acuerdo.

El consentimiento expreso en protección de datos, que es lo que nos ocupa, es necesario en las siguientes circunstancias:

  • Cuando la licitud del tratamiento de datos personales sea el consentimiento (no concurran alguno de los supuestos contemplados en los artículos 6 y 9 del RGPD).
  • Siempre que se traten datos de categorías especiales, incluidos los relativos a la salud (artículo 9 del RGPD).
  • Se traten datos de menores de edad.
  • Si una página web, independientemente de su tipo o propósito, recoge datos personales a través de formularios (como el de suscripción o el de solicitud de más información)
  • Si se recogen datos de empleados que no son necesarios para el cumplimiento de las obligaciones de la relación contractual.
  • Se recaben datos biométricos (como la huella dactilar para acceder a zonas determinadas).
  • Es necesario contar con el consentimiento en una comunidad de propietarios cuando el administrador de la misma vaya a ceder datos de estos a terceros.
Solicitar consentimiento expreso

¿Cuándo solicitar consentimiento expreso?

¿Cómo conseguir el consentimiento expreso?

Para considerar el consentimiento expreso como válido, es necesario, cómo ya hemos dicho más arriba, que este se dé mediante una acción afirmativa por parte del interesado.

De manera que para conseguir el consentimiento expreso de acuerdo al RGPD y la LOPD, es necesario facilitar a los interesados un medio mediante el cual puedan dar, a través de una acción positiva o afirmativa, su consentimiento para el tratamiento de datos personales, por ejemplo, puede ser un anexo en un contrato, o una cláusula sobre protección de datos o una casilla desmarcada que haga referencia a la política de privacidad o un banner de cookies.

La forma de recabar el consentimiento expreso dependerá del medio a través del cual se solicite, para qué se solicite o incluso de la edad del interesado. Existen diferentes formas de conseguir el consentimiento expreso de clientes, empleados, usuarios, proveedores, etc. Lo que siempre debemos tener presente es que ese consentimiento debe quedar registrado y almacenado en nuestro sistema o archivo, porque se nos puede solicitar en el curso de una inspección de la AEPD.

A continuación vamos a ver cómo recabar el consentimiento expreso en diferentes medios y situaciones:

– En páginas web

Para solicitar el consentimiento expreso de clientes en páginas web que incluyan formularios, este puede conseguirse a través del marcado de casilla correspondiente o mediante un botón de «acepto», si bien, previamente, el interesado ha debido de ser informado sobre cómo y para qué se van a recoger sus datos y qué datos son los que se van a recabar. Esta información se suministra en la política de privacidad y en la política de cookies de la web.

– En redes sociales

Las redes sociales deben recabar el consentimiento previo de los interesados para llevar a cabo el tratamiento de sus datos (este proceso se lleva a cabo durante el proceso de suscripción o creación de la cuenta de usuario).

Por otro lado, nadie podrá publicar imágenes o vídeos de terceras personas en redes sociales sin haber conseguido previamente su consentimiento expreso. En ningún caso podemos hacer una foto o grabar un vídeo de una persona en la calle o en un establecimiento público o privado y después subirla a redes sociales, sin que esa persona haya dado su consentimiento para ello.

Si se va a llevar a cabo un sorteo a través de una red social, se debe recabar el consentimiento expreso de los participantes, informándoles previamente de:

  • La finalidad para la que se recaban los datos.
  • Quiénes son los destinatarios que recibirán esos datos.
  • Nombre y dirección del responsable de tratamiento de los datos.
  • Dónde y cómo pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).

– A trabajadores

En el caso de que se vayan a recabar datos personales de los trabajadores que no tengan ninguna finalidad dentro de la relación contractual, será obligatorio recabar el consentimiento expreso del trabajador para recoger y tratar dichos datos. Así mismo, se le debe informar de cómo y dónde puede ejercer sus derechos ARSULIPO.

Además de esto, hay que tener en cuenta otras consideraciones. Entre ellas, que la información personal que pueda publicarse en el tablón de anuncios de la empresa, debe contar con el consentimiento expreso de los trabajadores. Para recogerlo, se incluirá una cláusula de información y de consentimiento en el contrato laboral, que deberá ser firmada por el trabajador.

La instalación de cámaras de seguridad que graben a los empleados en sus puestos de trabajo está permitida, puesto que queda dentro de la facultad de dirección del empresario, siempre y cuando su finalidad esté limitada al que prevé el Estatuto de los Trabajadores, es decir, que sirva para «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Además, los trabajadores deben estar informados de la presencia de las cámaras.

Sin embargo, no se contempla como lícito grabar conversaciones en el centro de trabajo sin el consentimiento expreso de los trabajadores.

– En sanidad

Dado que los datos relacionados con la salud están especialmente protegidos de acuerdo al RGPD, para poder recogerlos y tratarlos cuando la base legitimadora del tratamiento no está contemplada en los supuestos del artículo 9.2 del RGPD o por la prestación de asistencia sanitaria, siempre será necesario recabar el consentimiento expreso del interesado.

– A menores

La edad mínima de consentimiento para el tratamiento de datos personales en España es de 14 años, por lo que para los menores de esa edad, es necesario que sus padres o tutores legales den dicho consentimiento.

Aparte de esto, el RGPD establece que a la hora de recabar los datos de menores, confeccionar perfiles u otras situaciones que impliquen la responsabilidad del tratamiento de datos personales de menores de edad, se deben tener en cuenta estas consideraciones:

  • Si los servicios están dirigidos específicamente a ellos, la información previa que se les debe facilitar, debe no solo ser clara y específica, sino estar adaptada a sus capacidades cognitivas.
  • Los plazos mínimos de conservación serán menores que los establecidos para los adultos.
  • Se dará derecho al interesado a revocar o cancelar el consentimiento cuando se convierta en adulto, especialmente en el caso de menores de 14 años, donde son los padres o tutores legales los que conceden el consentimiento en nombre del menor.
  • No se podrán tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad que puedan tener efectos jurídicos vinculantes.
  • En el caso de padres divorciados, puesto que se considera (generalmente) que la patria potestad la comparten ambos progenitores, el consentimiento para el tratamiento de los datos del menor debe darse por parte de ambos padres.

Modelo de consentimiento expreso

A continuación os dejamos, a modo de ejemplo de un modelo de consentimiento expreso, un formulario web:

Modelo consentimiento expreso

Modelo de consentimiento expreso

Cabe señalar que no existe un modelo de consentimiento de protección de datos para clientes, empleados u otros interesados estándar, pero lo que sí deben tener estas autorizaciones para el tratamiento de datos es un apartado donde el interesado plasme su consentimiento de forma activa, ya sea mediante firma o al marcar una casilla.

¿Dónde almacenar el consentimiento expreso recabado de los interesados?

Como ya indicamos más arriba, el consentimiento expreso debe quedar almacenado porque el responsable debe ser capaz de demostrar que recabó dicho consentimiento del interesado de acuerdo a lo establecido en la normativa, puesto que el uso de datos personales sin consentimiento es motivo de sanción por parte de la AEPD (con multas que pueden alcanzar hasta los 20 millones de euros).

Si bien no existe un procedimiento estandarizado para almacenar el consentimiento, a la hora de obtener el consentimiento de los interesados, se debe generar un justificante del mismo, que podrá ser almacenado tanto por medios electrónicos en una base de datos como de forma física en ficheros.

Un software de gestión RGPD resultará un gran apoyo para la gestión y almacenamiento del consentimiento expreso para los tratamientos de datos que realice la empresa, puesto que cuenta con herramientas que se ocuparán tanto de generar los correspondientes impresos o formularios de consentimiento como para registrarlos y guardarlos en su correspondiente archivo, permitiendo un acceso rápido a los mismos, en caso de que los solicite la AEPD.

Este tipo de software puede conseguirse, por ejemplo, al contratar ley protección de datos con una consultoría como Grupo Atico34, que ofrece a sus clientes un completo software para la gestión del RGPD y la LOPDGDD.

¿Siempre es obligatorio recabar el consentimiento expreso?

Aunque el consentimiento expreso es la primera base legitimadora para el tratamiento de datos personales, no siempre es obligatorio recabarlo, ya que el RGPD contempla una serie de supuestos en los que el tratamiento de datos personales puede legitimarse sobre otras bases jurídicas.

Estos supuestos están recogidos en el artículo 6.1 (letras b, c, d, e y f) y en el artículo 9.2 del RGPD.

Fuera de estos supuestos, siempre será necesario recabar el consentimiento expreso de los interesados en la forma que hemos descrito a lo largo de este artículo.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.