¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Consentimiento RGPD: Expreso, Tácito y Presunto

Como bien sabemos, actualmente el consentimiento expreso para el tratamiento de los datos personales, es una de las principales causas que legitima dicho tratamiento.

Desde la entrada en vigor en mayo de 2018 del Reglamento Europeo de Protección de Datos (RGPD), todo lo relacionado con el consentimiento y su forma de obtenerlo cambió radicalmente, afectando especialmente al consentimiento tácito.

Pero no te preocupes, a continuación te vamos a explicar todo lo necesario para que comprendas qué es el consentimiento expreso, el consentimiento tácito y qué dice el RGPD respecto a ambos.

¿Qué es el consentimiento?

Según lo dispuesto en el el Reglamento general de protección de datos, el consentimiento es “la manifestación de voluntad libre, específica, informada e inequívoca por la cual una persona acepta, mediante una clara acción afirmativa, el tratamiento de sus datos personales”.

Regulación del consentimiento en el RGPD

El consentimiento de datos personales se encuentra regulado por dos normas:

Reglamento Europeo de Protección de Datos

El consentimiento está regulado en el RGPD y este debe darse voluntariamente por parte del interesado, que habrá sido informado previamente de manera clara de para qué está dando su consentimiento.

De esta manera, ni el silencio, ni la inacción ni las casillas previamente marcadas son válidas ya para recabar el consentimiento de los interesados para el tratamiento de sus datos personales. Es decir, para el RGPD el consentimiento tácito ya no es válido.

Además, el RGPD establece una serie de condiciones para legitimar el consentimiento recogido:

  • Demostración: El responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
  • Distinción: Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de forma que:
    • Se distinga claramente de los demás asuntos
    • De forma inteligible y de fácil acceso
    • Utilizando un lenguaje claro y sencillo
  • Revocación: El interesado deberá poder retirar el consentimiento en cualquier momento, si bien, esta retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Debe ser tan fácil retirar el consentimiento como darlo.
  • Libertad: Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta el hecho de si, entre otras cosas, en la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

tarifas proteccion datos

Características del consentimiento para que sea lícito

De acuerdo con el RGPD el consentimiento será lícito cuando concurran las siguientes características:

características y condiciones del consentimiento en el rgpd

Libre

El consentimiento para el tratamiento de datos personales tiene que ser prestado en un marco de libertad.

La concesión del mismo no puede estar condicionada a, por ejemplo, una rebaja en un servicio, consecución de un producto, o a cualquier otro tipo de condición.

Específico

Con esto el regulador quiere asegurarse de que cuando el tratamiento tenga varias finalidades, se recabe el consentimiento para cada uno de ellos.

Por ejemplo, si la finalidad con la que se recogen se define como «tratamiento de los datos para la prestación de un servicio», no podrán ser usados para otra finalidad, como por ejemplo elaboración de bases de datos con fines de marketing.

Informado

El consentimiento debe siempre ser informado, de manera que los textos legales deberán informar al interesado de:

  • La finalidad del tratamiento para el que se quiere recabar el consentimiento
  • El nombre del responsable del tratamiento
  • Cómo se van a tratar esos datos
  • Los derechos de los que es titular el interesado

Inequívoco

Para que considerar el consentimiento inequívoco, el interesado debe ser informado de manera clara y sin ambigüedad de para qué está dando su consentimiento. Es decir, la información debe presentarse por separado de otros aspectos.

Por ejemplo, no sería válida que la información sobre la prestación de dicho consentimiento viniera oculta o mezclada con las condiciones de prestación de un servicio.

El Consentimiento expreso

Como ya señalamos, el consentimiento expreso para el tratamiento de datos de carácter personal es la única forma de consentimiento admitida por el RGPD y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales).

Consentimiento expreso (definición)

La definición de consentimiento expreso en el Reglamento de Protección de Datos está recogida en el artículo 4.11, que dice:

«Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

¿Cuándo tiene sentido el consentimiento expreso?

consentimiento expreso

De acuerdo con el RGPD, se debe conseguir el consentimiento expreso de los interesados en las siguientes situaciones:

  • Si una página web, independientemente de su tipo o propósito, recoge datos personales a través de formularios (como el de suscripción o el de solicitud de más información), es necesario solicitar el consentimiento expreso del interesado para el tratamiento de sus datos personales.
  • Si el interesado es un menor de edad, se tendrá que recabar su consentimiento cuando sea mayor de 13 años y el de sus padres o tutores legales cuando tenga menos de esa edad.
  • Si se recogen datos de empleados que no son necesarios para el cumplimiento de las obligaciones de la relación contractual.
  • Se recaben datos biométricos (como la huella dactilar para acceder a zonas determinadas).
  • Los datos tengan que ver o estén relacionados con la salud de los interesados.
  • Es necesario contar con el consentimiento en una comunidad de propietarios cuando el administrador de la misma vaya a ceder datos de estos a terceros.

¿Cómo solicitar el consentimiento expreso?

Existen diferentes formas de recabar el consentimiento expreso de los interesados, que varían dependiendo del medio y de la edad de los interesados.

Es importante no olvidar que, en cualquier caso, la forma en que se solicite el consentimiento para el uso de datos personales debe siempre implicar una acción por parte del interesado, como puede ser pulsar un botón de «acepto», marcar un checkbox o proceder activar o desactivar las cookies de una web.

En páginas web

Para solicitar el consentimiento en páginas web que incluyan formularios, este puede conseguirse a través del marcado de casilla correspondiente o mediante un botón de «acepto», si bien, previamente, el interesado ha debido de ser informado sobre cómo y para qué se van recoger sus datos y qué datos son los que se van a recabar. Esta información, como ya dijimos, debe ser clara y concreta, además de no suponer una condición para acceder a los contenidos o servicios de la web (esto último no se aplica en caso de las cookies técnicas, es decir, aquellas necesarias para el correcto funcionamiento de la web).

El consentimiento para la recepción de información comercial por correo electrónico se puede recabar de dos formas:

  • Dentro del propio procedimiento de contratación o suscripción a través de la web, donde el interesado debe facilitar su dirección de email, se incluirá en las condiciones generales de contratación una cláusula específica sobre el consentimiento del interesado para recibir información comercial.
  • A través de un formulario tipo incluido en la página, donde el interesado puede dejar su dirección de email para recibir las comunicaciones comerciales.

En cuanto a la portabilidad de datos, ningún prestador de servicios podrá negarse a ceder los datos a otro responsable cuando el interesado lo solicite. Y tampoco podrá ceder dichos datos sin su consentimiento.

A menores

Como en otros ámbitos legales y jurídicos, los derechos de los menores están especialmente protegidos y el RGPD hace una mención especial a los mismos, ya que estos no pueden ser conscientes de su derechos respecto a sus datos personales ni de los riesgos o efectos que puede entrañar su tratamiento.

De esta manera, el RGPD establece que a la hora de recabar los datos de menores, confeccionar perfiles u otras situaciones que impliquen la responsabilidad del tratamiento de datos personales de menores de edad, se deben tener en cuenta estas consideraciones:

  • Si los servicios están dirigido específicamente a ellos, la información previa que se les debe facilitar, debe no solo ser clara y específica, sino estar adaptada a sus capacidades cognitivas.
  • Los plazos mínimos de conservación serán menores que los establecidos para los adultos.
  • Se dará derecho al interesado a revocar o cancelar el consentimiento cuando se convierta en adulto, especialmente en el caso de menores de 13 años, donde son los padres o tutores legales los que conceden el consentimiento en nombre del menor.
  • No se podrán tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad que puedan tener efectos jurídicos vinculantes.
  • En el caso de padres divorciados, puesto que se considera (generalmente) que la patria potestad la comparten ambos progenitores, el consentimiento para el tratamiento de los datos del menor debe darse por parte de ambos padres.

En redes sociales

Las redes sociales deben recabar el consentimiento previo de los interesados para llevar a cabo el tratamiento de sus datos (este proceso se lleva a cabo durante el proceso de suscripción o creación de la cuenta de usuario).

Por otro lado, nadie podrá publicar imágenes o vídeos de terceras personas en redes sociales sin haber conseguido previamente su consentimiento expreso. En ningún caso podemos hacer una foto o grabar un vídeo de una persona en la calle o en un establecimiento público o privado y después subirla a redes sociales, sin que esa persona haya dado su consentimiento para ello.

Si se va a llevar a cabo un sorteo a través de una red social, se debe recabar el consentimiento expreso de los participantes, informándoles previamente de:

  • La finalidad para la que se recaban los datos.
  • Quiénes son los destinatarios que recibirán esos datos.
  • Nombre y dirección del responsable de tratamiento de los datos.
  • Dónde y cómo pueden ejercer sus derechos ARCO.

A trabajadores

En el caso de que se vayan a recabar datos personales de los trabajadores que no tengan ninguna finalidad dentro de la relación contractual, será obligatorio recabar el consentimiento expreso del trabajador para recoger y tratar dichos datos. Así mismo, se le debe informar de cómo y dónde puede ejercer sus derechos ARCO.

Además de esto, hay que tener en cuenta otras consideraciones. Entre ellas, que la información personal que pueda publicarse en el tablón de anuncios de la empresa, debe contar con el consentimiento expreso de los trabajadores. Para recogerlo, se incluirá una cláusula de información y de consentimiento en el contrato laboral, que deberá ser firmada por el trabajador.

La instalación de cámaras de seguridad que graben a los empleados en sus puestos de trabajo está permitida, puesto que queda dentro de la facultad de dirección del empresario, siempre y cuando su finalidad esté limitada al que prevé el Estatuto de los Trabajadores, es decir, que sirva para «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Además, los trabajadores deben estar informados de la presencia de las cámaras.

Sin embargo, no se contempla como lícito grabar conversaciones en el centro de trabajo sin el consentimiento expreso de los trabajadores.

El empresario podrá instalar un sistema de localización de sus flotas y equipos por GPS, sin necesidad de recabar previamente el consentimiento de los empleados, aunque debe informarles de ello y de cuál será el tratamiento y finalidad de los datos que se obtengan de dichos sistemas.

Sanidad

Dado que los datos relacionados con la salud están especialmente protegidos de acuerdo al RGPD, para poder recogerlos y tratarlos es necesario siempre contar con el consentimiento inequívoco y voluntario del interesado.

Además, dicho consentimiento debe poder revocarse en cualquier momento por las personas afectadas, siempre que exista causa que lo justifique, en cuyo caso, deberán cancelarse todos los datos personales existentes sobre las mismas, con la única excepción de que exista obligación legal para conservarlos durante un tiempo determinado.

Ejemplos de consentimiento expreso

Veamos algunos ejemplos de consentimiento expreso para ilustrar mejor cómo debe recabarse:

  • Formularios para solicitar más información o presupuesto, en el que se incluyen los siguientes puntos:
    • Identificación del responsable de tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Derechos ARCO
    • Información adicional
consentimiento expreso

Ejemplo para solicitar consentimiento expreso del interesado para recibir información

  • Checkbox para aceptar el tratamiento de datos personales por parte del interesado, acompañada de la pregunta «Consiente a que sus datos sean tratado» y un enlace a la información sobre el tratamiento y finalidad del mismo.
  • Botón de «acepto» y «configuración» u «opciones» para el empleo de cookies en la web.
consentimiento expreso

Ejemplo de botón “acepto” como consentimiento expreso

¿Dónde almacenar este consentimiento?

El consentimiento expreso debe quedar almacenado, porque el responsable de tratamiento o la entidad debe poder demostrar que dicho consentimiento se ha obtenido de manera adecuada y acorde a la normativa.

Si bien no existe un procedimiento estandarizado para almacenar el consentimiento, a la hora de obtener el consentimiento de los interesados, se debe generar un justificante del mismo, que será podrá ser almacenado tanto por medios electrónicos en una base de datos como de forma física en ficheros.

Conservar estos justificantes de la obtención del consentimiento de los interesados es importante, porque la AEPD (Agencia Española de Protección de Datos) podría exigirlos en el transcurso de una inspección.

¿A qué sanciones nos exponemos si no solicitamos el consentimiento expreso correctamente?

El uso de datos personales sin consentimiento o solicitado de manera incorrecta puede conllevar una serie de sanciones.

El RGPD, para la vulneración de todo lo relacionado con el recabo del consentimiento de datos personales dispone que se sancionarán con multas administrativas de 20 millones de euros como máximo o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Se optará siempre por la multa de mayor cuantía.

Las sanciones se cuantificarán en función de la gravedad de la infracción cometida. Así, se consideran infracciones graves:

  • Llevar a cabo el tratamiento de los datos personales de un menor de 13 años sin recabar previamente el consentimiento de sus padres o tutores legales.
  • No acreditar el esfuerzo hecho para comprobar la validez del consentimiento dado por un menor de 13 años o de sus padres o tutores legales.

Y se consideran infracciones muy graves:

  • No cumplir con los requisitos recogidos en el artículo 7 del RGPD para la validez del consentimiento.
  • Utilizar los datos para una finalidad diferente para la que fueron recabados, sin que para ello el interesado haya dado su consentimiento.

Excepciones a la necesidad de obtener consentimiento expreso

El artículo 9.2 del RGPD recoge una serie de excepciones para las que no será necesario obtener el consentimiento expreso a la hora de llevar a cabo el tratamiento de datos personales:

  • Es necesario para cumplir obligaciones y ejercer derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral y de la seguridad y protección social.
  • Es necesario para proteger los intereses vitales del interesado o de otra persona física que no esté capacitada o para dar su consentimiento o pueda darlo en el momento.
  • Cuando se lleva a cabo dentro de las actividades legítimas, y con las debidas garantías, por parte de una fundación, una asociación o cualquier organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. Y siempre que el tratamiento se refiere exclusivamente a los miembros actuales o pasados de dichas organizaciones o personas que mantengan contactos regulares con ellos. Estos datos no podrán cederse a terceros sin el consentimiento de los interesados.
  • Cuando son datos personales que el interesado ha hecho ya manifiestamente públicos.
  • Es necesario para llevar a cabo reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • Cuando es necesario por razones de interés público esencial, siempre de acuerdo al Derecho de la UE o de sus Estados miembros, siendo proporcional al objetivo que se persigue y manteniendo la protección de los derechos fundamentales del interesado.
  • Es necesario para fines relacionados con la medicina preventiva o laboral, la evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, así como la gestión de los sistemas y servicios de atención sanitaria y social.
  • Es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenaza transfronterizas graves para la saludo (pandemias) o para garantizar los niveles de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
  • Es necesario para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, de acuerdo al artículo 89.1 del Reglamento.

tarifas proteccion datos autonomos

El Consentimiento tácito

Antes de la entrada en vigor del RGPD, en España regulaba el consentimiento la LOPD (Ley Orgánica de Protección de Datos). Esta ley establecía en qué circunstancias se debía recabar el consentimiento de los interesados para el tratamiento de sus datos, distinguiendo tres tipos de consentimiento, entre ellos el consentimiento tácito.

Consentimiento tácito (definición)

La definición de consentimiento tácito nos dice que es el consentimiento que se deduce de la inacción o el silencio de parte del interesado, es decir, se considera que el interesado da su consentimiento cuando no se niega al tratamiento de sus datos.

¿Cuándo y cómo se admite el consentimiento tácito?

Actualmente, el consentimiento tácito no se admite de ninguna manera para llevar a cabo la recogida y tratamiento de los datos personales de los interesado, puesto que la normativa vigente, tanto el RGPD como la actual LOPDGDD, dice que el consentimiento debe ser siempre expreso (salvo para las excepciones que vimos más arriba).

Es decir, cuando hablamos de consentimiento expreso y tácito, debemos eliminar el «tácito» de la ecuación, porque dejó de ser válido en el momento en que el RGPD entró en vigor y por tanto, si el interesado no lleva a cabo una acción afirmativa para otorgar su consentimiento para el tratamiento de datos personales, este no se entenderá por dado, con las consecuencias legales que vimos en el apartado de sanciones.

¿El consentimiento tácito será suficiente para recabar datos personales sensibles?

De lo dicho en el punto anterior, se deduce que no, el consentimiento tácito no será suficiente para recabar datos personales sensibles como son los datos de origen racial, opiniones políticas, convicciones filosóficas o religiosas, afiliación sindical, biométricos, relativos a la salud, la vida sexual o la orientación sexual del interesado.

Ejemplos de consentimiento tácito

Aunque ya no es suficiente, un ejemplo de consentimiento tácito lo teníamos en cláusulas del tipo «Si no recibimos información contraria, emplearemos sus datos con fines comerciales».

Otros ejemplos serían el empleo de casillas premarcadas del tipo «Deseo recibir información comercial…» o el botón «seguir navegando» como medio para aceptar las cookies de una web.

El Consentimiento presunto o delegado

Como hemos dicho, la Ley de protección de datos contemplaba más de un tipo de consentimiento para tratar datos personales, aparte del tácito, teníamos el consentimiento presunto o delegado.

Consentimiento presunto (definición)

El diccionario jurídico de la RAE define el consentimiento presunto como el «consentimiento prestado mediante actos reiterados del titular de los datos que revelan que, efectivamente, ha otorgado dicho consentimiento».

Es decir, en el contexto de la protección de datos, se entiende que se concede el consentimiento cuando el interesado, a través de sus actos o comportamiento, acepta el posible tratamiento de sus datos.

¿Cuándo y cómo se admite el consentimiento presunto?

Actualmente, el consentimiento presunto no se admite como forma de consentimiento para el tratamiento de datos personales, como hemos ido viendo a lo largo de este artículo, ya que solo se considera válido el consentimiento expreso.

Hay que tener en cuenta que el consentimiento presunto se deduce del comportamiento del interesado y esto no está contemplado como una acción afirmativa que permita recabar y tratar sus datos personales.

Ejemplos de consentimiento presunto

Un ejemplo de consentimiento presunto muy claro lo encontramos en la propia Constitución Española, que contempla el consentimiento presunto de donación de órganos de todos los españoles, es decir, la constitución afirma que todos los ciudadanos españoles son donantes potenciales de órganos a no ser que en vida manifiesten lo contrario.

En el ámbito de la protección de datos, antes de la entrada en vigor del RGPD, este tipo de consentimiento presunto se producía, por ejemplo, cuando al rellenar un formulario con nuestros datos personales, no dábamos nuestro consentimiento expreso para su almacenamiento, pero en el propio formulario se nos avisaba de ello.

No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto contáctenos en el Tlf 91 489 64 19, y uno de nuestros abogados estará encantado de atenderte.

¿Te gustaría recibir un presupuesto?

PROTECCIÓN DE DATOS

· Adaptación al RGPD y LOPD-GDD

· Textos legales para sitios web

· Consentimientos de clientes, pacientes...

IGUALDAD

· Auditoría retributiva

· Protocolo de acoso

· Registro del Plan de Igualdad

Escríbenos o llámanos al 914 896 419




2 Comments

Comments are closed.