Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El consentimiento en el RGPD

Con la entrada en vigor del RGPD, el consentimiento en la ley de protección de datos sufrió varios cambios y aún a día de hoy es motivo de duda; por ello, en este artículo explicaremos los principales aspectos relativos al consentimiento en protección de datos y cómo se regula este en el RGPD.

¿Qué es el consentimiento en protección de datos?

Según el RGPD se entenderá por consentimiento «la manifestación de voluntad libre, específica, informada e inequívoca por la cual una persona acepta, mediante una clara acción afirmativa, el tratamiento de sus datos personales» (art. 4.11).

Por lo tanto, el consentimiento en protección de datos es una acción afirmativa por parte del interesado para permitir el tratamiento de sus datos. De tal manera que el consentimiento es la primera base legal que legitima a las organizaciones para el tratamiento de los datos personales.

¿Cómo regula el consentimiento el RGPD?

El consentimiento en el Reglamento de Protección de Datos está regulado principalmente en los artículos 6.1.a (licitud), 7 (condiciones), 8 (menores) y 9.1 y 9.2.a (categorías especiales).

Así mismo, respecto al consentimiento, el RGPD establece una serie de condiciones para poder considerarlo válido y legítimo:

  • Demostración: El responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
  • Distinción: Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos (por ejemplo, el consentimiento de pacientes para un tratamiento médico), la solicitud de consentimiento se presentará de forma que:
    • Se distinga claramente de los demás asuntos
    • De forma inteligible y de fácil acceso
    • Utilizando un lenguaje claro y sencillo
  • Revocación: El interesado deberá poder retirar el consentimiento en cualquier momento, si bien, esta retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Debe ser tan fácil retirar el consentimiento como darlo.
  • Libertad: Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta el hecho de si, entre otras cosas, en la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

¿Cómo debe ser el consentimiento según el RGPD?

De acuerdo con el RGPD, para que el consentimiento sea lícito deben concurrir una serie de características:

características y condiciones del consentimiento en el rgpd

Consentimiento RGPD: características y condiciones

  • Libre: El consentimiento para el tratamiento de datos personales tiene que ser prestado en un marco de libertad. La concesión del mismo no puede estar condicionada a, por ejemplo, una rebaja en un servicio, consecución de un producto, o a cualquier otro tipo de condición.
  • Específico: Con esto el regulador quiere asegurarse de que cuando el tratamiento tenga varias finalidades, se recabe el consentimiento RGPD para cada uno de ellos. Por ejemplo, si la finalidad con la que se recogen se define como «tratamiento de los datos para la prestación de un servicio», no podrán ser usados para otra finalidad, como, por ejemplo, elaboración de bases de datos con fines de marketing.
  • Informado: El consentimiento informado implica que los interesados siempre deben saber toda la información relativa al tratamiento y gestión de sus datos personales. De manera que los textos legales o el texto sobre consentimiento y protección de datos que se facilite a los interesados deberán informar de:
    • La finalidad del tratamiento para el que se quiere recabar el consentimiento
    • El nombre del responsable del tratamiento
    • Cómo se van a tratar esos datos
    • El plazo de conservación
    • Los posibles destinatarios de los datos
    • Las posibles transferencias internacionales de datos
    • Los derechos de los que es titular el interesado
  • Inequívoco: Para que considerar el consentimiento inequívoco, el interesado debe ser informado de manera clara y sin ambigüedad de para qué está dando su consentimiento. Es decir, la información debe presentarse por separado de otros aspectos. Por ejemplo, no sería válido que la información sobre la prestación de dicho consentimiento en protección de datos viniera oculta o mezclada con las condiciones de prestación de un servicio.

¿Cuáles son los tipos de consentimiento válidos en el RGPD?

Lo cierto es que no podemos hablar de diferentes tipos de consentimiento RGPD, porque este Reglamento solo reconoce un tipo de consentimiento; nos referimos al consentimiento expreso.

Tal y como define el consentimiento el RGPD (y que ya citamos en el primer epígrafe este artículo), solo es válido el consentimiento explícito, puesto que requiere de la acción afirmativa del interesado (por ejemplo, mediante el marcado de una casilla que diga «autorizo el tratamiento de mis datos personales CV» a la hora de entregar un currículum en un proceso de selección).

Por lo tanto, ni el consentimiento tácito o implícito, ni la inacción o el uso de casillas premarcadas son válidos para recabar el consentimiento RGPD, siempre que consentimiento sea la base legitimadora del tratamiento, el interesado debe darlo mediante una acción positiva, por ejemplo, en protección de datos para psicólogos, firmando la hoja en la que se informe sobre el tratamiento de datos personales del paciente.

¿Cómo se debe recabar el consentimiento según el RGPD?

Existen diferentes formas de recabar el consentimiento RGPD de los interesados, que varían dependiendo del medio y de la edad de los interesados.

Es importante no olvidar que, en cualquier caso, la forma en que se solicite el consentimiento para el uso de datos personales debe siempre implicar una acción por parte del interesado, como puede ser pulsar un botón de «acepto», marcar una checkbox o proceder activar o desactivar las cookies de una web o firmar una cláusula de protección de datos en un contrato.

También hay que recordar que se debe solicitar el consentimiento por escrito, para que siempre haya una prueba fehaciente de que el cliente ha otorgado dicho consentimiento. Es decir, que el consentimiento debe quedar registrado.

¿Cuándo NO es necesario el consentimiento?

Los artículos 6.1 (letras b, c, d, e y f) y 9.2 del RGPD establecen los supuestos en los que no es necesario recabar el consentimiento de los interesados para el tratamiento de sus datos personales:

  • Es necesario para cumplir obligaciones y ejercer derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral y de la seguridad y protección social.
  • Es necesario para proteger los intereses vitales del interesado o de otra persona física que no esté capacitada o para dar su consentimiento o pueda darlo en el momento.
  • Cuando se lleva a cabo dentro de las actividades legítimas, y con las debidas garantías, por parte de una fundación, una asociación o cualquier organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. Y siempre que el tratamiento se refiere exclusivamente a los miembros actuales o pasados de dichas organizaciones o personas que mantengan contactos regulares con ellos. Estos datos no podrán cederse a terceros sin el consentimiento de los interesados.
  • Cuando son datos personales que el interesado ha hecho ya manifiestamente públicos.
  • Es necesario para llevar a cabo reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • Cuando es necesario por razones de interés público esencial, siempre de acuerdo al Derecho de la UE o de sus Estados miembros, siendo proporcional al objetivo que se persigue y manteniendo la protección de los derechos fundamentales del interesado.
  • Es necesario para fines relacionados con la medicina preventiva o laboral, la evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, así como la gestión de los sistemas y servicios de atención sanitaria y social.
  • Es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud (pandemias) o para garantizar los niveles de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
  • Es necesario para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, de acuerdo al artículo 89.1 del Reglamento.

tarifas proteccion datos

¿Se puede revocar el consentimiento?

Ya lo mencionamos más arriba; sí, el consentimiento se puede revocar y el responsable debe hacer que esa revocación se pueda llevar a cabo a través de medios sencillos y gratuitos (revocar el consentimiento debe ser tan fácil como darlo).

Por ejemplo, a través de la cláusula de protección de datos en el correo electrónico se facilita una vía para poder revocar o retirar el consentimiento para el envío de comunicaciones comerciales.

El consentimiento de los menores de edad en el RGPD

El RGPD establece la edad mínima para que un menor pueda dar su consentimiento para el tratamiento de sus datos en los 16 años, sin embargo, permite que los Estados miembros puedan reducir esa edad. En España, la edad mínima para el consentimiento según la LOPDGDD son los 14 años, por debajo de esa edad, serán los padres o tutores legales quienes deban dar el consentimiento para el tratamiento de los datos personales del menor.

Sanciones por no solicitar el consentimiento RGPD

El uso de datos personales sin consentimiento o solicitado de manera incorrecta puede conllevar una serie de sanciones.

El RGPD, para la vulneración de todo lo relacionado con el recabado del consentimiento de datos personales, dispone que se sancionarán con multas administrativas de 20 millones de euros como máximo o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Se optará siempre por la multa de mayor cuantía.

Las sanciones se cuantificarán en función de la gravedad de la infracción cometida. Así, se consideran infracciones graves:

  • Llevar a cabo el tratamiento de los datos personales de un menor de 14 años sin recabar previamente el consentimiento de sus padres o tutores legales.
  • No acreditar el esfuerzo hecho para comprobar la validez del consentimiento dado por un menor de 14 años o de sus padres o tutores legales.

Y se consideran infracciones muy graves:

  • No cumplir con los requisitos recogidos en el artículo 7 del RGPD para la validez del consentimiento.
  • Utilizar los datos para una finalidad diferente para la que fueron recabados, sin que para ello el interesado haya dado su consentimiento.

Si quieres evitar incurrir en infracciones relacionadas con el consentimiento expreso (o cualquier otra obligación de la normativa) y recibir sanciones de cuantías importantes, lo mejor es contratar protección de datos con una consultoría especializada, cuyo equipo de expertos te asesorará en todo momento y se asegurará de que cuentas con el consentimiento adecuado y registrado para el tratamiento de los datos personales de clientes o usuarios, empleados, proveedores, etc., tanto si lo recabas físicamente a través de cláusulas de protección de datos, como a través de formularios web.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.

2 Comments

Comments are closed.