La falta de consentimiento informado en protección de datos puede ser motivo de sanción, ya que estamos ante una infracción del RGPD y la LOPDGDD. Así mismo, y dependiendo de las circunstancias, se trata de una vulneración de la ley que podría dar lugar a una indemnización. En las siguientes líneas analizamos qué se considera una falta de consentimiento informado y sus consecuencias.
En este artículo hablamos de:
¿Qué se considera falta de consentimiento informado en protección de datos?
Se considera falta de consentimiento informado en protección de datos no cumplir con los artículos 13 y 14 del RGPD, es decir, no suministrar al interesado la siguiente información:
- La identidad del responsable del tratamiento (y del encargado y el Delegado de Protección de Datos, cuando así proceda).
- La finalidad del tratamiento (para qué se van a usar los datos).
- La base legitimadora del tratamiento (que en este caso es el consentimiento).
- Si se producirán cesiones a terceros de los datos personales, así como de transferencias internacionales.
- El plazo de conservación de los datos.
- Las vías para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
- La posibilidad de reclamar ante la AEPD.
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos y ha sido informado de las posibles consecuencias de no hacerlo.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información significativa sobre la lógica aplicada, así como la importancia de las consecuencias previstas de dicho tratamiento para el interesado.
Además, también se considera falta de consentimiento informado suministrar información vaga, de forma ambigua, incomprensible o poco clara, ya que se entiende que esta falta de transparencia impide que los interesados puedan saber y entender completamente para qué y cómo se van a usar sus datos y para qué están realmente consistiendo la cesión de sus datos personales.
Así mismo, también se considerará falta de consentimiento informado, si esta información se da con carácter posterior a la recogida del consentimiento en protección de datos, puesto que la normativa establece que el deber de informar se debe cumplir siempre con carácter previo, suministrando dicha información antes de recabar el consentimiento.
No podemos dejar de recordar, además, que el deber de informar siempre debe cumplirse, no solo cuando la base legitimadora es el consentimiento, sino en el resto de las reconocidas por los artículos 6 y 9 del RGPD.
¿Cuándo se produce la falta de consentimiento informado?
La falta de consentimiento informado se produce cuando no se cumple con el deber de informar al interesado sobre todos los aspectos relativos al tratamiento de sus datos personales, en los términos que establece la normativa y que hemos descrito en el punto anterior.
Informar a los interesados del tratamiento de sus datos es una obligación establecida en la normativa y no hacerlo puede ser considerado una infracción muy grave, según los criterios del RGPD, puesto que hablamos de uno de los derechos de los interesados contemplados en el Reglamento.
Sanciones e indemnizaciones por falta de consentimiento informado
La falta de consentimiento informado, es decir, no cumplir con lo que exige la normativa respecto al deber de informar, es motivo de sanción por parte de la AEPD. Además, la LOPDGDD contempla no cumplir con el deber de informar en las tres graduaciones de infracciones, es decir, que puede considerarse como infracción leve, grave o muy grave.
En ese sentido, dependiendo de la gravedad, haber recabado el consentimiento sin haber cumplido con el deber de informar puede tener las siguientes sanciones:
| Infracciones | Sanción |
|---|---|
| Leve | Hasta 40.000 € |
| Grave | De 40.001 € hasta 300.000 € |
| Muy grave | De 300.001 € hasta 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que resulte superior) |
En cuanto a la indemnización por falta de consentimiento informado, es posible reclamarla, en virtud del artículo 82 del RGPD, que reconoce el derecho de los interesados a solicitar una indemnización por vulneración de protección de datos, si nos ha ocasionado alguna clase de daño o perjuicio material o moral.
Sin embargo, debemos señalar que aunque se puede reclamar esta indemnización por falta de consentimiento informado, puede ser complicado que se reconozca y conceda, puesto que se deben probar que los daños sufridos son consecuencia de esa falta de información. Además, en España todavía no disponemos de jurisprudencia respecto a este tipo de indemnizaciones por vulneraciones de la ley de protección de datos.
Así que puede que la AEPD sancione a una empresa por falta de consentimiento informado, pero después el juzgado no nos conceda la indemnización que hayamos solicitado por ello.
Para reclamar una indemnización por vulneración de protección de datos, debemos recurrir a la vía Civil, haciendo la denuncia en el juzgado correspondiente, acreditando el perjuicio sufrido, asistidos de abogado y procurador. Lo normal es que estas reclamaciones de indemnización se resuelvan a través del juicio ordinario.
Ejemplos de sentencias por ausencia de consentimiento informado
A continuación señalamos algunos ejemplos de sentencias por ausencia de consentimiento informado de la AEPD (teniendo en cuenta que la sanción por no cumplir con el deber de informar es, generalmente, una parte de toda la resolución):
- Entre los motivos por los que la CNIL (autoridad francesa de protección de datos) impuso a Google una multa de 50 millones de euros, está el hecho de no haber informado de manera suficiente a los usuarios sobre cómo se recababan y utilizaban sus datos para la creación de publicidad dirigida.
- De los 5 millones de euros de la multa impuesta al BBVA por la AEPD, 3 millones son por incumplir las obligaciones de los artículos 13 y 14 del RGPD; en concreto, la resolución hace referencia al empleo de terminología imprecisa y formulaciones vagas, falta de precisión en la descripción de las categorías de datos tratadas, falta de claridad en la información facilitada sobre finalidades del tratamiento y bases de legitimación, falta de información sobre los intereses legítimos del BBVA y terceros y falta de información en relación con las actividades de perfilado desarrolladas por el banco.
- De la sanción de 6 millones de euros impuesta a CaixaBank por la AEPD, 2 millones son debidos al incumplimiento de los artículos 13 y 14 del RGPD, señalando en la resolución falta de uniformidad en los documentos informativos, terminología imprecisa y formulaciones vagas, información insuficiente respecto a las categorías de datos tratados y los tratamientos a que se destinan, confusión en la información de las bases jurídicas y falta de información respecto al perfilado que lleva a cabo la entidad.
- WhatsApp fue sancionada por la autoridad de control de Irlanda con 225 millones de euros, entre los artículos vulnerados del RGPD está el 13.
Estos son solo ejemplos de resoluciones con las sanciones más elevadas, pero la falta de consentimiento informado es un motivo, como decíamos, bastante recurrente en muchas de las resoluciones sancionadoras de la AEPD, como podemos comprobar en Enforcementtracker.com; donde muchas de las sanciones impuestas son relativas a la vulneración del artículo 13 del RGPD.
En definitiva, si eres un responsable del tratamiento, recuerda siempre la importancia de cumplir con el deber de información, tanto si la base legitimadora para el tratamiento es el consentimiento como si es otra de las contempladas en los artículos 6 y 9 del RGPD. Así mismo, asegúrate de que ofreces dicha información tal y como establece la normativa, de forma clara, sencilla y comprensible, y siempre con carácter previo al tratamiento de datos que vayas a realizar.