Como ya sabemos, una de las bases legitimadoras del tratamiento de datos personales es el consentimiento; entre los diferentes conceptos en torno al consentimiento, encontramos el principio de consentimiento del afectado, ¿pero qué es este principio?, ¿dónde se recoge en la normativa de protección de datos? En las siguientes líneas respondemos a estas preguntas.
En este artículo hablamos de:
¿Qué es el principio de consentimiento del afectado?
El principio de consentimiento del afectado era uno de los principios de la protección de datos contemplados en la ya derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); este principio, recogido en el artículo 6 de la antigua LOPD, decía que, salvo que otra ley dijera otra cosa, «el tratamiento de los datos de carácter personal requeriría del consentimiento inequívoco del afectado».
Así mismo, el artículo 3.h) definía el consentimiento del interesado como «toda manifestación de voluntad, libre, inequívoca, específica e informada», siendo necesario el consentimiento expreso para poder tratar datos especialmente protegidos. Si bien, la LOPD también reconocía el consentimiento tácito como una forma de consentimiento válido para el tratamiento de datos personales, por lo que en muchas ocasiones la simple inacción podía entenderse como consentimiento para el tratamiento de los datos y no se requería, para cumplir la LOPD, una acción afirmativa del afectado para ello, salvo, como hemos dicho, en el caso de datos sensibles.
Con la entrada en vigor del RGPD y la LOPDGDD, se producen algunos cambios en torno al consentimiento del afectado, su definición y características. De manera que el Título II de la LOPDGDD recoge los principios de la protección de datos del RGPD y el artículo 6 nos habla ahora del «Tratamiento basado en el consentimiento del afectado», que define como:
Toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Como podéis ver, la diferencia está en esa necesidad de que el consentimiento del afectado deba darse a través de una declaración o acción afirmativa de este, algo que no se mencionaba en la LOPD y que hace que las formas de consentimiento implícito o tácito ya no sean válidas.
Lo que no cambia es que para el tratamiento de datos de categorías especiales (art. 9 del RGPD), el consentimiento además debe ser expreso, es decir, el interesado debe manifestar de forma fehaciente su consentimiento para el tratamiento de ese tipo de datos (ya sea mediante firma u otra fórmula).
Además, según el principio de responsabilidad proactiva del RGPD, el responsable del tratamiento debe ser capaz de demostrar siempre que cuenta con el consentimiento inequívoco para el tratamiento de datos de los interesados, por lo que ese consentimiento debe quedar registrado.
¿Consentimiento del afectado o consentimiento del interesado?
En el apartado anterior hemos hablado tanto del consentimiento del afectado como del consentimiento del interesado y es que podemos decir que ambos términos son sinónimos en lo que a la LOPD y la LOPDGDD se refiere, ya que se usan ambos términos en el texto de estas leyes.
En el RGPD, sin embargo, solo habla del consentimiento del interesado. Pero como decimos, son términos sinónimos para referirnos a los titulares de los datos personales.
¿Cómo debe ser el consentimiento del afectado en protección de datos?
Como ya hemos dicho, el consentimiento del afectado debe ser libre, específico, informado e inequívoco, además de expreso en el caso del tratamiento de datos de categorías especiales, adopción de decisiones automatizadas y transferencias internacionales, pero el consentimiento RGPD y, por extensión en la LOPDGDD, tiene las siguientes características:
- Puede recabarse para una o varias finalidades. Si se recaba para varias finalidades, se recomienda agrupar estas por su vinculación (por ejemplo, gestión del servicio, envío de comunicaciones comerciales, cesión de datos personales a terceros, etc.).
- Debe prestarse de forma libre, es decir, no se puede supeditar la prestación de un servicio o disfrute de un bien al consentimiento para el trato de datos personales, cuando estos no son necesarios para ello (por ejemplo, para poder navegar por una página web, no debería necesitar dar mi consentimiento para el uso de cookies de terceros).
- Debe ser revocable y, además, debe ser tan fácilmente revocable como fue prestarlo.
- Debe quedar registrado, ya que, como decíamos, el responsable del tratamiento debe poder demostrar en todo momento que ha obtenido dicho consentimiento.
- Para entender como válido el consentimiento informado, esta información debe utilizar un lenguaje claro y sencillo, explicado en términos comprensibles para cualquier tipo de usuario, incluidos menores.
- Si recabamos el consentimiento junto a otras declaraciones escritas (como un contrato), debe quedar claramente diferenciado la información de protección de datos y la prestación del consentimiento del resto del documento.
No cumplir con estas características o no recabar el consentimiento del afectado, cuando este es necesario para la licitud del tratamiento, podrá ser considerado como alguna de las infracciones leves, graves y muy graves previstas en la LOPD respecto al consentimiento en protección de datos.
¿Cuándo es necesario el consentimiento del afectado para poder tratar sus datos?
Es necesario recabar el consentimiento del afectado para tratar sus datos personales, siempre que no concurra alguna de las bases legitimadoras contempladas en el artículo 6.1 del RGPD:
- b) Para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
- c) Para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- d) Para proteger intereses vitales del interesado o de otra persona física.
- e) Para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- f) Para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.
Así mismo, y como ya hemos dicho, el consentimiento del interesado será siempre necesario para el tratamiento de datos de categorías especiales.
Por lo tanto, si no concurre ninguna de las bases legitimadoras citadas, la licitud del tratamiento será el consentimiento del afectado.
¿Cómo se recoge el consentimiento del afectado en materia de protección de datos?
El consentimiento del afectado en materia de protección de datos puede recogerse de diferentes formas, siempre que estas sirvan para dejar constancia del mismo. Por lo tanto, se puede recoger por escrito mediante una declaración de consentimiento, a través de la firma de cláusulas de protección de datos, de manera digital, usando casillas de aceptación (que no estarán premarcadas) o botones de «Acepto» o de manera verbal.
Y siempre deberá suministrarse al afectado toda la información relativa al tratamiento de datos (finalidad, responsable, plazos de conservación, etc.) con carácter previo a solicitar su consentimiento, empleando para ello la fórmula más adecuada, como puede ser un anexo en los contratos o un enlace a la política de privacidad de una página web.
Gracias a la plataforma de gestión online de la protección de datos de Grupo Atico34, recabar el consentimiento de los clientes o usuarios es una tarea fácil y rápida, quedando además registrado, tal y como establece la normativa. Si quieres facilitar la gestión y cumplimiento de la Ley de Protección de Datos, no dudes en ponerte en contacto con Grupo Atico34 y preguntar por su plataforma de gestión online.