El consentiment per al tractament de dades és un dels aspectes més importants per a les empreses.
En l’actualitat les dades es poden considerar el combustible que fa que les empreses creixin i siguin més competitives, per aquest motiu és necessari dissenyar un mecanisme adequat per aconseguir l’autorització amb les garanties suficients per als titulars de la informació.
La normativa anterior, Llei orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, era bastant permissiva en el tema de l’obtenció de dades personals.
Definició de consentiment:
El Reglament General de Protecció de Dades (RGPD) en l’art. 4 ap. 11 defineix el consentiment com: “tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen”.
La Llei 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD) en el seu art. 6 fa la mateixa definició.
El control sobre la informació personal ha d’estar en mans de l’interessat sense que es vegi obligat o coaccionat a acceptar tractaments de la seva informació si no és la seva voluntat. Perquè aquest sigui vàlid ha de ser reversible sense que perjudiqui de cap manera al titular de les dades.
Elements per a un consentiment vàlid
Per a recaptar el consentiment de forma valida s’ha de tenir en compte els següents aspectes que a continuació analitzarem:
1. Manifestació de voluntat lliure: És imprescindible que el titular de les dades no es trobi obligat a acceptar per temor a les conseqüències perjudicials que la negativa li pugui ocasionar. Per tant, a la utilització del terme lliure comporta que l’interessat pugui triar lliurement i pugui mantenir el control sobre la seva informació personal.
2. Manifestació de voluntat específica: La LOPDGDD en el seu art.6.2 indica que “Quan es pretengui fundar el tractament de les dades en el consentiment de l’afectat per a una pluralitat de finalitats caldrà que consti de manera específica i inequívoca que aquest consentiment s’atorga per a totes elles”.
El responsable ha d’informar a l’interessat quina és la finalitat per a la qual es necessiten aquestes dades personals.
3. Manifestació de voluntat informada: El RGPD posa especial èmfasi en la necessitat de reforçar la informació facilitada per a aconseguir un consentiment lliure. És, també, un dels requisits de la transparència relacionats amb els principis de lleialtat i licitud. Aquesta informació necessàriament s’ha de facilitar abans de l’inici del tractament i ha de mostrar-se de manera accessible, ja que d’una altra manera el titular de les dades perdria el control. Els requisits mínims perquè el consentiment sigui informat són:
- Identitat del responsable del tractament.
- La finalitat de cadascuna de les operacions de tractament per a les quals se sol·licita en consentiment.
- Com es tractaran aquestes dades.
- Els drets dels quals és titular l’interessat.
4. Manifestació de voluntat inequívoca: El RGPD determina que un consentiment vàlid requereix d’una manifestació inequívoca d’aquesta voluntat mitjançant una declaració o una acció afirmativa clara. En conseqüència, l’interessat ha d’actuar de forma deliberada mitjançant una declaració escrita, verbal o efectuada per mitjans electrònics per a manifestar el seu consentiment.
Consentiment atorgat amb anterioritat a l’entrada en vigor del RGPD
Els Responsables que tracten dades sobre la base del consentiment estan obligats a revisar els processos d’obtenció del consentiment i a renovar-los d’acord amb les exigències de la nova legislació aplicable.
Modificar únicament les polítiques de privacitat pot no ser suficient si el procediment d’obtenció del consentiment de les dades no va ser l’adequat. Els tractaments basats en consentiments tàcits, per exemple basats en caselles pre-marcades o inaccions s’hauran d’analitzar i determinar si existeix una base jurídica que sustenti el tractament, en cas contrari hauran d’obtenir-se el consentiment d’acord amb les exigències del RGPD.
També serà necessari revisar les formes de revocació del consentiment si s’ajusten a les disposicions del RGPD.
Conclusió
En el nou escenari que ofereix el RGPD i LOPDGDD, el Responsable ha de dissenyar tots els seus processos per a obtenir un consentiment vàlid des de l’inici del tractament fins a la finalització del mateix i dissenyar estratègies que li permetin anar renovant el mateix de manera periòdica.
La nova regulació suposa un repte per a les organitzacions i suposa una implicació dels diferents departaments.