El passat 4 de maig de 2020 el Comitè Europeu de Protecció de Dades (European Data Protection Board) va aprovar “Les Directrius 05/2020 sobre el consentiment sota el Reglament 2016/679“. Guia per a interpretar i aclarir el Reglament General de Protecció de Dades (RGPD) sobre el Consentiment i la seva validesa legal.
El dret a la privacitat es vulnera dia a dia per la utilització de males pràctiques, tant a àmbit privat com públic. És evident que des de l’entrada en vigor del RGPD i la LOPDGDD les entitats estan més conscienciades a respectar la privacitat dels usuaris, però lamentablement la tecnologia i les seves pràctiques es desenvolupen molt més ràpid que el desenvolupament d’eines amb garanties.
La guia afirma que les eines per a garantir el dret a la privacitat necessiten una permanent adaptació a les novetats tecnològiques, i que els desenvolupadors han d’innovar i trobar noves solucions que serveixin de suport per al compliment normatiu.
Extraiem de la guia les directrius perquè el consentiment sigui vàlid:
1.– L’interessat ha de tenir opció d’acceptar o rebutjar el tractament de dades personals perquè el consentiment sigui vàlid.
2.– El consentiment ha d’atorgar-se per a una finalitat. Si s’agrupen múltiples finalitats de tractament es presumeix que el consentiment no es dóna lliurement, és invàlid. Si el tractament de dades busca diverses finalitats, la solució és obtenir el consentiment per a cada finalitat.
3.– Els tractaments de dades personals basades en consentiments atorgats amb desequilibri de poder es presumeixen invàlids.
4.– No és vàlid l’obtenció de consentiments per al tractament de dades personals per a altres finalitats, com a màrqueting, vinculats a l’execució de contractes de provisió de béns o serveis. Per exemple, els consentiments en contractacions de productes bancaris que inclouen una finalitat de màrqueting directe i cessió de dades a les entitats del grup serien nuls perquè el consentiment no es va atorgar lliurement.
5..– Sempre que la finalitat del tractament sigui la mateixa serà possible agrupar consentiments per a socis de negocis “controllers”. A més, de deure anunciar qui són aquests socis de negocis i s’informi i possibiliti l’exercici de drets davant aquests socis. Si no es compleixen aquestes condicions, el consentiment seria nul.
6.– El consentiment ha de ser informat, si no es proporciona informació prèvia accessible i suficient, el consentiment és invàlid. La informació mínima que s’ha de facilitar és la següent:
- La identitat del responsable.
- La finalitat de cadascuna de les operacions de processament per a les quals es sol·licita el consentiment.
- Quin tipus de dades que es recopilaran i s’utilitzaran.
- La comunicació a l’interessat dels drets que té i com exercitar-los.
- Quan escaigui la informació sobre l’ús de les dades per a la presa de decisions automatitzada i els possibles riscos de les transferències de dades.
7.– La utilització d’un llenguatge clar i senzill comprensible per a tothom. Les polítiques de privacitat llargues, difícils de llegir o emeses en argot legal es consideren invàlides.
8.– El consentiment ha de ser explícit per al tractament de categories especials de dades, per a transferències a tercers països o organitzacions internacionals sense salvaguardes i per al tractament de decisions individuals automatitzades, inclòs el perfilat.
9.– Els responsables de tractament tenen la càrrega de la prova de demostrar com, quan van obtenir el consentiment i que informació va ser proporcionada a l’interessat en aquest moment.
10.– No hi ha un límit de temps específic de durada del consentiment com a base legal del tractament. Si les operacions de tractament canvien o evolucionen considerablement, llavors el consentiment original és invàlid pel que recomana la renovació de consentiments a intervals temporals apropiats.
11.– El controlador ha de garantir que el consentiment pugui ser retirat per l’interessat tan fàcilment com s’atorga.
12.– El consentiment obtingut fins avui continua sent vàlid en la mesura en què compleixi amb les condicions establertes en el RGPD.
En conclusió, el consentiment ha de ser atorgat per un acte afirmatiu clar que estableixi una indicació lliurement donada, específica, informada i sense ambigüitats de l’acord de l’usuari. I els desenvolupadors han de trobar fórmules per a respectar la privacitat dels usuaris de manera permanent i avançar al costat de la tecnologia per a poder oferir les millors garanties de privacitat.
Més informació a la guia > Llegir la guia