El consentimiento para el tratamiento de datos es uno de los aspectos más importantes para las empresas.
En la actualidad los datos se pueden considerar el combustible que hace que las empresas crezcan y sean más competitivas, por este motivo es necesario diseñar un mecanismo adecuado para conseguir la autorización con las garantías suficientes para los titulares de la información.
La normativa anterior, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, era bastante permisiva en el tema de obtención de datos personales.
Definición de consentimiento:
El Reglamento General de Protección de Datos (RGPD) en el art. 4 ap. 11 define el consentimiento como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
La Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en su art. 6 hace la misma definición.
El control sobre la información personal debe estar en manos del interesado sin que se vea obligado o coaccionado a aceptar tratamientos de su información si no es su voluntad. Para que éste sea válido debe ser reversible sin que perjudique de ninguna manera al titular de los datos.
Elementos para un consentimiento válido
Para recabar el consentimiento de forma válida se debe tener en cuenta los siguientes aspectos que a continuación analizaremos:
1. Manifestación de voluntad libre. Es imprescindible que el titular de los datos no se encuentre obligado a aceptar por temor a las consecuencias perjudiciales que la negativa le pueda ocasionar. Por tanto, a la utilización del término libre comporta que el interesado pueda elegir libremente y pueda mantener el control sobre su información personal.
2. Manifestación de voluntad específica: La LOPDGDD en su art.6.2 indica que “Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”. El responsable debe informar al interesado cuál es la finalidad para la que se necesitan esos datos personales.
3. Manifestación de voluntad informada: El RGPD pone especial énfasis en la necesidad de reforzar la información facilitada para conseguir un consentimiento libre. Es, también, uno de los requisitos de la transparencia relacionados con los principios de lealtad y licitud. Esta información necesariamente se debe facilitar antes del inicio del tratamiento y debe mostrarse de manera accesible, ya que de otra manera el titular de los datos perdería el control. Los requisitos mínimos para que el consentimiento sea informado son:
- Identidad del responsable del tratamiento.
- La finalidad de cada una de las operaciones de tratamiento para las que se solicita en consentimiento.
- Como se van a tratar esos datos.
- Los derechos de los que es titular el interesado.
4. Manifestación de voluntad inequívoca: El RGPD determina que un consentimiento válido requiere de una manifestación inequívoca de dicha voluntad mediante una declaración o una acción afirmativa clara. En consecuencia, el interesado debe actuar de forma deliberada mediante una declaración escrita, verbal o efectuada por medios electrónicos para manifestar su consentimiento.
Consentimiento otorgado con anterioridad a la entrada en vigor del RGPD
Los Responsables que tratan datos sobre la base del consentimiento están obligados a revisar los procesos de obtención del consentimiento y a renovarlos de acuerdo con las exigencias de la nueva legislación aplicable.
Modificar únicamente las políticas de privacidad puede no ser suficiente si el procedimiento de obtención del consentimiento de los datos no fue el adecuado. Los tratamientos basados en consentimientos tácitos, por ejemplo basados en casillas pre-marcadas o inacciones se deberán analizar y determinar si existe una base jurídica que sustente el tratamiento, en caso contrario deberán obtenerse el consentimiento de acuerdo con las exigencias del RGPD.
También será necesario revisar las formas de revocación del consentimiento si se ajustan a las disposiciones del RGPD.
Conclusión
En el nuevo escenario que ofrece el RGPD y LOPDGDD, el Responsable debe diseñar todos sus procesos para obtener un consentimiento válido desde el inicio del tratamiento hasta la finalización del mismo y diseñar estrategias que le permitan ir renovando el mismo de manera periódica.
La nueva regulación supone un reto para las organizaciones y supone una implicación de los diferentes departamentos.