El pasado 4 de mayo de 2020 el Comité Europeo de Protección de Datos (European Data Protection Board) aprobó “Las Directrices 05/2020 sobre el consentimiento bajo el Reglamento 2016/679”. Guía para interpretar y aclarar el Reglamento General de Protección de Datos (RGPD) sobre el Consentimiento y su validez legal.
El derecho a la privacidad se vulnera día a día por la utilización de malas prácticas, tanto en ámbito privado como público. Es evidente que desde la entrada en vigor del RGPD y la LOPDGDD las entidades están más concienciadas en respetar la privacidad de los usuarios, pero lamentablemente la tecnología y sus prácticas se desarrollan mucho más rápido que el desarrollo de herramientas de garantías.
La guía afirma que las herramientas para garantizar el derecho a la privacidad necesitan de una permanente adaptación a las novedades tecnológicas, y que los desarrolladores deben innovar y encontrar nuevas soluciones que sirvan de apoyo para el cumplimiento normativo.
Extraemos de la guía las directrices para que el consentimiento sea válido:
1.– El interesado debe tener opción de aceptar o rechazar el tratamiento de datos personales para que el consentimiento sea válido.
2.– El consentimiento debe otorgarse para una finalidad. Si se agrupan múltiples finalidades de tratamiento se presume que el consentimiento no se da libremente es inválido. Si el tratamiento de datos busca varias finalidades la solución es obtener el consentimiento para cada finalidad.
3.– Los tratamientos de datos personales basados en consentimientos otorgados con desequilibrio de poder se presumen inválidos.
4.– No es válido la obtención de consentimientos para el tratamiento de datos personales para otros fines, como marketing, vinculados a la ejecución de contratos de provisión de bienes o servicios. Por ejemplo, los consentimientos en contrataciones de productos bancarios que incluyen una finalidad de marketing directo y cesión de datos a las entidades del grupo serían nulos puesto que el consentimiento no se otorgó libremente.
5.– Siempre que la finalidad del tratamiento sea la misma será posible agrupar consentimientos para socios de negocios “controllers”. Además, de debe anunciar quiénes son estos socios de negocios y se informe y posibilite el ejercicio de derechos ante estos socios. Si no se cumplen estas condiciones el consentimiento sería nulo.
6.– El consentimiento debe ser informado, si no se proporciona información previa accesible y suficiente, el consentimiento es inválido. La información mínima que se debe facilitar es la siguiente:
- La identidad del responsable.
- La finalidad de cada una de las operaciones de procesamiento para las cuales se solicita el consentimiento.
- Qué tipo de datos que es recopilarán y utilizarán.
- La comunicación al interesado de los derechos que tiene y como ejercitarlos.
- Cuando proceda la información sobre el uso de los datos para la toma de decisiones automatizada y los posibles riesgos de las transferencias de datos.
7.– La utilización de un lenguaje claro y sencillo comprensibles para todo el mundo. Las políticas de privacidad largas, difíciles de leer o emitidas en jerga legal se consideran inválidas.
8.– El consentimiento debe ser explícito para el tratamiento de categorías especiales de datos, para transferencias a terceros países u organizaciones internacionales sin salvaguardas y para el tratamiento de decisiones individuales automatizadas, incluyendo el perfilado.
9.– Los responsables de tratamiento tienen la carga de la prueba de demostrar cómo, cuándo obtuvieron el consentimiento y que información fue proporcionada al interesado en ese momento.
10.– No hay un límite de tiempo específico de duración del consentimiento como base legal del tratamiento. Si las operaciones de tratamiento cambian o evolucionan considerablemente, entonces el consentimiento original es inválido por lo que recomienda la renovación de consentimientos a intervalos temporales apropiados.
11.– El controlador debe garantizar que el consentimiento pueda ser retirado por el interesado tan fácilmente como se otorga.
12.– El consentimiento obtenido hasta la fecha sigue siendo válido en la medida en que cumpla con las condiciones establecidas en el RGPD.
En conclusión, el consentimiento debe ser otorgado por un acto afirmativo claro que establezca una indicación libremente dada, específica, informada y sin ambigüedades del acuerdo del usuario. Y los desarrolladores deben encontrar fórmulas para respetar la privacidad de los usuarios de forma permanente y avanzar junto a la tecnología para poder ofrecer las mejores garantías de privacidad.
Más información a la guía > Leer la guía