Consentimiento de los interesados en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Definición, condiciones y clases de consentimientos de los interesados 

1. Tratamiento basado en el consentimiento del afectado

Artículo 6 LOPDGDD

"1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual".

En primer lugar, el apartado 11 del artículo 4 del RGPD define el consentimiento del interesado como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

Es decir, el interesado deberá emitir una declaración de voluntad, por medio de la cual acepta el tratamiento de sus datos personales, que deberá reunir las siguientes características:

• Libre.
• Específica.
• Informada.
• Inequívoca.

Además, si se pretende basar el tratamiento de datos en el consentimiento del afectado para varias finalidades, será necesario que se refleje de manera específica e inequívoca que el citado consentimiento se concede para todos esos propósitos.

Sin embargo, no podrá someterse la ejecución del contrato a que el interesado acepte el tratamiento de sus datos personales con fines que no estén relacionados con él:

• Mantenimiento de la relación contractual.
• Desarrollo de la relación contractual.
• Control de la relación contractual.

CUESTIÓN

¿Qué artículos de la LOPDGDD se refieren al consentimiento del afectado para el tratamiento de sus datos?

A título ilustrativo, podemos relacionar los siguientes:

• Consentimiento de los menores de edad (artículo 7 LOPDGDD).
• Categorías especiales de datos (artículo 9 LOPDGDD).
• Sistemas de exclusión publicitaria (artículo 23LOPDGDD).
• Tratamiento de datos en el ámbito de la función estadística (artículo 25LOPDGDD).
• Tratamiento de datos relativos a infracciones y sanciones administrativas (artículo 27LOPDGDD).
• Alcance de la actividad de investigación (artículo 53LOPDGDD).
• Infracciones consideradas muy graves (artículo 72LOPDGDD).
• Infracciones consideradas graves (artículo 73LOPDGDD).
• Protección de datos de los menores en Internet (artículo 92LOPDGDD).
• Comunicación de datos por los sujetos enumerados en el artículo 77.1. (D.A. 10ª LOPDGDD).
• Tratamientos de datos de salud (D.A. 17ª LOPDGDD).
• Reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de la LOPDGDD (D.T.6ª LOPDGDD).
• Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (D.F. 9ª LOPDGDD).
• Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (D.F. 11ª LOPDGDD).
• Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (D.F. 12ª LOPDGDD).

2. Condiciones para el consentimiento del afectado establecidas en el RGPD

Artículo 7 RGPD

"1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato".

En resumen, cuando el tratamiento se base en el consentimiento del interesado el responsable tendrá que poder demostrar que aquel aceptó el tratamiento de sus datos personales.

Asimismo, si el consentimiento se da por medio de una declaración escrita que se refiera a varios fines, deberá presentarse de forma que se diferencien los diversos asuntos que recoja, de manera:

• Inteligible.
• Fácil acceso
• Lenguaje claro y sencillo.

Además, no vinculará al interesado ningún punto de la declaración que constituya una infracción de las reguladas por el RGPD.

CUESTIONES

1.- ¿Podrá el interesado retirar su consentimiento?

Sí, en virtud de lo establecido en el apartado tercero del artículo 7 del RGPD,

"El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo".

2.- ¿Cuándo podemos considerar que el consentimiento se ha prestado libremente?

El considerando 42 del RGPD expone que "el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno".

También el considerando 43 de la misma norma entiende que,

"Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular".

Se presumirá que el consentimiento no se prestado libremente cuando:

• No permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o,
• Cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

Para concluir, el apartado cuarto del artículo 7 del RGPD, concreta que, "al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato".

3.- ¿Qué preceptos del RGPD se refieren al consentimiento del interesado para el tratamiento de sus datos?

Entre otros podemos destacar los enumerados a continuación:

• Licitud del tratamiento (artículo 6 RGPD).
• Condiciones para el consentimiento (artículo 7 RGPD).
• Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información (artículo 8 RGPD).
• Tratamiento de categorías especiales de datos personales (artículo 9 RGPD).
• Información que deberá facilitarse cuando los datos personales se obtengan del interesado (artículo 13RGPD).
• Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14RGPD).
• Derecho de supresión (artículo 17RGPD).
• Derecho a la limitación del tratamiento (artículo 18RGPD).
• Derecho a la portabilidad de los datos (artículo 20RGPD).
• Decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22RGPD).
• Códigos de conducta (artículo 40RGPD).
• Excepciones para situaciones específicas (artículo 49RGPD).
• Condiciones generales para la imposición de multas administrativas (artículo 83RGPD).

3. Condiciones aplicables al consentimiento de los menores de edad

Artículo 7 LOPDGDD

"1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela".

Es decir, el tratamiento de los datos personales de un menor solamente podrá basarse en su consentimiento cuando sea mayor de catorce años, a excepción, de los casos en que la norma requiera la asistencia de los titulares de la patria potestad o de la tutela para la celebración de los actos o negocios jurídicos.

Por otra parte, cuando los datos sean de menores de catorce años el tratamiento será lícito si consta el consentimiento del titular de la patria potestad o de la tutela, con el alcance que establezcan los mismos.

CUESTIÓN

¿Qué artículos de la LOPDGDD se refieren a menores?

• Datos de las personas fallecidas (artículo 3.3. LOPDGDD).
• Consentimiento de los menores de edad (artículo 7 LOPDGDD).
• Disposiciones generales sobre ejercicio de los derechos (artículo 12.6LOPDGDD).
• Obligaciones generales del responsable y encargado del tratamiento (artículo 28.2.e) LOPDGDD).
• Designación de un delegado de protección de datos (artículo 34.1.o) LOPDGDD).
• Infracciones consideradas graves (artículo 73. a), b) LOPDGDD).
• Sanciones y medidas correctivas (artículo 76.2. f) LOPDGDD).
• Protección de los menores en internet (artículo 84LOPDGDD).
• Protección de datos de los menores en internet (artículo 92LOPDGDD).
• Derecho al testamento digital (artículo 96.1.c) LOPDGDD).
• Políticas de impulso de los derechos digitales (artículo 97LOPDGDD).
• Derechos de los menores ante Internet (D.A. 19ª LOPDGDD).

Artículo 8 RGPD

"1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño".

En otras palabras, cuando sea de aplicación el artículo 6.1. a) del RGPD con respecto a la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de datos personales de un niño será lícito cuando tenga mínimo 16 años.

En el caso de que el niño tenga menos de 16 años el tratamiento se considerará lícito si el consentimiento lo hubiera dado o hubiese sido autorizado por el titular de la patria potestad o tutela sobre el niño, y en la medida en que se haya dado o autorizado.

A mayor abundamiento, son varios los considerandos de la citada norma que se refieren a la protección específica de los datos personales de los menores de edad, entre otros, los siguientes:

a) Considerando 38 RGPD

"Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños". 

b) Considerando 58 RGPD

"El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender".

c) Considerando 65 RGPD

"Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es pertinente en particular si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet".

CUESTIONES

1.- ¿Qué estipula la letra a) del apartado primero del artículo 6 del RGPD?

Dicho precepto considera lícito el tratamiento cuando,

"a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos".

2.- ¿Podrán los Estados miembros fijar una edad inferior a la establecida en el RGPD?

Sí, los Estados miembros podrán fijar por ley una edad inferior (siempre que esta no sea inferior a 13 años). Artículo 8.1 RGPD

A TENER EN CUENTA. Lo dispuesto en el apartado primero del artículo 8 RGPD no afecta a las disposiciones generales del Derecho contractual de los Estados miembros, como por ejemplo, a las siguientes:

• Normas relativas a la validez de los contratos en relación con un niño.
• Formación de contratos relacionados con un niño.
• Efectos de los contratos en relación con un niño.

4. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

Artículo 8 LOPDGDD

"1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley".

En síntesis, el tratamiento de datos personales se considerará basado en un deber legal del responsable cuando lo disponga una norma de Derecho de la Unión Europea o una norma con rango de ley que podrán establecer lo siguiente:

• Condiciones generales del tratamiento de datos.
• Tipos de datos objeto de tratamiento.
• Cesiones derivadas de una obligación legal.

Asimismo, la norma de referencia podrá establecer requisitos especiales, como por ejemplo la adopción de medidas adicionales de seguridad u otras del capítulo IV del RGPD.

Por otra parte, el tratamiento de datos personales se estimará fundado en el cumplimiento del interés público o en ejercicio de los poderes públicos atribuidos al responsable del tratamiento de datos, cuando proceda de una competencia derivada de una norma con rango de ley.

CUESTIÓN

¿Cuáles son los términos del artículo 6.1.c) y del 6.1.e) del RGPD?

Se considera lícito el tratamiento cuando es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; y, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

A TENER EN CUENTA. La D.A. 12ª de la LOPDGDD regula las siguientes disposiciones específicas aplicables a los tratamientos de los registros personales del sector público:

"1. Los tratamientos de los registros de personal del sector público se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables, de acuerdo con lo previsto en el artículo 6.1.e) del Reglamento (UE) 2016/679.

2. Los registros de personal del sector público podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines.

3. De acuerdo con lo previsto en el artículo 18.2 del Reglamento (UE) 2016/679, y por considerarlo una razón de interés público importante, los datos cuyo tratamiento se haya limitado en virtud del artículo 18.1 del citado reglamento, podrán ser objeto de tratamiento cuando sea necesario para el desarrollo de los procedimientos de personal".