Cómo funciona el consentimiento en el Reglamento Europeo de Protección de Datos

EN QUÉ CONSISTE EL CONSENTIMIENTO

El consentimiento es uno de los pilares básicos que caracteriza toda política de protección de datos, en este sentido, el apartado 11 del artículo 4 del Reglamento General de Protección de Datos (en adelante, RGPD) nos dice que consentimiento del interesado es "Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Es decir, el RGPD determina cómo ha de prestar el consentimiento, el cual tiene 4 características, que son:

1. Consentimiento Libre: No puede prestarse bajo ningún tipo de coacción ni tampoco puede condicionarse como puede ser (por ejemplo) ante una rebaja de un servicio.
   
   
2. Consentimiento específico: No procede otorgar un consentimiento general, tal y como se venía realizando, sino que debe especificarse la finalidad del consentimiento.
   
   
3. Consentimiento informado: Se trata de informar al usuario de la finalidad del tratamiento, el nombre del responsable del tratamiento, cómo van a ser tratados los datos y los derechos de los que es titular la persona.
   
   
4. Consentimiento inequívoco: Es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Se entiende que el interesado presta este consentimiento cuando sabe, sin lugar a dudas, que está otorgando su beneplácito. Es por ello que no admite formas de consentimiento tácito o por omisión (que se basan en la inacción). 
   
   

De esta manera, el tipo de consentimiento que genera menos riesgo es el explícito el cual se utiliza para el tratamiento de datos sensibles, la adopción de decisiones automatizadas o en las transferencias internacionales. Como excepción, el consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

De esta manera, tanto el silencio, la inacción o las casillas previamente seleccionadas como forma de recabar el consentimiento, no son formas válidas. Por otro lado, será tan fácil retirar el consentimiento como otorgarlo y, por último, es el responsable del tratamiento el que tendrá que poder demostrar que se ha obtenido el consentimiento del interesado.

EL PROCESO DE ADAPTACIÓN AL RGPD

Debemos tener en cuenta que los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa. Por lo que la adaptación podrá llevarse a cabo de dos maneras:

• Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.

• Valorando si los tratamientos afectados pueden apoyarse en otra base legal como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

El art. 7 RGPD determina las condiciones para el consentimiento y dice, en su apartado 1, que "Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales". Es decir, todos los correos electrónicos recibidos por empresas privadas, derivadas de la entrada en vigor del RGPD, tiene su justificación en el presente artículo, toda vez que recae sobre dicha empresa la carga de la prueba a la hora de tener que demostrar que el cliente ha otorgado su consentimiento.

EDAD MÍNIMA PARA PRESTAR EL CONSENTIMIENTO

En cuanto a la edad mínima para poder otorgar el consentimiento en esta materia, el RGPD permite a los Estados Miembros establecerla, siempre que no sea menor de 13 años. En el caso de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia.

La mención más explícita a los menores (niños, en la terminología del RGPD) está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad.

El RGPD requiere que los responsables hagan esfuerzos razonables, teniendo en cuenta la tecnología disponible, para verificar que, para los niños menores de la edad que se fije como límite, el consentimiento se ha dado o se ha autorizado por los padres o tutores del menor (no es una obligación en sí, sino tan sólo de medios o procedimientos razonables para establecer la intervención real de padres o tutores).

EL CONSENTIMIENTO A TRAVÉS DE PÁGINA WEB

Se considera válido insertar una casilla para marcar en una página web, de manera que la aceptación se realice a través de un "click" de una política de privacidad en la que se otorga al interesado, de manera expresa, la posibilidad de decidir en cuanto a la aceptación, o no, del tratamiento de los datos. Debemos tener en cuenta que la casilla no se puede encontrar premarcada.