Condiciones del consentimiento en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

Atendiendo a lo expuesto en el tema general sobre el consentimiento, cabe preguntarse ¿cómo debe prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda considerarse licito?, ¿en qué supuestos específicos se considera una excepción a la prohibición de tratamientos? o ¿qué ocurre si se retira el consentimiento?

Recordemos en primer lugar que, para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en virtud del RGPD o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el RGPD, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.

Pues bien, como veremos, las condiciones que debe de reunir el consentimiento inciden tanto en aspecto formales como sustanciales. Así, el artículo 7 del RGPD determina:

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

En relación con la acreditación del consentimiento en los contratos celebrados con consumidores, resulta necesario atender a lo dispuesto en el considerando 42 , por cuanto  señala que  “de acuerdo con la Directiva 93/13  debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas". Podemos concluir, sin miedo a equivocarnos, que el responsable deberá acreditar no solo que el interesado ha otorgado su consentimiento, sino que tal decisión ha sido adoptada libremente, entendiendo que tal libertad  precisa tanto del previo  conocimiento y comprensión de las condiciones, finalidad y consecuencia del tratamiento, como de la  ausencia de condicionamientos que puedan interferir en la toma de decisión.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

En relación con el contenido de este segundo párrafo del artículo 7, resulta necesario atender al considerando 32 que -de forma expresa- determina que el consentimiento para el tratamiento de los datos personales “debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines”. En consecuencia, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Por otra parte, desde una perspectiva negativa, en modo alguno se puede obviar la presunción establecida en el considerando 43. Así, se presumirá que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento. En todo caso debemos considerar esta presunción como “iuris tantum” por lo que admitirá prueba en contra.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

La conceptualización del derecho a la protección de datos como un derecho fundamental configurado esencialmente por la capacidad de cada persona de controlar los datos personales que le conciernen, determina que el interesado pueda revocar -en cualquier momento y a su exclusivo arbitrio- el consentimiento anteriormente otorgado.

El Tribunal Constitucional, en su STC 254/1993, ha señalado que “ el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos … que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer…”. Pues bien, entre esos deberes impuestos a terceros, se encuentra el de facilitar al interesado la posibilidad de revocar el consentimiento previamente otorgado. Así, cuando la base jurídica que legitima el tratamiento sea el consentimiento, el interesado tiene derecho a retirarlo o revocarlo en cualquier momento sin que el responsable del tratamiento pueda imponer condiciones gravosas que impidan o dificulten tal revocación. Es decir, la revocación del consentimiento deberá ser igual de sencillo que su otorgamiento. En todo caso, debe tomarse en consideración que la revocación del consentimiento no tiene efecto retroactivo, por lo que esta decisión no alterará la licitud del tratamiento fundamentado en el consentimiento prestado con anterioridad a la revocación.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Haciendo nuestras las palabras del Grupo de Trabajo del artículo 29, debemos entender que el RGPD quiere asegurarse de que el tratamiento de los datos personales para los que se requiere el consentimiento del interesado no se convierta, directa o indirectamente, en la contraprestación del contrato. Así, en la línea de lo dispuesto en el artículo 7.4 del RGPD el citado Grupo de Trabajo ha indicado que resultará especialmente necesario prestar la debida atención a si , entre otras circunstancias,  la aceptación de los términos y condiciones que son objeto del consentimiento están “agrupadas” o  si el consentimiento se encuentra innecesariamente asociado - “atado”-  a la provisión de un contrato o un servicio cuando los datos personales solicitados no resultan necesarios para ejecutar o cumplir el contrato o prestar efectivamente el servicio. En consecuencia, de existir este agrupamiento o vinculación, podrá llegar a considerase que el consentimiento se encuentra condicionado y por tanto que no ha sido prestado libremente.

 

El artículo 9, por su parte, con respecto al tratamiento de categorías especiales de datos, indica que queda prohibido el tratamiento de este tipo de datos, salvo que el interesado haya dado su consentimiento explícito para el tratamiento de dichos datos con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición no puede ser levantada por el interesado.

Igualmente con respecto al ejercicio del derecho de supresión por parte del interesado, si este retira el consentimiento, deberá obtenerse sin dilación indebida su supresión, y si se ha solicitado la limitación del tratamiento, los datos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro. Con respecto a la toma de decisiones basadas únicamente en el tratamiento automatizado, incluída la elaboración de perfiles, se podrá basar en el consentimiento explícito del interesado.

Por lo que respecta a las transferencias internacionales de datos a un tercer país u organización internacional, en ausencia de una decisión o de garantías adecuadas, serán válidas si el interesado ha dado explícitamente su consentimiento, tras hacer sido informado de los posibles riesgos debido a la ausencia de una decisión de adecuación y de garantías adecuadas, o bien si la transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

 

Por lo que respecta a la LOPDGDD, el artículo 6, básicamente hace referencia a lo estipulado en el RGPD, si bien, se indica específicamente:

- que para que sea lícito el consentimiento del afectado para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que se otorga para todas ellas;

- en cuanto a los datos manejados por parte de órganos constitucionales, jurisdiccionales, Administraciones Públicas, autoridades administrativas, y demás entidades recogidas en el art. 77 LOPDGDD, se establece que estos podrán comunicárselos a sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e interesas de los afectados;

- sobre el tratamiento de datos de salud, el tratamiento de este tipo de datos en la investigación se regirá por los siguientes criterios:

a) El interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica. Tales finalidades podrán abarcar categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora.

b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.

c) Se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.

- en cuanto a la reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de la LOPDGDD, se considerará lícita y compatible cuando concurra alguna de las circunstancias siguientes:

a) Que dichos datos personales se utilicen para la finalidad concreta para la que se hubiera prestado consentimiento.

b) Que, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen tales datos para finalidades o áreas de investigación relacionadas con la especialidad médica o investigadora en la que se integrase científicamente el estudio inicial.

 

Finalmente con respecto a las infracciones, el RGPD únicamente menciona la sanción respecto al incumplimiento de las condiciones para el consentimiento con multas administrativas de hasta 20.000.000 € o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. La nueva LOPDGDD ha sido algo más específica en algunos casos concretos, permitiéndonos conocer los plazos de prescripción y la sanción a la que nos enfrentaríamos, al establecer que:

- la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello, supondrá una infracción considerada muy grave

- el tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, supondrá una infracción considerada grave, al igual que no acreditar la realización de esfuerzos razonables para verificar la validad del consentimiento de ese menor o los titulares de la patria potestad o tutela.

No hay versiones para este comentario

Datos personales
Tratamiento de datos personales
Consentimiento del interesado
Responsable del tratamiento
Protección de datos
Derechos fundamentales
Cumplimiento de las obligaciones
Cláusula abusiva
Clausula contractual abusiva
Declaración por escrito
Actividades de tratamiento de datos
Presunción iuris tantum
Prueba en contrario
Retroactividad
Contraprestación
Tratamiento de categorías especiales
Dilaciones indebidas
Limitación del tratamiento de datos
Interés publico
Elaboración de perfiles
Persona física
Tutela
Patria potestad
Representación legal
Interés legitimo
Multa administrativa
Plazo de prescripción
Menor de edad
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

  • Principio de licitud en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 21/01/2019

    Como se deduce de la literalidad del articulo 6 del RGPD, el denominado "principio de licitud" se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de anális...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados