Condiciones del consentimiento en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/06/2018

El “consentimiento del interesado” es definido por el RGPD como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

La delimitación del conceptual que establece el Reglamento introduce el término “inequívoco”, característica esta que no contemplaba la Directiva 95/46 derogada.  Así, atendiendo a lo dispuesto en el considerando 32, el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

En este sentido, el considerando citado ejemplifica -sin animo exhaustivo, pero con una clara vocación pedagógica- determinadas formas a través de las cuales el interesado puede expresar su consentimiento , señalando que tal manifestación “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”

Por tanto, atendiendo a lo dispuesto en el RGPD, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Asimismo, el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. En consecuencia, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Para que el consentimiento pueda considerase informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales.

 Por tanto resultará necesario que la información sea facilitada al interesado antes del tratamiento, en caso contrario, el tratamiento no podrá ser considerado lícito.  

Como señalamos, el consentimiento debe ser prestado libremente.  Pues bien, el Grupo de Trabajo del Articulo 29 -en su dictamen 15/2011-, ha expresado que tal libertad consiste que «el interesado puede hacer una elección real y no haya ningún riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. Si las consecuencias del consentimiento socavan la libertad de elección de la persona, el consentimiento no es libre».

En este mismo sentido se ha pronunciado (1) la Agencia Española de Protección de Datos (AEPD) al indicar que un consentimiento libre “supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento”.

En todo caso, y sin perjuicio de que resulte pertinente atender a los criterios mencionados, el propio Reglamento -en el considerando 42-  es claro al señalar que el consentimiento no se considerará libremente prestado cuando el interesado no goza de verdadera o libre elección, o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

 Pues bien, al objeto de garantizar que el consentimiento se otorgue libremente, el considerando 43 determina que el consentimiento prestado en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, no constituirá un fundamento jurídico válido para el tratamiento de datos de carácter personal. Este desequilibrio, se aprecia particularmente cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.

Asimismo, y conforme el citado considerando 43 indica, se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

Esto podría ocurrir, por ejemplo, - atendiendo al criterio del Grupo de Trabajo del artículo 29- cuando estamos ante un empleado dada la dependencia de éste en la relación laboral, ya que ante el temor de un riesgo real de perjuicio que pudiera tener su negativa a proporcionar su consentimiento, daría un consentimiento viciado.

En todo caso, y como acertadamente ha expresado el Grupo de Trabajo del artículo 29, pueden existir supuestos en los que se produzca un desequilibrio entre las partes, y en los que, para que el consentimiento sea válido, lo esencial será permitir que el interesado pueda ejercer una elección real, sin que haya riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. En este sentido, libre significaría consentir sin estar sometido a condición alguna que interfiera en la manifestación de la voluntad.

Por último, resulta necesario señalar que  -conforme determina el considerando 171 - cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.

Condiciones del consentimiento

Atendiendo a lo expuesto anteriormente, cabe preguntarse ¿cómo debe de prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda considerarse licito? (2)

Pues bien, como veremos, las condiciones que debe de reunir el consentimiento inciden tanto en aspecto formales como sustanciales. Así, el artículo 7 del Reglamento determina:

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

En relación con la acreditación del consentimiento en los contratos celebrados con consumidores, resulta necesario atender a lo dispuesto en el considerando 42 , por cuanto  señala que  “de acuerdo con la Directiva 93/13  debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas.

Podemos concluir, sin miedo a equivocarnos, que el responsable deberá de acreditar no solo que el interesado ha otorgado su consentimiento, sino que tal decisión ha sido adoptada libremente, entendiendo que tal libertad  precisa tanto del previo  conocimiento y comprensión de las condiciones, finalidad y consecuencia del tratamiento, como de la  ausencia de condicionamientos que puedan interferir en la toma de decisión.

  1. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

En relación con el contenido de este segundo párrafo del artículo 7, resulta necesario atender al considerando 32 que -de forma expresa- determina que el consentimiento para el tratamiento de los datos personales “debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines”. En consecuencia, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Por otra parte, desde una perspectiva negativa, en modo alguno se puede obviar la presunción establecida en el considerando 43. Así, se presumirá que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

En todo caso debemos considerar esta presunción como “iuris tantum” por lo que admitirá prueba en contra.

  1. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

La conceptualización del derecho a la protección de datos como un derecho fundamental configurado esencialmente por la capacidad de cada persona de controlar los datos personales que le conciernen, determina que el interesado pueda revocar -en cualquier momento y a su exclusivo arbitrio- el consentimiento anteriormente otorgado.

El Tribunal Constitucional, en su STC 254/1993, ha señalado que “ el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos … que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer….”

 Pues bien, entre esos deberes impuestos a terceros, se encuentra el de facilitar al interesado la posibilidad de revocar el consentimiento previamente otorgado. Así, cuando la base jurídica que legitima el tratamiento sea el consentimiento, el interesado tiene derecho a retirarlo o revocarlo en cualquier momento sin que el responsable del tratamiento pueda imponer condiciones gravosas que impidan o dificulten tal revocación. Es decir, la revocación del consentimiento deberá ser igual de sencillo que su otorgamiento.

 En todo caso, debe tomarse en consideración que la revocación del consentimiento no tiene efecto retroactivo, por lo que esta decisión no alterará la licitud del tratamiento fundamentado en el consentimiento prestado con anterioridad a la revocación.

  1. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

            Haciendo nuestras las palabras del Grupo de Trabajo del artículo 29, debemos entender que el RGPD quiere asegurarse de que el tratamiento de los datos personales para los que se requiere el consentimiento del interesado no se convierta, directa o indirectamente, en la contraprestación del contrato.

Así, en la línea de lo dispuesto en el artículo 7.4 del RGPD el citado Grupo de Trabajo ha indicado que resultará especialmente necesario prestar la debida atención a si , entre otras circunstancias,  la aceptación de los términos y condiciones que son objeto del consentimiento están “agrupadas” o  si el consentimiento se encuentra innecesariamente asociado - “atado”-  a la provisión de un contrato o un servicio cuando los datos personales solicitados no resultan necesarios para ejecutar o cumplir el contrato o prestar efectivamente el servicio.

En consecuencia, de existir este agrupamiento o vinculación, podrá llegar a considerase que el consentimiento se encuentra condicionado y por tanto que no ha sido prestado libremente.

Condiciones aplicables al consentimiento del menor

Conforme dispone el considerando 38 del RGPD, los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales.

Pues bien, el citado Reglamento establece por primera vez a nivel europeo una regulación específica del tratamiento de los datos personales de los menores articulada en torno a las condiciones del consentimiento para tratar aquellos.

Antes de analizar la especificidad de la que hablamos, debemos señalar que si bien -como dijimos- esta resulta novedosa a nivel comunitario, no ocurre lo mismo en la legislación nacional, por cuanto que ya en el artículo 13  del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal, se regulaba el “Consentimiento para el tratamiento de datos de menores de edad”.

En relación a la normativa comunitaria cuyo análisis nos ocupa, resulta necesario atender a lo dispuesto en el artículo 8 cuyo título “Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información”  pudiera inducirnos a pensar que únicamente resulta aplicable al consentimiento que deba ser prestado en el ámbito del uso de las nuevas tecnología . Sin embargo, ello no es así, ya que diversos considerandos se refieren a la protección especifica de los datos relativos a menores sin circunscribir tal protección exclusivamente al ámbito de la Red.

Pues bien, una vez realizada esta necesaria aclaración, conforme dispone el citado artículo 8.1,RGPD, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años.

En el caso de que el niño sea menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.  No obstante, atendiendo a lo señalado en el considerando 38 el consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños.

El articulo 8 permite expresamente a los Estados miembros establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años, por lo que en este sentido deberemos atender al criterio del legislador que entendemos se concretará en la futura Ley Orgánica de Protección de Datos .

Con respecto a la forma en la que deberá de informarse al menor al objeto de que pueda prestar el consentimiento,  el articulo 8 nada dice, por lo que deberemos de atender a la regla general establecida en el artículo 12.1, que exige que la información sea “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.”

Por último, debemos señalar que lo dispuesto en el apartado 1 del artículo 8 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

(1) En un informe jurídico sobre los caracteres del consentimiento definido por la Ley Orgánica 15/1999 de 13 de Dic (Protección de Datos de Carácter Personal)

(2) Recordemos que , para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el RGPD, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.

No hay versiones para este comentario

Tratamiento de datos personales
Datos personales
Responsable del tratamiento
Consentimiento del interesado
Protección de datos
Intimidación
Declaración por escrito
Actividades de tratamiento de datos
Derechos fundamentales
Vicios del consentimiento
Cláusula abusiva
Clausula contractual abusiva
Presunción iuris tantum
Prueba en contrario
Tutela
Retroactividad
Contraprestación
Patria potestad
Menor de edad
Consentimiento expreso para el tratamiento de datos
Menor de dieciséis años
Cumplimiento de las obligaciones

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Real Decreto 1720/2007 de 21 de Dic (Reglamento de desarrollo de la LO 15/1999, de proteccion de datos de caracter personal) VIGENTE

Boletín: Boletín Oficial del Estado Número: 17 Fecha de Publicación: 19/01/2008 Fecha de entrada en vigor: 19/04/2008 Órgano Emisor: Ministerio De Justicia

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Comunidad de propietarios y protección de datos

    Orden: Civil Fecha última revisión: 30/06/2016

    En cuanto a las obligaciones de la comunidad de propietarios en relación con la protección de datos es preciso tener en cuenta la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, cuyo objeto es garantizar ...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados