Consentimiento explícito en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 30/01/2019

El consentimiento explícito se requiere en determinadas situaciones en las que existe un grave riesgo en relación con la protección de los datos y en las que se considera adecuado que exista un elevado nivel de control sobre los datos personales.

En virtud  del  RGPD, el consentimiento además de ser inequívoco deberá ser explícito en las siguientes situaciones:

- para el tratamiento de categorías especiales de  datos  personales, 

- en las  disposiciones  sobre  la  transferencia  de  datos  a  terceros  países  u organizaciones internacionales en ausencia de garantías adecuadas, puesto que dicho consentimiento explícito puede levantar la prohibición sobre esa transferencia de datos a otros países sin niveles adecuados de legislación sobre protección de datos (téngase en cuenta el Documento de trabajo relativo a una interpretación común del artículo 26, apartado 1, de la Directiva 95/46/CE, de 24 de octubre de 1995 (WP 114), p. 11, en el que el GT29 había indicado que el consentimiento para la transferencia de datos que tiene lugar de manera periódica o permanente es inapropiado), y

- en cuanto a la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles, ya que el artículo 22.2.c) del RGPD deja claro que un responsable del tratamiento podrá proseguir con una decisión automatizada  que pueda afectar de manera significativa a la persona, con el consentimiento explícito del interesado. ]El GT29 ha elaborado directrices específicas sobre este tema: Directrices del GT29 sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento (UE) 2016/679, de 3 de octubre de 2017 (WP 251)].

El RGPD estipula por tanto que el requisito previo de un consentimiento es "una declaración o una clara acción afirmativa".  Dado que el requisito de consentimiento en el RGPD se ha elevado en comparación con el requisito de consentimiento contemplado en la antigua Directiva 95/46/CE, deben aclararse qué esfuerzos adicionales debería realizar el responsable del tratamiento con el fin de obtener el consentimiento explícito del interesado en consonancia con el RGPD, tal y como indica el Grupo de trabajo del Artículo 29 sobre protección de datos en sus "Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679".

El término explícito se refiere a la manera en que el interesado expresa el consentimiento y significa que el interesado debe realizar una declaración expresa de consentimiento. La manera más sencilla y evidente de garantizar que  el consentimiento es explícito sería en una declaración escrita, asegurandose por ejemplo el responsable de que el interesado firma la declaración escrita, con el fin de eliminar cualquier posible duda o falta de prueba en el futuro.

No obstante, dicha declaración firmada no es el único modo de obtener el consentimiento explícito, puesto que por ejemplo, en el ámbito digital, un interesado puede emitir el consentimiento rellenando un impreso electrónico, enviando un correo electrónico, cargando un documento escaneado con su firma o utilizando su firma electrónica.  Además, en teoría, el uso de declaraciones verbales también puede ser una forma válida, sin embargo, puede resultar difícil demostrar que se cumplieron todas las condiciones para el consentimiento explícito válido cuando se grabó esa declaración, por ejemplo,  mediante  una  conversación telefónica, siempre que la información sobre las opciones sea  justa, inteligible y clara y pida una confirmación específica del interesado (por  ejemplo, pulsando un botón o proporcionando confirmación verbal). De cualquier modo, se suele recomendar cualquiera de las otras opciones.

La verificación del consentimiento en dos fases también puede ser una forma de garantizar que el consentimiento explícito sea válido (por  ejemplo, un interesado recibe un correo electrónico notificándole la intención del responsable del tratamiento de tratar un historial que contiene datos médicos y le solicita el consentimiento para el uso de una serie de datos con un fin específico.  Si el interesado autoriza el uso de esos datos, el responsable le pide que envíe un correo electrónico de respuesta que contenga las palabras «Estoy de acuerdo» y tras enviar su respuesta, el interesado recibe un enlace de verificación en el que debe hacer clic o un mensaje SMS con un código de verificación, para confirmar su autorización).

 

Además tal y como indica el Grupo de trabajo del Artículo 29, "el artículo 9.2 del RGPD, no reconoce la circunstancia de «necesario para la ejecución de un contrato» como una excepción a la prohibición general de tratar categorías especiales de datos, por lo tanto, los responsables y los Estados miembros  que aborden esta situación deben estudiar las excepciones específicas que figuran en el artículo 9.2, letras b) a j). En el caso de que no se aplique ninguna de las excepciones enumeradas en las letras b) a j), la única excepción lícita para procesar dichos datos es obtener el consentimiento explícito de conformidad con las condiciones para el consentimiento válido que figuran en el RGPD". Proponen, para que lo entendamos, dos ejemplos:

- Una compañía aérea ofrece un servicio de asistencia en viaje para pasajeros que no pueden viajar  sin  asistencia,  por  ejemplo,  debido  a  una  discapacidad.  Si un cliente  reserva  un  vuelo y requiere asistencia en viaje para poder embarcar en el avión la compañía le pide que facilite información  sobre  su  estado  de  salud  con  el  fin  de  disponer  los  servicios  adecuados (por ejemplo, una silla de ruedas en la puerta de llegada o un asistente que viaje con esta persona, etc). La compañía pide el consentimiento explícito para tratar los datos de salud de este cliente con el fin de organizar el servicio de asistencia en viaje solicitado. Dado que los datos son necesarios para la prestación del servicio solicitado, no se aplica el artículo 7.4 del RGPD.

- Una empresa se especializa en el suministro de gafas de esquí hechas a medida y otros tipos de gafas personalizadas para deportes al aire libre. La idea es que los clientes puedan utilizar estas gafas sin necesidad de utilizar sus gafas graduadas. La empresa recibe pedidos en un punto centralizado y envía sus productos a toda la UE desde un único lugar.  Con el fin de proporcionar sus productos personalizados a clientes que tienen problemas de visión, este responsable del tratamiento solicita el consentimiento para utilizar la información sobre la graduación del cliente.  Los clientes facilitan los datos necesarios en línea cuando hacen su pedido. Sin esa información no es posible responder a la solicitud de gafas hechas a medida. La empresa ofrece también gafas con valores correctores estándar por lo que los clientes que no deseen compartir sus datos sanitarios pueden optar por las versiones estándar. Por tanto, se requiere un consentimiento explícito en virtud del artículo 9 y puede considerarse que el consentimiento se da libremente.

 

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) hace mención al consentimiento expreso de los afectados en determinados supuestos concretos, tales como:

- el tratamiento de datos, de categorías especiales de datos y de datos de naturaleza penal, en el ámbito de la función estadística pública pues sólo podrán recogerse previo consentimiento expreso de los afectados,

- la modificación de la Ley 19/2013 de 9 de diciembre de transparencia, acceso a la información pública y buen gobierno, establece que si la información solicitada contuviera datos sensibles o especialmente protegidos, o datos relativos a la comisión de infracciones penales o administrativas, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso o si aquel estuviese amparado por una norma con rago de ley.

- la modificación del art. 28.3 de la Ley 39/2018 de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, estableciendo que "Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario. Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación".

En cuanto al resto de menciones sobre el consentimiento se refiere o remite a la norma europea (RGPD).

No hay versiones para este comentario

Protección de datos
Responsable del tratamiento
Transferencia de datos personales
Elaboración de perfiles
Declaración por escrito
Datos personales
Tratamiento de categorías especiales
Categorías especiales de datos
Firma electrónica
Aeronaves
Discapacidad
Datos sobre la salud
Tratamiento de datos personales
Datos sensibles
Presentación de documentos y dictámenes
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Consentimiento de los interesados en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción af...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados