Consentimiento de los interesados en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 28/01/2019

El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

La delimitación del conceptual que establece el Reglamento introduce el término “inequívoco”, característica esta que no contemplaba la Directiva 95/46 derogada.  Así, atendiendo a lo dispuesto en el considerando 32, el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

En este sentido, el considerando citado ejemplifica -sin animo exhaustivo, pero con una clara vocación pedagógica- determinadas formas a través de las cuales el interesado puede expresar su consentimiento , señalando que tal manifestación “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.”

Por tanto, atendiendo a lo dispuesto en el RGPD, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Asimismo, la LOPDGDD hace mención a lo recogido en el RGPD y se excluye por tanto lo que se conocía como "consentimiento tácito", indicando además que en cuanto al consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que se otorga para todas ellas. Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el RGPD. Así, por ejemplo, la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores o por los propios sindicatos.

El RGPD no afecta a las reservas de ley y por tanto se permite dejar a salvo a las distintas habilitaciones legales, que siguen plenamente vigentes, permitiendo incluso llevar a cabo una interpretación extensiva de las mismas, como sucede, en particular, en cuanto al alcance del consentimiento del afectado o el uso de sus datos sin consentimiento en el ámbito de la investigación biomédica. A tal efecto, el apartado 2 de la Disposición adicional decimoséptima de la LOPDGDD introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos.

  Para que el consentimiento pueda considerase informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. Por tanto resultará necesario que la información sea facilitada al interesado antes del tratamiento, en caso contrario, el tratamiento no podrá ser considerado lícito.  

Como señalamos, el consentimiento debe ser prestado libremente.  Pues bien, el Grupo de Trabajo del Articulo 29 -en su dictamen 15/2011-, ha expresado que tal libertad consiste que «el interesado puede hacer una elección real y no haya ningún riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. Si las consecuencias del consentimiento socavan la libertad de elección de la persona, el consentimiento no es libre».

En este mismo sentido se ha pronunciado (1) la Agencia Española de Protección de Datos (AEPD) al indicar que un consentimiento libre “supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento”.

En todo caso, y sin perjuicio de que resulte pertinente atender a los criterios mencionados, el propio Reglamento -en el considerando 42-  es claro al señalar que el consentimiento no se considerará libremente prestado cuando el interesado no goza de verdadera o libre elección, o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

 Pues bien, al objeto de garantizar que el consentimiento se otorgue libremente, el considerando 43 determina que el consentimiento prestado en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, no constituirá un fundamento jurídico válido para el tratamiento de datos de carácter personal. Este desequilibrio, se aprecia particularmente cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.

Asimismo, y conforme el citado considerando 43 indica, se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento. Esto podría ocurrir, por ejemplo, - atendiendo al criterio del Grupo de Trabajo del artículo 29- cuando estamos ante un empleado dada la dependencia de éste en la relación laboral, ya que ante el temor de un riesgo real de perjuicio que pudiera tener su negativa a proporcionar su consentimiento, daría un consentimiento viciado.

En todo caso, y como acertadamente ha expresado el Grupo de Trabajo del artículo 29, pueden existir supuestos en los que se produzca un desequilibrio entre las partes, y en los que, para que el consentimiento sea válido, lo esencial será permitir que el interesado pueda ejercer una elección real, sin que haya riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. En este sentido, libre significaría consentir sin estar sometido a condición alguna que interfiera en la manifestación de la voluntad.

Por último, resulta necesario señalar que  -conforme determina el considerando 171 - cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.

Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Unión o de los Estados miembros que constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, en particular, objetivos importantes de interés público general, el responsable debe estar facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se debe garantizar la aplicación de los principios establecidos por el presente Reglamento y, en particular, la información del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposición. La indicación de posibles actos delictivos o amenazas para la seguridad pública por parte del responsable del tratamiento y la transmisión a la autoridad competente de los datos respecto de casos individuales o casos diversos relacionados con un mismo acto delictivo o amenaza para la seguridad pública debe considerarse que es en interés legítimo del responsable. Con todo, debe prohibirse esa transmisión en interés legítimo del responsable o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligación de secreto legal, profesional o vinculante por otro concepto. Además indica el RGPD que se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de las categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

Finalmente, los interesados tendrán derecho a que se rectifiquen los datos personales que le conciernen o se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados, por lo que podrán deberán poder retirar su consentimiento para el tratamiento de los mismos, especialmente si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet.

 

(1) En un informe jurídico sobre los caracteres del consentimiento definido por la Ley Orgánica 15/1999 de 13 de Dic (Protección de Datos de Carácter Personal)

No hay versiones para este comentario

Tratamiento de datos personales
Protección de datos
Datos personales
Responsable del tratamiento
Consentimiento del interesado
Declaración por escrito
Categorías especiales de datos
Intimidación
Categorías de datos personales
Datos de afiliación sindical
Derechos de los trabajadores
Falta de consentimiento
Sin consentimiento
Derechos fundamentales
Actividades de tratamiento de datos
Amenazas
Vicios del consentimiento
Interés legitimo
Interés publico
Fundaciones

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Condiciones aplicables al consentimiento en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    Atendiendo a lo expuesto en el tema general sobre el consentimiento, cabe preguntarse ¿cómo debe prestarse ese consentimiento para entender que pueda constituir una base legal que ampare el tratamiento de datos y que –en consecuencia- pueda consi...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Categorías especiales de datos en el RGPD y la LOPDGDD

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Los conocidos como “datos especialmente protegidos” que ya preveía la LOPD,  encuentran su encaje en el Reglamento comunitario en lo que se  han venido a denominar  "categorías especiales de datos".Como señala el considerando 51 los datos p...

  • Objeto y ámbito de aplicación del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento General de Protección de Datos (en adelante RGPD),  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente s...

  • Principio de licitud en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 21/01/2019

    Como se deduce de la literalidad del articulo 6 del RGPD, el denominado "principio de licitud" se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de anális...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados