LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 07:55:30

LegalToday

Por y para profesionales del Derecho

Blog PRODAT

Directrices sobre el consentimiento del GT29 (diciembre de 2017)

Directora del Área de Consultoría de la Delegación de PRODAT en Extremadura y Portugal

Protección datos

El 12 de diciembre de 2017 el Grupo de Trabajo del Artículo 29 (GT29) publicó el borrador de Directrices sobre el Consentimiento (en fase de consulta pública hasta el 23 de enero de 2018). Estas directrices amplían la definición de consentimiento que ya realizó el propio GT29 en el año 2011 (Opinion 15/2011 on the definition of consent).

Las Directrices del GT29 comienzan estableciendo una descripción general del consentimiento válido, en virtud del artículo 4.11 del RGPD, reiterando que éste debe ser a) libre, b) específico, c) informado e d)inequívoco.

a) Consentimiento libre:

El consentimiento debe ser una manifestación de voluntad libre, es decir, debe tratarse de una elección real por parte del interesado.

El GT29 es consciente de que esta libertad de elección puede verse relativizada en algunas ocasiones, debido al desequilibrio de poder que puede haber entre el responsable del tratamiento y el interesado (por ejemplo, en los casos de empleadores y empleados o un ciudadano y las administraciones públicas). En este sentido el GT29 establece que debe evitarse la solicitud de consentimientos por defecto, como base jurídica para realizar una contratación.

El GT29 va aún más allá y considera que el consentimiento no podrá considerarse como libremente otorgado cuando se solicita de tal forma que si el interesado no lo otorga podría tener un efecto perjudicial para éste (por ejemplo, denegación de un servicio a un cliente por falta de consentimiento).

No obstante, el GT29 deja abierta la posibilidad de que existan circunstancias en una relación contractual en la que la solicitud de ciertos consentimientos tengan una fuerte vinculación con la prestación de los servicios contratados, cuestión que deberá informarse al interesado.

b) Consentimiento específico:

El GT29 establece la importancia de que el consentimiento sea específico para cada finalidad. Cuando se solicita el consentimiento para varias finalidades la solución para cumplir con el RGPD será la obtención del consentimiento por separado para cada fin.

El GT29 pone el ejemplo de una empresa que solicita el consentimiento a sus clientes para utilizar sus datos para el envío de publicidad por medios electrónicos y para cederlos a empresas del grupo. Lógicamente, estos consentimientos deberán ir separados, a través de casillas de verificación u otros mecanismos.

c) Consentimiento informado:

El GT29 se reafirma en que el consentimiento únicamente será válido si el interesado está completamente informado.

Esto significa que la información proporcionada deberá estar en un lenguaje claro y sencillo y separada de otros puntos del contrato (por ejemplo, en una cláusula específica). 

Las Entidades deberán revisar cuidadosamente el lenguaje utilizado para solicitar el consentimiento evitando fórmulas excesivamente legalistas de difícil comprensión, sobre todo a la hora de indicar el derecho del interesado a retirar su consentimiento.

d) Consentimiento inequívoco:

El artículo 4.11 del RGPD establece que el consentimiento se preste mediante una declaración o una clara acción afirmativa del interesado.

En este sentido, el Considerando 32 del RGPD menciona que el consentimiento inequívoco puede prestarse, por ejemplo, con la marcación de una casilla. El GT29 proporciona otros mecanismos posibles por los cuales los interesados pueden prestar su consentimiento a través de una acción afirmativa, como pueden ser: enviando un correo electrónico al responsable indicando que consiente, a través de la firma electrónica del interesado, etc.

Independientemente de la fórmula utilizada por el responsable del tratamiento, éste debe ser capaz de demostrar que lo obtuvo de forma lícita y los interesados deben ser capaces de retirarlo de una forma sencilla.

e) Consentimiento demostrable:

Las Directrices del GT29 señalan la obligación del artículo 7.1 del RGPD: "Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales".

El GT29 permite a los responsables de tratamiento desarrollar sus propios mecanismos para cumplir con este requisito. No obstante, sugiere que este requisito podría cumplirse manteniendo un registro de declaraciones en las que los interesados prestaron su consentimiento.

Asimismo, en opinión del GT29, aún cuando no existe un límite de tiempo establecido en el RGPD de duración del consentimiento, el mismo dependerá de su contexto, finalidades, tipo y origen de los datos, cantidad de datos tratados, así como de las expectativas del interesado. Si los tratamientos de datos cambian o evolucionan considerablemente del consentimiento original éste no será válido.

El GT29 recomienda a los responsables de tratamiento como una buena práctica "actualizar los consentimientos en intervalos adecuados".

f) Retirada del consentimiento:

El artículo 7.3 del RGPD establece que "el interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo".

El GT29 aclara que el incumplimiento de este requisito podría invalidar el consentimiento.

Asimismo, el GT29 explica el significado de "será tan fácil retirar el consentimiento como darlo". En este sentido, el GT29 señala que los interesados no deberán cambiar de interfaz para retirar el consentimiento (por ejemplo, si el consentimiento se ha prestado a través de una página web, no será válida su retirada a través de un correo electrónico). Además, si un interesado retira el consentimiento, el responsable del tratamiento debe cesar en el tratamiento de sus datos para esa finalidad y, si no existe ninguna otra legitimación para el tratamiento, deberá eliminar o anonimizar esos datos personales.

g) Consentimientos obtenidos con anterioridad a la entrada en vigor del RGPD:

EL GT29 establece que si los consentimientos obtenidos con anterioridad cumplen con los requisitos del RGPD serán válidos también a partir del 25 de mayo de 2018.

Será necesario, por tanto, que los responsables de tratamiento revisen sus políticas de obtención de consentimiento obtenidos con anterioridad a 25 de mayo de 2018. Si los tratamientos  tienen su base legal en el consentimiento, éste deberá cumplir con los requisitos del RGPD, de lo contrario, deberá solicitarse de nuevo o se deberá buscar otra base legal para el tratamiento que no sea el consentimiento (por ejemplo, en interés legítimo).

Como conclusión, podemos destacar la importancia que otorga el GT29 a que los responsables de tratamiento escojan el consentimiento como base legal para el tratamiento de datos personales únicamente como último recurso, optándose preferentemente por las otras bases legales enumeradas en el artículo 6 del RGPD (ejecución de un contrato o precontrato, cumplimiento de una obligación legal, proteger intereses vitales del interesado o de otra persona física, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos o satisfacción del interés legítimo). El consentimiento únicamente podrá ser una base legal adecuada para el tratamiento de datos si cumple con todos los requisitos analizados, disponiendo los interesados del pleno control sobre sus datos personales.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.