LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 17:30:49

LegalToday

Por y para profesionales del Derecho

Blog PRODAT

A vueltas con el consentimiento en el RGPD

Uno de los puntos que más polémica está generando entre los consultores, es definir la forma correcta de recabar consentimiento con el RGPD. Todo el mundo, y me incluyo, se la está cogiendo con papel de fumar, elaborando a los clientes cláusulas bastante más enrevesadas que antes, cuando precisamente el RGPD nos habla de simplificar.

Cuestionario

El consultor, según la OIT, proporciona métodos, propuestas y sugerencias concretas a los clientes para resolver los problemas prácticos que tienen en sus organizaciones.

Pero lo que distingue a un buen consultor, es la capacidad de transformar en eficientes y capaces de llevarse a cabo los métodos y procesos que le proporciona a la Entidad, y si además, les das el menor trabajo posible, mejor.

En general, responsable del fichero o del tratamiento, quiere recabar el consentimiento de la forma más sencilla posible para dedicarse a su negocio. Si una cláusula genera confusión o rechazo entre sus clientes, no es práctica.

¿La única forma válida de recabar consentimiento es encabezar cada uno de los tratamientos con casillas de "Sí □ o No □"?, o por el contrario, ¿vale con una casilla no premarcada para dar el consentimiento en cada tratamiento, introduciendo una firma al final como acto positivo?

1º.- La guía del RGPD.

La Agencia ha elaborado una guía para Responsables de Tratamiento, sobre cómo le gustaría que los responsables cumplan con la normativa, pero desde luego; ni tiene fuerza normativa, ni su interpretación sobre cómo cumplir el RGPD, supone que sea la única forma correcta de hacerlo.

En la guía, a la hora de obtener consentimiento, la Agencia hace "recomendaciones", precisamente porque no pueden ser "obligaciones", ya que ciertas exigencias no vienen recogidas en el RGPD.

2º.- Consentimiento inequívoco, implícito y explícito.

El RGPD nos dice que el tratamiento solo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Para ello, la Agencia explica en su Guía el "consentimiento inequívoco implícito", es decir, basta para que el consentimiento sea válido una manifestación del interesado o una acción positiva del mismo, como por ejemplo el "seguir navegando por la web" para la aceptación de cookies.

Por tanto, el consentimiento inequívoco implícito, es una "actualización" del consentimiento tácito, de tal forma que de la acción implícita efectuada por el interesado, se deduzca que este da su consentimiento sin lugar a dudas.

Aquí tiene sentido que no exista la omisión: el interesado tiene que hacer algo, y ese algo no puede ser interpretado de otra manera a que acepta el tratamiento. Otro ejemplo que se me ocurre: el acceso a una zona videovigilada con un cartel informativo a la entrada.

Cuidado con cómo damos por hecho las acciones del interesado: si su acción se puede interpretar de varias maneras, no podríamos deducir el consentimiento del mismo.

Por ello, siempre que sea posible, introduciremos una cláusula completa, con una firma del interesado al final, que es lo que el legislador distingue como "consentimiento inequívoco explícito", que sí sería obligatorio para datos sensibles, decisiones automatizadas y transferencias internacionales.

3º.- El consentimiento siempre positivo, nunca negativo.

El legislador entiende que el consentimiento positivo debe ser un acto de afirmación, pero en ningún sitio el RGPD dice que tengamos que recabar un consentimiento para cada tratamiento: una acción positiva vale para varios tratamientos.

Por tanto, un acto positivo sería firmar un texto donde aceptan inequívocamente varias finalidades. A mayores, podemos introducir algo como:

"por medio de la presente firma usted reconoce que ha recibido información sobre el uso de los datos, y asume todos los tratamientos enumerados."

La pregunta que se hará el avezado lector es ¿y si consiento un tratamiento y el otro no? Pues muy sencillo, la propia Agencia nos da la solución, con su ejemplo de la política de cookies: ¿Tienes que consentir para cada una de las cookies? No: basta con un acto positivo general para todas las cookies (y demás almacenamiento local) que la web guarda en tu equipo.

Las cookies realizan distintos tratamientos, que pueden usarse para distintas finalidades. Siempre podrás acudir a tu navegador y permitir, bloquear o borrar las que quieras.

¿Somos capaces de demostrar el consentimiento para todos los tratamientos con una firma del interesado? Lógicamente, sí, y por tanto, es un consentimiento positivo, inequívoco y explícito. Lo mismo que nos exige la ley para los datos de categorías especiales.

4º.- Diferencia entre obligaciones y recomendaciones, para el consentimiento positivo.

Una de las RECOMENDACIONES no obligatorias de la Agencia en su guía, como ya vimos, es "no seguir obteniendo los consentimientos por omisión", que es la típica cláusula de:

Hemos puesto letras pequeñas aquí debajo en la factura, si no nos dice nada en el plazo de un mes, nos da derecho a ceder sus datos al diablo.

El Art. 6.1.a) dice: "el tratamiento será lícito si el interesado da su consentimiento para uno o varios fines específicos". Una firma para autorizar varios consentimientos, significa que los mismos son otorgados de forma positiva mediante un acto jurídico, y el hecho de obtener varios consentimientos a la vez, no significa que sean otorgados por omisión.

Un único consentimiento para varias finalidades es válido, y además, podemos dar la posibilidad de que, al recabar los datos, y en cada uno de los tratamientos, el interesado deniegue particularmente un consentimiento para un tratamiento específico, con cláusulas positivas:

"Trataremos sus datos para X, puede denegar su consentimiento para esta finalidad en particular, tachando aquí ."

Si sólo le diésemos esta opción sin posibilidad de firmar, sería consentimiento negativo, pero al firmar abajo, está aceptando todos los tratamientos. A mayores, le damos la opción de denegar tratamientos en particular. No se puede entender como tratamiento negativo, porque hay una acción positiva previa.

Así cumplimos con la obligación de capacitar al interesado para retirar su consentimiento en cualquier momento, incluido el momento de la firma, para que sea tan fácil darlo como quitarlo. Con esta fórmula el interesado mantiene el poder de disposición y control sobre sus datos en todo momento.

5º.- Declaración escrita.

El RGPD establece que si el consentimiento se da en el contexto de una declaración escrita, se presentará al interesado de forma que se distinga claramente del resto. Se refiere a las condiciones generales que muchas veces se firman pero no se leen. Se quiere que ese consentimiento sea inequívoco, y "obligar" a los interesados a leer.

Esto significa que o:

    A) Ponemos la cláusula informativa separada del resto del clausulado, y con una firma aparte, e incluso en una hoja aparte.

    B) La destacamos dentro del resto de condiciones generales, con un recuadro o un texto en negrita delimitando el párrafo, incluyendo incluso, una firma propia para dicho párrafo. Como cuando en el banco nos dicen "firme aquí y aquí". Pues un aquí.

6º.- Evaluación del libre consentimiento.

Para que el consentimiento sea libre, no se debe supeditar el consentimiento general a finalidades innecesarias, dentro de la ejecución de un contrato o de la prestación de un servicio.

Por medio de una firma al final de una cláusula, no supeditamos el consentimiento, ya que el interesado acepta todos de forma positiva, pero tiene la posibilidad de denegar el consentimiento de cada uno de los tratamientos accesorios, sin que ello afecte al resto del contrato, siempre y cuando estos estén destacados como ya hemos visto en el punto anterior.

7º.- Conclusión:

A mi entender, no es necesario utilizar las cláusulas "Sí □ y No □" en cada una de las finalidades para obtener el consentimiento de forma inequívoca y positiva, pero como prefiero que sancionen a otro, hasta que la Agencia no se pronuncie aclarando bien estos aspectos, mi recomendación a los clientes va a ser que obtengan el consentimiento mediante "Sí □ y No □", siempre que sea posible: Consultor precavido, vale por dos.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Logo PRODAT

Te recomiendo

Correo electrónico: info@prodat.es
Web: www.prodat.es

PRODAT es una organización especializada en servicios de Consultoría, Auditoría y Outsourcing en el ámbito de la Ley Orgánica de protección de datos de carácter personal (LOPD), Reglamento 2016/679 general de protección de datos de la Unión Europea, ISO 27001, Ley de servicios de la sociedad de la información y del comercio electrónico y Compliance.

PRODAT opera en todo el territorio nacional a través de una red de 20 oficinas y en la actualidad cuenta con más de 40 consultores que utilizan las mismas metodologías y herramientas informáticas.

Fundada en 1997, en la actualidad es una organización firmemente asentada en el mercado.