El Estado de la Cuestión
Está claro que el tratamiento de los datos personales cobra cada día mayor relevancia dentro de las relaciones que tienen lugar en las sociedades modernas (tanto en el entorno online como offline), y no cabe duda que el "Consentimiento" constituye un mecanismo de control idóneo, que otorga al interesado la potestad de decidir sobre el tratamiento de sus datos personales.
No obstante, en el ámbito Europeo, también existen distintas nociones, enfoques o interpretaciones sobre la aplicación del "Consentimiento", constatadas tanto en el marco regulatorio de los Estados miembros, como en los criterios reflejados en los Informes y Resoluciones emitidas por las correspondientes Autoridades de Control.
A modo de ejemplo, a diferencia de lo que ocurre en España, donde el art. 3 h) de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, define claramente el consentimiento como "toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen", la normativa francesa que regula esta materia (Ley de 6 de enero de 1978, relativa a la Informática, Ficheros y Libertades), no recoge una definición específica de dicho concepto, dejando a discrecionalidad de la correspondiente Autoridad de Control (CNIL), la determinación de su alcance y correcta aplicación.
Precisamente, a fin de armonizar estas divergencias, el pasado 13 de Julio, las Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29, o GT29) aprobaron el Dictamen 15/2011, sobre la definición del Consentimiento.
En este sentido, además de clarificar el significado de ciertos requisitos que suelen acompañar al Consentimiento y determinan su validez, por ejemplo: (i) que sea informado, (ii) libremente otorgado, (ii) específico, (iv) inequívoco, etc., se emiten una serie de reflexiones sobre la aplicación de las disposiciones que regulan este Principio, tanto en la Directiva 95/46/CE, sobre protección de datos personales, como en la Directiva 2002/58/CE, sobre privacidad y comunicaciones electrónicas.
Nuevas necesidades y escenarios
Uno de los aspectos más relevantes que se indican en el Dictamen 15/2011, consiste en el análisis de la efectividad del actual marco regulatorio para proporcionar seguridad jurídica ante los retos planteados por las nuevas formas de tratamiento de datos personales, potenciadas por las interacciones con el mundo online y con un entorno tecnológico cada vez más complejo.
En este sentido, se valoran una serie de supuestos y escenarios que conllevan el tratamiento de datos personales, con el objetivo de fijar los aspectos que determinan la validez del consentimiento otorgado.
Entre los diferentes escenarios analizados, cabe destacar los siguientes:
- Envío de advertising boards o mensajes publicitarios mediante la activación del Bluetooth.
- Tratamiento de la imagen fotográfica de un empleado, para su publicación en la Intranet corporativa.
- Creación de registros electrónicos de salud.
- Uso de escáner corporal.
- Utilización de aplicaciones externas, incorporadas al entorno de redes sociales.
- Activación de servicios online, incluidos al documento de identidad electrónico.
En tales contextos, la simple inactividad del sujeto resulta insuficiente para determinar una manifestación de voluntad inequívoca, siendo necesaria la ejecución de acciones concretas para acreditar que el consentimiento fue válidamente otorgado.
Lo mismo ocurre en Internet, donde la opacidad que caracteriza las "Políticas de Privacidad", hacen cada vez más difícil que los usuarios, puedan ser conscientes del alcance de sus derechos y obtener información comprensible y detallada, sobre el tratamiento de sus datos personales.
En este sentido, se advierte que la utilización de mecanismos que by default otorguen el consentimiento para un tratamiento determinado (por ejemplo, mediante casillas pre-marcadas), y que requieran una posterior modificación para que el usuario pueda manifestar su negación al tratamiento previsto, no constituyen, per se, una forma que permita acreditar un consentimiento inequívoco.
Al respecto, y en relación a la activación de servicios de geolocalización en dispositivos móviles inteligentes, el también reciente Dictamen 13/2011, ya establecía que "de forma predeterminada, los servicios de localización deben estar apagados y que la activación de estos servicios requiere de un consentimiento informado y especifico a los diferentes fines para que los datos sean captados o almacenados".
En definitiva, el análisis de los escenarios indicados, no hace sino reflejar la postura que el GT29 ha venido manifestando en relación a los requisitos de validez, que deben ser considerados al momento de obtener el consentimiento inequívoco, para la ejecución de actividades que se derivan de la incursión de los individuos (usuarios), en las autopistas de la información.
Posibles cambios y recomendaciones
Finalmente, el Dictamen 15/2011 propone una serie de posibles cambios y recomendaciones, dentro de las que cabe destacar las siguientes:
-
Clarificar el concepto de
consentimiento "inequívoco", especificando que la obtención del mismo no
sólo conlleva una manifestación de voluntad explícita, sino también la
ejecución de acciones concretas, que vienen a confirmar o a acreditar dicha
voluntad. Esta clarificación debe enfatizar los siguientes aspectos:
o El consentimiento inequívoco requiere la implantación de mecanismos que permitan acreditar, sin lugar a dudas, el consentimiento otorgado por el interesado.
o El consentimiento inequívoco no puede obtenerse a partir de mecanismos que otorgan el consentimiento, de forma predeterminada para un tratamiento concreto (casillas pre-marcadas). - Mejorar el marco regulatorio de los Estados miembros, considerando los siguientes aspectos: (i) obligación de incluir cláusulas que establezcan, expresamente, el Derecho de los interesados a revocar el consentimiento otorgado, (ii) reforzar la noción de que el consentimiento debe otorgarse de forma previa a cualquier tratamiento de datos personales, y que no cubre tratamientos posteriores con finalidades distintas a las inicialmente consentidas y, (iii) de cara a obtener su consentimiento, la información facilitada al interesado deberá estar siempre disponible, en un leguaje accesible y de fácil comprensión.
- Mejorar el marco regulatorio de los Estados miembros, de cara a optimizar la obtención del consentimiento inequívoco de colectivos que carecen de capacidad jurídica, como sería el caso de menores de edad.
En definitiva, todo lo anterior no hace sino reflejar, la preocupación de las Autoridades Europeas de Protección de Datos en cuanto a la armonización de los criterios entorno al Principio del Consentimiento, en el marco regulatorio Europeo, enfatizando que el carácter inequívoco del consentimiento, sólo podrá obtenerse a partir de la ejecución de acciones inequívocas y acreditables.