Todo lo que debe saber sobre el consentimiento según el RGPD

Soumya Patnaik

Data protection consultant

El concepto de “consentimiento” debería explicarse por sí solo ya que es una noción bastante cotidiana. De hecho, consentimiento significa “acuerdo de voluntades” y ha sido desde siempre uno de los principios fundamentales del derecho contractual. Sin embargo, en el último tiempo hemos sido testigos de inquietantes discusiones en torno al “consentimiento” que abarcan diversas áreas del espectro social y jurídico.

El “consentimiento” ha sido uno de los fundamentos jurídicos del tratamiento de datos personales incluso antes de que el RGPD entrara en vigor en mayo de 2018. Sin embargo, el RGPD ha profundizado la cuestión con la codificación de los requisitos esenciales para que el consentimiento sea válido. En esta entrada, hablaremos del "consentimiento" en el contexto de la ley de protección de datos de la UE y analizaremos los elementos del consentimiento válido según el RGPD.

 

1. ¿Cuáles son los elementos de un consentimiento válido según el RGPD?

Según el Artículo 4(11) del RGPD, el consentimiento debe ser:

  1. libre;
  2. específico;
  3. informado;
  4. una manifestación de voluntad inequívoca;
  5. una declaración o una clara acción afirmativa.

A continuación, analizaremos cada elemento por separado. 

 

2. ¿Cuándo se dice que el consentimiento es “libre”?

El término “libre” implica que consentimiento de los interesados no debe ser influenciado por el responsable del tratamiento mediante el uso de tácticas como coerción, disuasión, contratiempos, intimidación, acceso a servicios, etc. En este sentido, el RGPD destaca los siguientes puntos:

  1. Condicionalidad: el Artículo 7(4) junto con el Considerando 43 del RGPD establecen que no se dirá que el consentimiento se otorga libremente cuando dicho consentimiento esté condicionado al cumplimiento de un contrato o a la prestación de un servicio. Esto está respaldado por el Artículo 6 según el cual, si el tratamiento es necesario para la ejecución de un contrato entonces el fundamento jurídico de dicho tratamiento es la “ejecución del contrato” y no el “consentimiento”.
  2. Desequilibrio de poder: para que el consentimiento se otorgue libremente, no debe haber un desequilibrio entre los interesados y los responsables del tratamiento. Un ejemplo de este desequilibrio sería el que se da en el contexto del empleo entre el empelado y el empleador. En este caso, el consentimiento no constituye un fundamento jurídico válido para el tratamiento de los datos personales.
  3. Perjuicio: según el Considerando 42 del RGPD, el responsable del tratamiento debe demostrar que el interesado puede negar o retirar el consentimiento sin sufrir perjuicio alguno.

Un caso reciente que ilustra lo complicado que es obtener el consentimiento en virtud del RGPD es el uso de cookies en el sitio web del Washington Post. El Washington Post obligaba a los lectores a aceptar el uso de cookies de terceros, la publicidad dirigida o a obtener una suscripción mediante el pago de una tarifa determinada. El 19 de noviembre de 2018, la Oficina del Comisionado de Información advirtió que esta forma de obtener el consentimiento del usuario infringía el Artículo 7(4) del RGPD: no le permitía a los lectores dar su consentimiento libremente ya que el acceso a sus servicios quedaba supeditado a dicho consentimiento, cuando el tratamiento de datos en realidad no era necesario para proporcionar esos servicios. Para obtener más información, consulte nuestra entrada sobre cookies.

 

3. ¿Qué significa "específico"?

La especificidad se refiere a la finalidad del tratamiento. Esto significa que el consentimiento debe ser específico para cada fin para el cual se pide. Si hay más de una finalidad entonces será necesario obtener el consentimiento específico para cada finalidad de tratamiento. Por lo tanto, el consentimiento debe ser granular. Esto se plasma en el Considerando 32 del RGPD que establece que “cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos”.

 

 4. ¿Cómo se obtiene el consentimiento “informado”?

El RGPD refuerza el requisito de que el consentimiento debe ser informado, estrechamente relacionado con el principio de transparencia del RGPD. Para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos que son cruciales para poder elegir. Por tanto, el GT29 opina que se requiere, al menos, la información siguiente para obtener el consentimiento válido:

  1. la identidad del responsable del tratamiento;
  2. el fin de cada una de las operaciones de tratamiento para las que se solicita el consentimiento;
  3. el tipo de datos van a recogerse y utilizarse;
  4. la existencia del derecho a retirar el consentimiento;
  5. información sobre el uso de los datos para decisiones automatizadas cuando sea pertinente; e
  6. información sobre los posibles riesgos de transferencia de datos debido a la ausencia de garantías adecuadas, tal y como se describen en el Artículo 46.
  7. Según convenga, se deberá cumplir con las obligaciones de información de los artículos 13 y 14 del RGPD.

 

5. ¿Cómo facilitar esta información a los interesados?

El RGPD no prescribe el modo en el que debe facilitarse la información para cumplir con los requisitos del consentimiento informado, pero sí exige un cierto nivel de claridad y accesibilidad de la información y que se utilice un lenguaje claro y sencillo. Además, el consentimiento debe distinguirse claramente de otros asuntos. Esto quiere decir que el consentimiento no puede esconderse en una lista de términos y condiciones del sitio web y debe estar claramente diferenciado en un documento aparte. El GT29 sugiere facilitar la información en niveles para garantizar que sea clara y que contenga toda la información pertinente.

 

6. ¿Cuál es el alcance de la “manifestación inequívoca”?

El RGPD establece que el consentimiento requiere una declaración del interesado o una clara acción afirmativa. Esto significa que el silencio, la inactividad y las casillas de aceptación ya marcadas no son válidos según el RGPD. Para que el consentimiento sea válido debe mediar siempre una acción o declaración deliberada. El Considerando 32 del Reglamento ofrece orientación adicional sobre este punto y establece que el consentimiento puede recabarse mediante una declaración escrita o verbal o por medios electrónicos. Lo importante es que la aceptación del interesado debe ser clara. Por lo tanto, en el marco de los requisitos del RGPD, los responsables del tratamiento tienen libertad para crear un flujo de consentimiento que convenga a su organización. En este sentido, con arreglo al GT29, los movimientos físicos (como por ejemplo arrastrar una barra en una pantalla o saludar con la mano ante una cámara) pueden considerarse como una acción afirmativa clara y, por ende constituyen una manifestación del consentimiento válido. Sin embargo, desplazarse hacia abajo por un sitio web no satisface el requisito de una clara acción afirmativa ya que no es lo suficientemente inequívoca.

 

7. ¿Qué es el consentimiento explícito y en qué se diferencia del consentimiento normal?

En determinadas situaciones de tratamiento de datos, si existe un alto riesgo para los derechos de los interesados, el RGPD exige el consentimiento explícito en vez del consentimiento normal. Por ejemplo, en el tratamiento de categorías especiales de datos personales del Artículo 9 o en las transferencias de datos a terceros países u organizaciones internacionales en ausencia de garantías adecuadas, como establece el Artículo 49, y en el caso de las decisiones automatizadas, incluida la elaboración de perfiles, del Artículo 22.

Si bien el RGPD no da una definición de “consentimiento explícito”, según el GT29, el término explícito se refiere a la manera en que el interesado expresa el consentimiento, sin lugar a dudas sobre su voluntad. Significa que el interesado debe realizar una declaración expresa de consentimiento. Una manera evidente de hacerlo es a través de una declaración escrita y firmada. En el contexto digital, el consentimiento explícito se puede obtener rellenando un formulario electrónico, enviando un correo electrónico, cargando un documento escaneado con firma, etc. La verificación del consentimiento en dos fases también puede ser una forma de garantizar que el consentimiento explícito sea válido.

De lo anterior, podemos concluir que, según el RGPD, el consentimiento debe ser una expresión genuina, informada y razonada de la voluntad del interesado con respecto al uso de sus datos personales. Estos requisitos tienen su sustento en el objetivo mismo de la legislación: proteger el derecho a la privacidad de los interesados al otorgarles total control sobre sus datos personales.

Otras entradas

¿Quiere seguir leyendo acerca de cómo se aplica el consentimiento al uso de cookies? Lea nuestra entrada sobre cookies aquí.

¿Qué deben saber los profesionales de mercadotecnia acerca del cumplimiento del RGPD? Lea nuestra entrada aquí.