El Comité Europeo de Protección de Datos (CEPD) ha publicado sus directrices de consentimiento conforme a la normativa de protección de datos, e incluye un completo análisis del concepto de consentimiento bajo el RGPD.
El CEPD ha publicado a principios de este mes sus directrices sobre consentimiento conforme a la normativa de protección de datos, e incluye un completo análisis del concepto de consentimiento bajo el RGPD. En el documento de 31 páginas, el CEPD desarrolla los requisitos para obtener y demostrar consentimiento válido. El consentimiento es una de las seis bases legítimas para tartar datos personales, tal y como se recoge en el artículo 6 RGPD, pero los responsables del tratamiento habrán de considerar cuál es la base legítima de tratamiento en cada caso antes de iniciar actividades que impliquen tratamiento de datos personales.
Elementos de un consentimiento válido bajo el RGPD.
El artículo 4 (11) del RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
El uso del término “libre” implica que el interesado tiene una opción real. Como regla general, el RGPD establece que si el sujeto no tiene una opción real, se ve obligado a otorgarlo o siente que se van a derivar consecuencias negativas en ausencia del mismo, entonces el consentimiento no será válido. Cualquier elemento de presión o influencia no apropiado que impida al individuo ejercer su libre voluntad, invalidará el consentimiento.
Para que el consentimiento sea válido, tendrá que ser también específico, lo que implica que se da en relación “a uno o más” finalidades “específicas” y existe una posibilidad de elegir en todas ellas. El requisito de que sea “específico” persigue garantizar un determinado grado de control y transparencia al sujeto. Conforme al artículo 6 (1) (a) del RGPD, la finalidad para la cual los sujetos ceden su consentimiento, deberá siempre ser específica y explícita.
EL RGPD también mantiene que el consentimiento debe ser informado. Conforme al artículo 5 del RGOD, la transparencia es uno de los principios fundamentales, junto a la legitimidad y la legalidad. Es obligatorio que los interesados cuenten con información suficiente antes de otorgar su consentimiento; en caso contrario, el consentimiento será inválido por infringir el Artículo 6 del RGPD.
El CEPD considera que al menos se deberá ofrecer la siguiente información:
- la identidad del responsable;
- la finalidad de cada una de las operaciones para las cuales se estás solicitando consentimiento;
- el tipo de datos que se va a recoger y tratar;4.
- la existencia del derecho a retirar el consentimiento;
- información sobre toma automatizada de decisiones conforme al Artículo 22 (2) © del RGPD donde sea relevante y
- los posibles riesgos de las transferencias de datos en ausencia de una decisión de adecuación u otras medidas como se describe en el artículo 46 RGPD.
Además del criterio detallado más arriba, el consentimiento deberá otorgarse siempre mediante un acto afirmativo o declaración. Debe quedar claro que el sujeto consiente a un tratamiento específico. El Artículo 11 del RGPD clarifica que el consentimiento válido requiere una manifestación inequívoca por medio de una declaración o acción afirmativa, lo que implica una elección deliberada.
Obtención de consentimiento explícito bajo el RGPD.
En el caso de aquellos tratamientos de datos que presenten riesgos para la protección de datos, normalmente se requiere un consentimiento explícito. Conforme al Artículo 9 del RGPD, se precisa consentimiento explícito para el tratamiento de categorías especiales de datos. El término “explícito” se refiere a la forma en que el interesado expresa el consentimiento, ya sea mediante una declaración firmada, de manera electrónica, mediante email, un documento escaneado con la firma o la firma electrónica. En teoría, una declaración oral debería ser válida también, pero puede resultar difícil para el responsable probar que todas las condiciones se dieron de manera adecuada en el momento de la recogida.
Condiciones adicionales para obtener un consentimiento válido bajo el RGPD
Conforme al Artículo 7 del RGPD, el responsable del tratamiento es quien debe demostrar que cuenta con el consentimiento del sujeto. El Considerando 42 establece que: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.” Así por tanto, los responsables pueden guardar registros de las declaraciones de consentimiento, o elegir otro método para cumplir con esta disposición. La obligación de demostrar consentimiento abarca todo el tiempo en el cual se extiende la actividad de tratamiento. Aunque no hay un límite específico de duración del consentimiento en el RGOD; el CEPD recomienda que el consentimiento se renueve cada ciertos intervalos.
En relación a la retirada de consentimiento, el RGPD recoge que el consentimiento debe poder ser retirado por el interesado tan fácil como fue otorgado, y en cualquier momento. El RGPD no concreta si ambos extremos deben hacerse de la misma forma, pero sí establece que si el consentimiento se dio de forma electrónica, también debe poder retirarse de la misma manera. Los responsables tienen asimismo la obligación de borrar los datos que se obtuvieron por medio de consentimiento cuando ya no exista ninguna finalidad que justifique su tratamiento.
Ejemplos
Las directrices ofrecen algunos ejemplos sobre los casos en los que el consentimiento es válido y cuando no lo es. En las siguientes líneas hemos recogido algunos de los que hemos considerado más interesantes:
Marketing propio y de terceros configurado de forma ilícita:
“Un minorista aúna la solicitud de consentimiento para marketing propio y de otras empresas dentro del grupo. Este consentimiento no será granular porque no hay solicitudes separadas para las dos finalidades diferentes, con lo que el consentimiento otorgado no sería válido. En este caso, debería recogerse un consentimiento específico para enviar los datos de contacto a socios comerciales. Dicho consentimiento específico sería considerado válido para cada socio de quien se haya proporcionado la identidad en el momento de la recogida del consentimiento, siempre y cuando la finalidad del tratamiento de los datos sea la misma (por ejemplo, marketing)».
Provisión del servicio y marketing configurado de manera ilícita:
“Un sitio web introduce un script que bloquea el contenido de la web, excepto la solicitud para aceptar las cookies y la información al respecto. No hay posibilidad alguna de ver el contenido sin aceptar las cookies. Dado que no se le presenta al interesado una opción genuina, el consentimiento no se habrá dado de forma libre. No es por tanto consentimiento válido, porque el servicio estará basándose en la aceptación de las cookies que no se ha realizado de manera correcta”.
“Conforme el Considerando 32, acciones como desplazarse por una página web no serán en ningún caso conformes con el requisito de acción clara y afirmativa, pues sería difícil de distinguir de otras interacciones del usuario y por tanto no se podría determinar que el consentimiento no ha sido ambiguo. Además, en ese caso, sería difícil ofrecer al interesado una forma de retirar su consentimiento de manera tan sencilla a la usada para garantizarlo”.
Acceso a características del teléfono configuradas de manera ilegítima en relación al producto:
“Cuando se descarga una app móvil de estilo de vida, la app solicita consentimiento para acceder al acelerómetro del teléfono. Esto no es necesario para que la app funcione, pero es útil para los responsables que desean conocer más de los movimientos y niveles de actividad de sus usuarios. Cuando el usuario más tarde revoca el consentimiento, descubre que la app sólo funciona ahora de manera limitada. Este es un ejemplo de lo que recoge el Considerando 42 e implica que el consentimiento nunca fue obtenido de manera válida (y que, por tanto, el responsable debe borrar todos los datos sobre los movimientos de los usuarios recogidos de esa forma)”.
Sin embargo, si sólo se pierden beneficios ligados al consentimiento cuando este se deniega, sí será válido:
“Un sujeto se subscribe a la newsletter de un minorista de moda que incluye descuentos generales. El minorista solicita consentimiento para recoger más datos sobre las preferencias de compra y así personalizar las ofertas a sus preferencias basado en el historial de compra o en un cuestionario que puede rellenar de forma voluntaria. Si el consentimiento se revoca después, el único efecto es que el cliente volverá a recibir ofertas no personalizadas, y sólo se habrá perdido un incentivo tolerable”.
Además, no hay perjuicio si se ofrece un canal alternativo:
“Una revista de moda ofrece a sus lectores acceso para comprar unos productos de maquillaje antes de su lanzamiento. Los productos estarán en breves disponibles para la venta, pero los lectores pueden acceder a una preventa, para lo cual es necesario dar su dirección postal y aceptar suscribirse a la newsletter de la revista. La dirección postal es requerida para el envío, y la lista de mail se emplea para enviar ofertas comerciales de productos como cosméticos o camisetas a lo largo del año. La empresa explica que los datos de la lista de email sólo se usarán para enviar merchandise y publicidad en papel de la revista como tal, y que no será compartido con ninguna otra organización. En caso de que el lector no quiera dar su dirección por esta razón, no hay perjuicio porque los productos estarán disponibles para ellos igualmente”.
Se deberá elaborar una política en relación al consentimiento de los menores:
“Una Plataforma online de gaming quiere asegurarse de que los menores que se suscriben a sus servicios cuentan con el consentimiento de sus padres o tutores. El responsable sigue estos pasos: Paso 1- le pregunta al usuario si está por encima o por debajo de la edad de 16 años (o una edad alternativa, según la normativa nacional). El usuario afirma que su edad está por debajo de la mínima para otorgar consentimiento a los servicios digitales; Paso 2- el servicio le informa al menor de que el padre o tutor deberá autorizar el tratamiento antes de que el menor pueda usar los servicios; Paso 3- el servicio contacta al padre o tutor y obtiene el consentimiento vía email, con la implementación de una serie de medidas para confirmar que el adulto en cuestión es el tutor del menor; Paso 4- en caso de quejas, la plataforma toma medidas adicionales para verificar la edad del subscriptor. Si la plataforma ha cumplido con el resto de requisitos de consentimiento, la plataforma habrá actuado de manera correcta conforme al artículo 8 del RGPD con estos pasos”.