El Grupo de Trabajo del Artículo 29 publicó, el pasado 28 de noviembre, una guía que detalla de forma muy exhaustiva el concepto de consentimiento a la luz del Reglamento UE 2016/70, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CCE (Reglamento General de Protección de Datos, en adelante, “RGPD”), que será plenamente eficaz a partir del próximo 25 de mayo del 2018 (en adelante, la “Guía”).
El consentimiento es, de acuerdo con el RGPD, una de las seis bases legales que se contemplan para poder proceder legítimamente al tratamiento de datos de carácter personal. El artículo 4(11) del RGPD define el consentimiento como sigue: “consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Así, la Guía define una serie de elementos fundamentales a la hora de valorar si el consentimiento de cualquier interesado es válido según lo establecido en el RGPD:
- Inequívoco: el consentimiento requiere de una declaración inequívoca por parte del individuo, o de un acto claramente positivo por su parte. El silencio, la inactividad o el uso de casillas pre marcadas es, a estos efectos, inválido. Además, la aceptación de un contrato o unos términos y condiciones no conlleva, per se, a la obtención del consentimiento por parte del interesado.
- Libre: el consentimiento no será válido cuando se dé un desequilibrio de poder (por ejemplo, entre el empleado y el empleador), o cuando esté supeditado a la ejecución de un contrato, y debe darse por separado para cada operación de tratamiento de datos personales que se vaya a realizar.
- Específico: el consentimiento debe únicamente recabarse para el tratamiento de datos personales que se realice con una finalidad en particular.
- Revocable: los interesados tienen derecho a revocar su consentimiento en cualquier momento, sin que ello pueda suponerles detrimento alguno.
- Informado: se entenderá que el interesado ha emitido su consentimiento de manera plenamente informada, cuando se le haya proporcionado, por lo menos, la siguiente información: (i) la identidad del responsable de tratamiento; (ii) la finalidad de cada operación de tratamiento de datos personales que se vaya a realizar; (iii) qué datos de carácter personal se van a recoger con base en su consentimiento; (iii) la existencia del derecho a revocar el consentimiento otorgado; (iv) si se van a tomar decisiones basadas únicamente en el tratamiento automatizado de sus datos personales (incluyendo la elaboración de perfiles); y (vi) si se procederá a la transferencia internacional de sus datos.
- Claro y distinguible: es imprescindible que, a la hora de obtener el consentimiento de los interesados, se utilice un lenguaje plano, claro y sencillo, teniendo en cuenta siempre la audiencia a la que se dirige. En el marco de un contrato, el consentimiento debe solicitarse de forma claramente identificable (es decir, no es admisible la obtención del consentimiento en la mitad de un párrafo de unos términos y condiciones).
Cuando las organizaciones estén obligadas a obtener el consentimiento de manera explícita (por ejemplo, si se van a tratar datos especialmente protegidos o en caso de que se vayan a realizar transferencias internacionales de datos personales), los interesados deben dar su consentimiento mediante una declaración explícita. En el contexto electrónico, una declaración explícita del consentimiento del interesado puede darse mediante el envío de un correo electrónico, completando un formulario, proporcionando un documento escaneado o usando la firma electrónica.
Ane Alonso Murga y Alejandro Negro Sala
