Reglamento General de Protección de Datos

Consentimiento en el RGPD: 6 Aspectos Destacados

6 Aspectos Destacados sobre el Consentimiento

El pasado 2 de marzo de 2017, el ICO (no el Banco español, sino la Information Comissioner´s Office, el equivalente británico a la Agencia Española de Protección de Datos) publicó una guía de novedades sobre el consentimiento bajo el nuevo Reglamento General de Protección de Datos (RGPD).

Esta breve guía explica en términos muy claros y concisos, las novedades más importantes sobre el tema.

Es un documento que recomiendo leer. Descarga aquí.

De todos modos si no tienes tiempo, te resumo los puntos que más me han llamado la atención. En algunos casos por no ser tan evidentes, y en otros por la claridad de los ejemplos utilizados para ilustrarlos.

Se centran en los siguientes temas:

  • Cambios clave a implementar en la captación del consentimiento.

  • ¿Tendré que volver a recabar todos mis consentimientos de nuevo?

  • Pros y contras del consentimiento como base jurídica del tratamiento.

  • Casos en los que “no es apropiado” solicitar el consentimiento.

  • Documentación del consentimiento.

  • Caducidad del consentimiento.

Veamos:

Un estándar más exigente para el consentimiento en protección de datos

Uno de los pilares de la “privacidad desde el diseño” o “privacy by design” es atribuir al usuario el control sobre sus propios datos. Como consecuencia directa, el reglamento ha dejado atrás –prohibido- cosas como el consentimiento presunto, el consentimiento “ómnibus” para distintos tratamientos de datos, las interminables e incomprensibles páginas de términos y condiciones, y los farragosos procedimientos para revocar el consentimiento anteriormente prestado.

Para saber más sobre el estándar privacy by design, os recomiendo este post y este otro.

Uno de los pilares de la “privacidad desde el diseño” o “privacy by design” es atribuir al usuario el control sobre sus propios datos.

El premio para las organizaciones que dispongan sus procedimientos de forma responsable, transparente y adecuada al nuevo estándar será doble: la fidelización del usuario preocupado por la privacidad de sus datos personales. Y evitar collejas potencialmente millonarias, claro.

Lo segundo está ahí, pero me quedo personalmente con lo primero.

Consentimiento RGPD

Quien cumpla el Reglamento de forma responsable…

 

Consentimiento RGPD

… atraerá y fidelizará a todos esos clientes preocupados por su privacidad

¿Cómo se debe captar el consentimiento bajo el RGPD?

  • Separado. El consentimiento debe obtenerse de forma separada del resto de términos y condiciones.
  • Inequívoco y Afirmativo. Exigirá una conducta activa («active opt-in«). El “opt-out” morirá en mayo del 2018. Esto excluirá las casillas de “No acepto” sin marcar y las casillas premarcadas autorizando el tratamiento.
  • Granular. Vertebrado, en su caso, entre los distintos tratamientos.
  • Nominativo. La ICO establece que será necesario identificar a la organización responsable e igualmente a los terceros cesionarios de los datos. Dicho esto, la AEPD, en su propia guía sobre el deber de información continúa admitiendo la referencia genérica a cesionarios por categorías.
  • Demostrable, Documentado. Es preciso poder acreditar a posteriori quién consintió, cuándo y cómo lo hizo y de qué se le informó.
  • Revocable. Será igual de fácil prestar el consentimiento que revocarlo.

¿Tendré que volver a recabar todos mis consentimientos de nuevo?

Siempre de acuerdo con la Guía ICO, las organizaciones NO necesitarán recabar nuevamente el consentimiento de cada uno de los titulares de los datos tratados SIEMPRE QUE:

  • Aquellos consentimientos se hubieran obtenido en su momento de acuerdo con los actuales términos del nuevo reglamento y
  • Todo ello esté debidamente documentado.

La guía de la Agencia Española de Protección de Datos sugiere expresamente, en cambio, reconducir la base de legitimación del tratamiento por la vía del interés legítimo, allí donde sea posible.

Pros y contras del consentimiento como base jurídica de tratamiento

El consentimiento no es, desde luego, la única base jurídica que puede legitimar el tratamiento de datos personales. Y aunque tiene que ser inequívoco siempre, no tiene que ser expreso o explícito en todos los casos.

Concretamente, el consentimiento tiene que ser explícito para legitimar:

  • El tratamiento de categorías especiales de datos (los datos más sensibles, como ideología, orientación sexual, pertenencia a una etnia, datos de salud, datos biométricos…)
  • La adopción de decisiones automatizadas, profiling (o elaboración de perfiles).
  • Transferencias internacionales de datos
  • El tratamiento de datos personales cuyo uso hubiera sido previamente restringido.
  • Usos relacionados con el marketing directo por medios electrónicos
Consentimiento RGPD

Lo siento, Paul Newman, pero eso no me vale como consentimiento expreso

Por otro lado, si la base jurídica del tratamiento es el consentimiento (o un contrato), los titulares de datos afectados tendrán derechos adicionales como el derecho al olvido y el derecho a la portabilidad de datos (si no, no).

Y aunque tiene que ser inequívoco siempre, no tiene que ser explícito en todos los casos.

Tres casos en los que el consentimiento no es apropiado

Muy acertadamente indica la ICO que, cuando resulte difícil cumplir todos los requisitos establecidos para la obtención del consentimiento para tu tratamiento, lo normal es que exista otra base jurídica más apropiada.

En concreto:

  • Cuando el tratamiento de datos se vaya a producir de todas formas, aunque el titular decida no prestar su consentimiento. Es decir, concurren otras causas legitimadoras, y por tanto la solicitud de consentimiento podría entenderse como engañosa para el titular, a quien se le ofrece una “ilusión de control”.
  • Cuando se solicita el consentimiento como condición previa de (y no relacionada con) el servicio que se presta. En este caso, se dice, si el tratamiento no puede basarse en un interés legítimo, aunque se preste el consentimiento, éste seguramente será inválido, al no haberse prestado con plena libertad.
  • Cuando quien solicita, se encuentra en posición de predominio sobre el titular de los datos. Los ejemplos explicativos son, nada más y nada menos: (i) las administraciones públicas respecto de los administrados, y (ii) los empleadores respecto de sus empleados.

La guía reitera un concepto básico: el consentimiento implica control, libertad por parte del titular. Si el titular no tiene realmente libertad para elegir, o bien si la prestación del servicio exige -sin más posibilidades- el consentimiento para un tratamiento no relacionado con ese servicio, este consentimiento no es libre, ni válido.

el consentimiento implica control, libertad por parte del titular. Si el titular no tiene realmente libertad para elegir, este consentimiento no es libre, ni válido

Documentación del Consentimiento

El nuevo reglamento ha instaurado el concepto de “accountability” o “responsabilidad proactiva”. En consecuencia, “ya no basta con no incumplir” la normativa.

Ahora necesito demostrar que he estudiado mi problemática, mis riesgos, las medidas disponibles para mitigar esos riesgos, que he escogido e implementado las que considero más adecuadas y por qué.

En la misma línea, no es suficiente con recabar el consentimiento inequívoco y -cuando sea necesario- expreso. Hay que documentarlo para poder acreditarlo ante el usuario y la administración.

Será necesario documentar, cuando menos, los siguientes extremos:

  • Quién consintió. Hay que identificar al titular de datos por su nombre o por otro identificador, dependiendo de los casos.
  • Cuándo consintió. Consentimiento offline: Copia del documento firmado y fechado. Consentimiento online: Archivo con sello de tiempo.
  • Qué información recibió el particular: Copia del documento de captura de datos firmado, vinculado a la política de privacidad, y demás avisos legales vigentes en aquel momento. Grabación del consentimiento verbal así como de la información suministrada al titular de datos.
  • Cómo se consintió: Por escrito: copia de los documentos anteriormente citados. Online: Copia de los datos suministrados y del formato de captura con su sello de tiempo. Verbalmente: grabación.
  • Si se ha revocado o no el consentimiento y en caso positivo, cuándo.

Caducidad del Consentimiento.

El consentimiento es un instrumento obvio o una manifestación del control del titular sobre sus datos. Pero aquello que se da para siempre, ha escapado al control de uno…

Lo que nos lleva a la pregunta: ¿cuánto dura la validez del consentimiento?

Consentimiento RGPD

Pues bien, la duración, la vida del consentimiento depende de su objeto (del tratamiento autorizado) así como del contexto, de las circunstancias en las que se ha prestado (el quién, cómo, cuándo y ante qué información que decíamos antes).

Un ejemplo muy interesante es el del consentimiento prestado por los padres o tutores, en nombre del menor de edad (por ejemplo, para el tratamiento de sus datos, en una red social de menores como fue Tuenti).

Es evidente que ese consentimiento perderá su virtualidad al alcanzar el «menor» la mayoría de edad, y adquirir la capacidad para decidir por sí mismo. En este momento será necesario «renovar» aquel consentimiento, o mejor dicho, obtenerlo directamente de él.

Buena semana.

Jorge García Herrero, Abogado

jorge.garcia.herrero.com