El artículo 4 del RGPD introduce el «consentimiento del interesado» como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.» En otras palabras, al consentir el tratamiento de datos personales, el interesado prácticamente lo legitima.
Sin embargo, por mucho que esa interpretación suene tentadora para los responsables de datos personales, utilizar el consentimiento como base legal para el tratamiento no es la mejor, ni ciertamente la manera más sencilla, de avanzar en el camino hacia el cumplimiento del RGPD. Este artículo revela algunos de los mitos del consentimiento e intenta responder varias preguntas frecuentes relacionadas.
1) Consentimiento – ¿revuelo por algo que ya existía?
La primera pregunta es: ¿es esto realmente una novedad legal? Respuesta corta: No, pero es algo más complicado.
El consentimiento había estado incluido en el predecesor del RGPD, la Directiva UE 95/46/EC, un marco legal actual de protección de datos personales para los Estados miembros de la UE (para saber más sobre la comparación entre la Directiva UE 95/46/EC y el RGPD, lea este artículo: EU GDPR vs. European data protection directive). Como tal, se había utilizado ampliamente, aunque con mucha más libertad de la inicialmente prevista. Como resultado de la utilización y uso indebido, el RGPD incorpora el concepto de consentimiento, pero impone requisitos más estrictos.
2) Requisitos del consentimiento en el RGPD
La segunda pregunta es: ¿Cómo gestionamos el concepto de consentimiento de una manera compatible con el RGPD?
Aclaremos los términos: el consentimiento es un resultado, obtenido como consecuencia de un mecanismo que persigue obtenerlo.
Este resultado debe tener una restricción de tiempo que no puede ser válida indefinidamente y, una vez obtenida, presenta una indicación positiva del acuerdo entre el interesado y el responsable del tratamiento de los datos personales que se tratan. Aunque el consentimiento debe restringirse en términos de su duración máxima, no se requiere legalmente especificar un período de validez mínimo, es decir, no define ni puede definir un período obligatorio de validez.
El mecanismo de consentimiento tiene que cumplir los siguientes requisitos y restricciones:
- Para llevar a cabo el tratamiento de datos, el consentimiento tiene que obtenerse por adelantado. Tras su caducidad, tiene que volverse a obtener. El responsable de datos no puede especificar ningún periodo mínimo para el tratamiento ni forzar éste a los interesados, quienes pueden retirar su consentimiento en cualquier momento.
- El método empleado debe garantizar que los interesados fueron bien informados sobre el tratamiento (es decir, en un lenguaje inequívoco y claro). Además, debe ser obtenido antes de que el interesado consienta el tipo preciso de tratamiento (aquí la granularidad es muy estricta) que se menciona en el formulario de consentimiento. También requiere una acción positiva (ej. el consentimiento implícito o pasivo no cumple).
- El mecanismo también depende del contexto. Dado que existe otra estipulación de que el consentimiento debe darse libremente, no se considerará válido si el interesado no tuvo una elección genuina y libre, o no puede retirar o rechazar el consentimiento sin detrimento (lo que podría ser el caso en ciertas situaciones, como en un empleo o en las relaciones entre el gobierno y el ciudadano).
- Por otra parte, aunque el RGPD no especifica los medios para gestionar el consentimiento, se requiere que el responsable de datos demuestre que se ha otorgado el consentimiento, junto con toda la información asociada. Estos son algunos ejemplos de posibles pistas de auditoría: firmas en formularios en papel, casillas de verificación, botones «hacer clic aquí», registros de transacciones, impresiones en pantalla, documentos firmados digitalmente, grabaciones de llamadas, etc.
Así mismo, el RGPD incluye el consentimiento de los padres/tutores. El mecanismo para obtener el consentimiento debe incluir dos condiciones: verificación razonablemente confiable de la edad del niño en el momento de la recogida (particularmente complicado en el contexto de los servicios en línea) y uso de un lenguaje claro y sencillo (se recomienda la visualización) que el niño pueda entender fácilmente. El límite de edad para obtener el consentimiento de un padre o tutor está determinado por el organismo regulador de cada Estado miembro de la UE, siempre que tenga entre 13 y 18 años.
3) Determinación de la necesidad
Nuestra tercera pregunta es: ¿en qué situaciones el consentimiento es realmente necesario?, es decir, ¿cuándo deben usarlo los responsables de datos?
Es importante señalar que el mecanismo de consentimiento es una de las bases legales múltiples que existen para el tratamiento de acuerdo con el RGPD (para obtener más información sobre las 6 bases legales, lea este artículo: ¿Es necesario el consentimiento? Seis bases jurídicas para tratamiento de datos de acuerdo al RGPD).
A pesar del revuelo público, el consentimiento es quizás la base legal más citada y menos popular del tratamiento. Como he comentado, requiere mucho esfuerzo obtenerlo y administrarlo, mientras que conlleva un gran inconveniente, ya que puede revocarse en cualquier momento. Esto resulta automáticamente en el cese de tratamientos posteriores y también podría implicar el cumplimiento del derecho a borrar datos personales dentro del plazo de 30 días requerido. A los responsables de datos se les recomienda que analicen todas las demás bases legales, y justifiquen el tratamiento de datos en consecuencia. Cuando estas opciones se agotan, el consentimiento permanece como el último recurso.
4) ¿Qué hacemos con los consentimientos existentes?
Como mencioné anteriormente, el consentimiento como un par mecanismo/resultado existió durante más de 20 años. Esto fue el resultado de la Directiva de la UE 95/46/EC, y muchas organizaciones lo han usado durante años. Se puede asumir con certeza que un determinado porcentaje de las pruebas de consentimiento existentes están presentes en sus sistemas activos o de archivo, en los que se produce continuamente el tratamiento de datos personales.
La cuarta pregunta es muy importante. ¿Los responsables de datos tienen que obtener un «nuevo» consentimiento conforme al RGPD para todas y cada una de las personas físicas cuyos datos personales tratan actualmente? Bueno, el RGPD «echa una mano» aquí. El considerando (171) establece que «cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo» de conformidad con el RGPD, «a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento «.
Sin embargo, tenga en cuenta que una definición demasiado amplia del tratamiento de datos, tal como se presenta en estos mecanismos de consentimiento «heredados», junto con no informar a los interesados de acuerdo con las condiciones del RGPD, podría constituir un incumplimiento. Esto es especialmente cierto cuando se utilizan datos personales y el consentimiento se obtuvo inicialmente para otro fin.
Frases “para llevar”
En pocas palabras, el planteamiento del consentimiento de los interesados puede resumirse en dos frases:
- Utilice el consentimiento sólo cuando sea necesario, y trátelo con cuidado
- No asuma que nadie está de acuerdo con las necesidades de su negocio
Descargue gratis este Plan de Proyecto para la implementación del RGPD UE para conocer cuándo es mejor empezar a recoger el consentimiento.