Explicamos lo que se ha dado en conocer como «consentimiento RGPD«, que es una referencia al consentimiento expreso en el Reglamento General de Protección de Datos y las diferencias, de haberlas, con el consentimiento explícito, exigible según la actual ley de protección de datos en ciertas circunstancias.
Consentimiento en el RGPD: Ley de protección de datos y el nuevo modelo de aceptación
Parece una nueva marca: el “Consentimiento RGPD”.
Porque se ha popularizado a muchos niveles que el Reglamento Europeo de Protección de Datos implanta un nuevo modelo de consentimiento, con unas características quelo distancian, pero no excesivamente, del consentimiento tal y como lo configuraba la anterior ley de protección de datos . Y es que, lo más llamativo a nivel de obtención del consentimiento por parte del titular de los datos es que con el RGPD desaparece el consentimiento tácito.
El consentimiento en el RGPD tiene que compartir protagonismo con otras bases jurídicas de legitimación del tratamiento de datos personales por parte de autoridades públicas, organizaciones y empresas.
La situación “preponderante” del consentimiento como base legítima, por tanto, ya no es tan ostensible e incluso decae tras la aprobación del Reglamento 2016/679.
Las autoridades de control en materia de protección de datos insisten en no utilizar esta base jurídica en determinados supuestos donde dicho consentimiento no pueda emitirse libremente por el interesado.
El Consentimiento tácito en la LOPD de 1999
¿Cómo era el consentimiento en la ley de protección de datos anterior?
Para apreciar el cambio operado por el RGPD en lo relativo al consentimiento, es necesario un pequeño análisis del consentimiento en el modelo de la LOPD.
La Jurisprudencia del Tribunal Constitucional anterior a la ley de protección de datos de 1999 ya dibujaba el consentimiento como una facultad derivada de la libertad de la persona para decidir (poder de control) sobre sus datos personales.
Por ello el consentimiento se configura como un facultad de decidir sobre la recogida, obtención y acceso a los datos personales.
Como complemento imprescindible del consentimiento se refiere el Alto Tribunal español a la información acerca de la posesión y el uso de los datos personales.
El artículo 6.1 de la LOPD establecía que:
“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado salvo que la ley disponga otra cosa”
Los rasgos del consentimiento durante la vigencia de la LOPD y del Real Decreto 1720/2007 (Reglamento de desarrollo de la LOPD de 1999), lo configuran como una manifestación de voluntad libre, específica, informada e inequívoca.
Dicha manifestación de voluntad podría estar expresada de forma legítima por una acción o por una omisión, por lo que podemos concluir que en la normativa de protección de datos anterior al RGPD era posible el consentimiento tácito.
De hecho, podríamos afirmar que el consentimiento tácito era una especie de regla general, reservándose el consentimiento expreso para los supuestos señalados en la LOPD, concretamente en los artículos 7.2 (datos relativos a ideología, religión, creencias y afiliación sindical) y en el 7.3 (salud, origen racial y vida sexual).
En opinión de la doctrina que escribió sobre el consentimiento después de la aprobación de la LOPD de 1999, e incluso de la Agencia Española de Protección de Datos, el consentimiento tácito no quedaba al margen del derecho de información.
El consentimiento tácito adquiría la condición de consentimiento inequívoco (exigido por la LOPD) cuando se hubiese otorgado al interesado un plazo prudencial para que fuese informado de que su inacción (la no oposición al tratamiento) implicaba su consentimiento a dicho tratamiento.
Consentimiento expreso en el RGPD
Con el RGPD no cambian los atributos esenciales del consentimiento respecto a la Directiva 95/46/CE en cuanto manifestación de voluntad . De hecho, ni siquiera lo que es la misma definición de consentimiento.
Pero sí que hay cambios sustanciales en los elementos que determinan que se ha recabado válidamente el consentimiento por las personas afectadas por el tratamiento.
La definición del “consentimiento del interesado” en el artículo 4 punto 11 del Reglamento 2016/679 es básica para entender las características que deben presidir su obtención:
“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Cuatro de esas características del consentimiento son coincidentes en el esquema de la LOPD de 1999 y del RGPD. En una se separan sustancialmente: con el RGPD ya no cabe el consentimiento tácito.
El consentimiento ha de instrumentarse “mediante una declaración o una clara acción afirmativa”: ya no es posible el consentimiento presunto fruto de una inacción.
¿Que significa consentimiento libre en el RGPD?
“Consentimiento libre” implica libertad de elección para el interesado , que éste puede disponer si prestar o no ese consentimiento.
En general no sería un consentimiento válido bajo el RGPD aquel prestado por personas que pueden estar obligadas o compelidas a aceptar un determinado tratamiento de datos para evitar consecuencias negativas o puedan sufrir un detrimento si se oponen o rechazan el tratamiento.
Tampoco estaríamos ante un consentimiento libre en aquellas relaciones donde el afectado por el tratamiento sea la parte débil de una negociación, de forma que aquél no tenga alternativas respecto a la prestación del consentimiento.
Para que el consentimiento sea libre, de conformidad con el Considerando 43 del RGPD, ha de ofrecerse al interesado la posibilidad de manifestar consentimientos separados (granularidad del consentimiento del RGPD) para cada finalidad del tratamiento de datos. De acuerdo con el Considerando 32 del RGPD “…El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos…”
¿Que significa consentimiento específico en el RGPD?
Significa que el consentimiento ha de ser prestado para cada finalidad específica del tratamiento de datos.
También significa “granularidad” en el sentido que hemos visto anteriormente.
Y por último, significa que la información al afectado relativa al tratamiento de sus datos ha de ser clara y estar separada de la información relativa a otros asuntos.
¿Qué significa consentimiento informado en el RGPD?
El recabado del consentimiento en el Reglamento General de Protección de Datos debe producirse conforme al fundamental principio de transparencia.
No se puede entender que el interesado pueda tomar decisiones respecto de sus datos personales si no se le suministra suficiente información sobre el tratamiento.
El Grupo de Trabajo del Artículo 29, hoy Comité Europeo de Protección de Datos, en las Guidelines sobre el Consentimiento nos dice que el control del interesado sobre su información personal se convierte en “ilusorio” si no hay suficiente información sobre el tratamiento.
¿Qué significa consentimiento inequívoco en el RGPD?
Debe ser obvio que el interesado consiente el tratamiento de sus datos.
El acto por el cual el afectado consienta no puede ser ambiguo.
El RGPD es claro al exigir que el consentimiento del interesado provenga de una declaración o de una clara acción afirmativa.
En la práctica, el RGPD está equiparando el consentimiento inequívoco al consentimiento expreso.
CONDICIONES DEL CONSENTIMIENTO EN EL RGPD
El RGPD dedica posteriormente el artículo 7 a las “condiciones del consentimiento”, que contienen varios “mandamientos” para el responsable del tratamiento.
El primero de esos mandatos entronca con el principio de accountability que preside todo el Reglamento General de Protección de Datos. El responsable del tratamiento debe ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
Igualmente, el responsable del tratamiento deberá presentar el consentimiento al interesado de forma inteligible y de fácil acceso, en un lenguaje claro y sencillo (principio de transparencia).
El consentimiento se presentará separado del resto de asuntos de la declaración escrita que se muestre o presente al interesado (granularidad y consentimiento específico del RGPD).
Una de las condiciones más importantes del consentimiento tal y como el RGPD lo configura es que en contextos como la ejecución de un contrato o la prestación de un servicio el consentimiento no podrá estar supeditado al tratamiento de datos personales que no son necesarios para ejecutar el contrato o prestar el servicio, resaltándose una de las manifestaciones prácticas más importantes del principio de minimización de los datos.
Otra de las condiciones del consentimiento del RGPD resaltada en el artículo 7 es su fácil revocabilidad, de la que hablaremos más adelante.
Consentimiento explícito en el RGPD
El Reglamento General de Protección de Datos exige el consentimiento explícito en determinadas situaciones donde se considera apropiado que el interesado obstente el más alto nivel de disposición sobre sus datos personales.
Dichas situaciones previstas en el Reglamento 2016/679 para el consentimiento explícito son, de forma resumida, las siguientes:
- el tratamiento de las categorías especiales de datos o datos sensibles (art 9.1 RGPD),
- las transferencias de datos a terceros países o a organizaciones internacionales en ausencia de garantías adecuadas (artículo 49 RGPD) y
- el caso de las decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 RGPD).
Habíamos visto como la ley de protección de datos de 1999 (LOPD) requería el consentimiento expreso para el tratamiento de los datos de carácter especial.
¿En qué se diferencia el consentimiento explícito del consentimiento expreso?
¿Qué esfuerzos extra ha de llevar a cabo el responsable del tratamiento para disponer que una declaración o una clara acción afirmativa constituyan un consentimiento explícito?
En las directrices del WP29 sobre el consentimiento encontramos que una vía apropiada para asegurar el consentimiento explícito es una declaración escrita que sea firmada por el interesado.
En contextos electrónicos, ese consentimiento explícito cumpliría los requisitos si se hace rellenando un formulario electrónico, enviando un correo electrónico, cargando un documento escaneado con la firma del interesado, o utilizando una firma electrónica.
También aluden las guidelines sobre el consentimiento bajo el RGPD a un proceso de verificación en dos etapas: mail más link que debe ser clicado para aceptar, o mail más SMS a enviar o responder por el interesado
Podemos ayudarte a cerciorar que tus procesos de recabado de consentimiento son conformes al RGPD. Contáctanos.
Prueba del consentimiento en el RGPD
Como hemos visto anteriormente, la prueba del consentimiento expreso en el RGPD es fundamental para dar cumplimiento al troncal principio de accountability: el responsable del tratamiento debe ser capaz de demostrar que cumple y, entre otras cosas, que ha recabado correctamente el consentimiento del interesado.
Para probar que el consentimiento se ha obtenido del interesado con los requisitos exigidos por el RGPD, se puede acudir a cualquier medio de prueba admitido en Derecho.
En contextos donde existen formularios o declaraciones por escrito, donde la caligrafía o la firma del interesado no dejan duda de la identidad de aquel, no plantea especial dificultad el tema de la prueba.
Es preciso pues, que las cláusulas de consentimiento expreso cumplan los requisitos del RGPD en cuanto a transparencia, granularidad, minimización, etc, y el propio contexto del papel (declaración, formulario, contrato, etc) nos suministraría la prueba a custodiar.
Pero en escenarios digitales o electrónicos, los principales obstáculos para probar un consentimiento válido conforme al RGPD son la acreditación de la identidad del titular y también el tiempo o momento en que consintió.
En general, las autoridades de control vienen considerando suficiente prueba del consentimiento expreso, por ejemplo, el envío de un correo electrónico desde la dirección del interesado, o la puesta a disposición del usuario de un formulario con un botón “Aceptar” o “Enviar” unido a una casilla previamente desmarcada que el usuario deba clicar para que se genere su solicitud, etc.
No obstante, siguiendo las recomendaciones del Grupo de Trabajo del artículo 29 (el hoy Comité Europeo de Protección de Datos), parece oportuno introducir formalidades extra al consentimiento, para que el mismo sea un consentimiento explícito, al tratar datos sensibles, al operar transferencias internacionales de datos o cuando se trate de recabar el consentimiento del usuario a una decisión individual automatizada o la elaboración de su perfil.
Hemos citado alguna de esas formalidades especiales para contextos electrónicos u online en el apartado dedicado al “consentimiento explícito en el RGPD”
Duración del consentimiento en el RGPD
En el RGPD no se establece ningún plazo de vigencia para el consentimiento otorgado para el tratamiento de datos personales.
Por tanto, y según las guidelines del WP29, la duración del consentimiento dependerá del contexto, del alcance del consentimiento otorgado y de las expectativas del propio interesado.
Se considera buena práctica desde el punto de vista de cumplimiento proactivo del RGPD que el consentimiento sea “refrescado” en intervalos apropiados.
Es aconsejable que dichos intervalos no coincidan ni superen en duración a la de los plazos legales de conservación de datos previstos para los respectivos tratamientos.
También es importante, en cada comunicación que se dirija al interesado poner a su disposición medios de fácil acceso, sencillos y claros para que pueda manifestar su oposición al tratamiento y, en el caso de tratamientos realizados bajo la base jurídica del consentimiento, que el interesado pueda revocar dicho consentimiento fácilmente.
Revocación del consentimiento en el RGPD
Retirar el consentimiento en el Reglamento General de Protección de Datos se convierte en algo incondicional y que queda a plena disposición del interesado.
El interesado puede retirar su consentimiento en cualquier momento. Retirar el consentimiento será tan fácil como darlo.
Son dos mandamientos del legislador europeo, muy claros y directos.
Estos mandamientos sobre la revocación del consentimiento chocan contra la indeterminación del artículo 6.3 de la LOPD de 1999 que permitía la retirada del consentimiento “cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos”.
Si bien se venía interpretando en un sentido amplio el término “causa justificada” de ese artículo de la LOPD, con el RGPD el interesado no necesita argumentar nada para retirar su consentimiento y tiene pleno derecho a no ser obstaculizado por el responsable del tratamiento con requisitos superiores, vías intrincadas u otras dificultades para revocar su aceptación al tratamiento de los datos personales.
Al igual que con la ley de protección de datos de 1999, el RGPD especifica que la retirada del consentimiento por parte del titular de los datos “no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada”.
El consentimiento de los empleados en el RGPD
Como hemos visto anteriormente, el Grupo de Trabajo del Artículo 29 (WP29 y hoy Comité Europeo de Protección de Datos, es decir, la autoridad “central” europea de protección de datos) venían manifestando que el consentimiento prestado voluntariamente en situaciones de desequilibrio (inbalance of powers) era nulo.
El propio Considerando 43 del Reglamento General de Protección de Datos reitera la idea de que el consentimiento
“… no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento”.
Por otra parte, el consentimiento en el RGPD es una manifestación de voluntad revocable en cualquier momento y sin necesidad de alegar circunstancia alguna.
¿Bajo qué base jurídica tratará entonces la empresa los datos de los empleados en la óptica del RGPD si no “juega” el consentimiento o es una base jurídica esencialmente revocable por parte del trabajador?
Hay tratamientos de datos personales que el empleador legitimaba y puede seguir legitimando en el propio contrato de trabajo (artículo 6.1 letra b del RGPD).
Y otras veces, la gestión de los recursos humanos de la empresa, en lo que respecta a los datos personales de los trabajadores, podría hacerse porque lo impone una ley (gestión de nóminas y seguros sociales, facultades de la Inspección de Trabajo, obligaciones en materia de prevención de riesgos laborales, etc), que será la base jurídica contemplada en el artículo 6.1 c del RGPD.
Pero hay una serie de tratamientos de datos de los trabajadores que el empleador tiene que llevar a cabo para satisfacer sus intereses legítimos que no encuentran apoyo en el contrato ni en una obligación legal y que el empleador puede llevar a cabo siempre que dichos intereses prevalezcan o respeten los derechos o intereses de los propios empleados.
Esta sería la base de legitimación del tratamiento de datos personales del “interés legítimo” que encontramos en la letra f del artículo 6.1 del RGPD.
La legalización de los tratamientos de datos de los trabajadores por la vía del interés legítimo requiere hacer un completo ejercicio de ponderación jurídica de los intereses en juego.