El consentimiento es una de las posibles bases legitimadoras (aunque no la única), recogidas en el RGPD, para poder realizar un tratamiento lícito de datos personales.
El concepto de consentimiento.
El consentimiento del interesado es una de las posibles bases legitimadoras del tratamiento recogidas en el Reglamento General de Protección de datos (RGPD).
El RGPD lo define como:
(…) toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Para que sea válido se exigen una serie de requisitos.
Condiciones para su validez.
Tal y como especifica el considerando 32 del RGPD el consentimiento debe consistir en un acto afirmativo claro.
(….) debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Además de la típica declaración (verbal u escrita), un acto afirmativo podría consistir en marcar una casilla de un sitio web, escoger parámetros técnicos para la utilización del servicio, o cualquier otra declaración o conducta que indique claramente que se acepta el tratamiento. Sin embargo, no se considerará válido el realizado mediante silencio, casillas ya marcadas o la inacción.
A diferencia de la regulación anterior no es valido el consentimiento tácito.
En definitiva, para que el consentimiento sea válido a los efectos de la normativa sobre protección de datos, debe cumplir una serie de requisitos:
(1) acto afirmativo claro,
(2) voluntario,
(3) específico,
(4) informado
(5) inequívoco.
Asimismo, en determinados supuestos (tratamiento de categorías especiales de datos, adopción de decisiones automatizadas y elaboración perfiles o transferencias internacionales de datos), se exige que el consentimiento sea explícito.
Regulación en el RGPD y LOPDyGDD.
La encontramos en los artículos 7 del RGPD y 6 de la LOPDyGDD.
1. (…) el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento.
2. Si se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se distinguirá claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible si, entre otras cosas, la ejecución de un contrato (incluida la prestación de un servicio), se supedita al consentimiento para tratamientos que no son necesarios para la ejecución del contrato.
La LOPD especifica además que, cuando el tratamiento basado en el consentimiento tenga una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que se otorga para todas ellas.
El consentimiento prestado por menores de edad.
El tratamiento de datos personales de los menores de edad, únicamente podrá fundarse en su consentimiento si son mayores de 14 años.
Se exceptúan los supuestos en que la Ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
En el caso de los menores de 14 años solo será lícito si consta el consentimiento del titular de la patria potestad o tutela.
¿Necesitas asesoramiento para cumplir con la normativa sobre protección de datos? Puedes contactar conmigo o escribirme a jraul@quintalegal.com.
La licitud del tratamiento según el Reglamento Europeo de Protección de Datos