El consentimiento en el Reglamento de Protección de datos

El consentimiento es una de las posibles bases legitimadoras (aunque no la única), recogidas en el RGPD, para poder realizar un tratamiento lícito de datos personales.

consentimiento

El concepto de consentimiento.

El consentimiento del interesado es una de las posibles bases legitimadoras del tratamiento recogidas en el Reglamento General de Protección de datos (RGPD).

El RGPD lo define como:

(…)  toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Para que sea válido se exigen una serie de requisitos.

Condiciones para su validez.

Tal y como especifica el considerando 32 del RGPD el consentimiento debe consistir en un acto afirmativo claro.

(….) debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. 

Además de la típica declaración (verbal u escrita), un acto afirmativo podría consistir en marcar una casilla de un sitio web, escoger parámetros técnicos para la utilización del servicio, o cualquier otra declaración o conducta que indique claramente que se acepta el tratamiento. Sin embargo, no se considerará válido el realizado mediante silencio, casillas ya marcadas o la inacción.

A diferencia de la regulación anterior no es valido el consentimiento tácito

En definitiva, para que el consentimiento sea válido a los efectos de la normativa sobre protección de datos, debe cumplir una serie de requisitos

(1)  acto afirmativo claro

(2)  voluntario

(3) específico

(4)  informado

(5)  inequívoco.

Asimismo, en determinados supuestos (tratamiento de categorías especiales de datos, adopción de decisiones automatizadas y elaboración perfiles o transferencias internacionales de datos), se exige que el consentimiento sea explícito.

Regulación en el RGPD y LOPDyGDD.

La encontramos en los artículos 7 del RGPD y 6 de la LOPDyGDD.

1. (…) el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento.

2. Si se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se distinguirá claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. 

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible si, entre otras cosas, la ejecución de un contrato (incluida la prestación de un servicio), se supedita al consentimiento para tratamientos que no son necesarios para la ejecución del contrato.

La LOPD especifica además que, cuando el tratamiento basado en el consentimiento tenga una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que se otorga para todas ellas

El consentimiento prestado por menores de edad.

El tratamiento de datos personales de los menores de edad, únicamente podrá fundarse en su consentimiento si son mayores de 14 años

Se exceptúan los supuestos en que la Ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

En el caso de los menores de 14 años solo será lícito si consta el consentimiento del titular de la patria potestad o tutela.

2 Comments El consentimiento en el Reglamento de Protección de datos

  1. Judit

    Me gustaría preguntarte lo siguiente: ¿cómo crees que afecta el nuevo RGPD al envío de notas de prensa?

    Gracias

    Reply
    1. J. Raúl Fernández

      Hola Judit.

      La aplicación de la nueva normativa está generando muchas dudas practicas por lo que cualquier comentario al respecto debe tomarse con prudencia. Ahora bien, de entrada, considero que se debe diferenciar cómo se realiza el envío de las notas de prensa. Así, suponiendo que sea por correo electrónico, si se remiten a un mail corporativo que no esté asociado a una persona físicas (por ejemplo; redacción@peridico_____.com), podría defenderse que no se está realizando un tratamiento de datos personales. Ahora bien, si el correo corportivo o profesional está asociado a una persona física, aquí parece no existir dudas de que se estaría realizando un tratamiento de datos y, por consiguiente, que se deberá cumplir con los requisitos de la norma, como el de información.

      Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada.