El actual escenario digital de la sociedad comporta riesgos para los derechos y libertades de los ciudadanos, ya que la cantidad de información relacionada de diferentes fuentes, la concentración y la difusión de esta información en plazos inmediatos de tiempo, puede dar la sensación de inseguridad y de pérdida de control a los titulares de los datos como “parte débil” del tratamiento.
La información se transforma en el eje vertebrador que permite acceder a mejores servicios, a productos más personalizados, a obtener información más disponible, avances científicos, etc. Hay autores que consideran que los datos son “el oro negro del siglo XXI” ya que es el combustible que hace que las empresas crezcan y sean competitivas, pero para que este crecimiento sea equilibrado se debe diseñar adecuadamente y dar las garantías suficientes a los titulares de esta información.
En este contexto, toma especial relevancia la transparencia, la necesidad de demostrar que se tiene la voluntad de cumplir y que esta voluntad no es un mero escenario. Los responsables de los tratamientos deberán, entre otras cosas, informar adecuadamente de las finalidades, del tipo de datos que van a recogerse, de la existencia del derecho a retirar el consentimiento sin ningún perjuicio para sus derechos y libertades, etc. En definitiva, se deberá poder demostrar que las personas han aceptado las operaciones del tratamiento de manera libre e informada, y que en todo momento se respetan los principios de la legislación aplicable en materia de protección de datos, y en especial, los principios de lealtad, necesidad, proporcionalidad y calidad de datos.
Es importante que los responsables de los tratamientos estén convencidos de que el cumplimiento de la legislación de protección de datos supone una oportunidad de mejora continua de sus servicios y de la calidad de sus productos, y en consecuenia, diseñen sus sistemas de información de manera que garanticen que cualquier persona física pueda decidir efectivamente sobre el control de su información personal y si es el caso, consentir de manera libre y no coaccionada cualquier tratamiento de sus datos.
Definición de consentimiento
El consentimiento es una de las bases jurídicas para el tratamiento de datos personales que se enumeran en el art. 6 del Reglamento General de Protección de datos (UE) 2016/679 en adelante (RGPD) y se configura en la legislación como la capacidad real de aceptar o no y otorga a los titulares el control sobre sus datos personales. Si el interesado realmente no tiene el control, la capacidad de decidir se diluye y no podemos hablar de una actividad lícita.
El RGPD en el art. 4 ap. 11 define el consentimiento como:” toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
La Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su art. 6 también define el consentimiento “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
El control sobre la información personal debe estar en manos del interesado sin que se vea obligado o coaccionado a aceptar tratamientos de su información si no es su voluntad. Para que éste sea válido debe ser reversible sin que perjudique de ninguna manera al titular de los datos.
Elementos para un consentimiento válido
En el caso que el responsable del tratamiento haya determinado que la base de legitimación es el consentimiento, debe diseñar sus sistemas de información para garantizar que éste sea válido. Deberá tener en cuenta los aspectos que a continuación analizaremos:
- Manifestación de voluntad libre
Es imprescindible que el titular de los datos no se encuentre obligado a aceptar por temor a las consecuencias perjudiciales que la negativa le pueda ocasionar. Por tanto, a la utilización del término libre comporta que el interesado pueda elegir libremente y pueda mantener el control sobre su información personal.
Si el titular de los datos se siente presionado, ya sea porque la prestación de servicios solicitada o la ejecución del contrato le obliga a aceptar, o si existe un desequilibrio de poder o alguna condicionalidad que le perjudica, el consentimiento quedará invalidado.
Se pueden dar situaciones en las que es difícil determinar que la manifestación de voluntad es libre si existe un desequilibrio de poder, como en las relaciones laborales dónde conviven diferentes fuentes de legitimación. El responsable tendrá que diseñar procedimientos de obtención del consentimiento que preserven la independencia de la elección y garanticen que la negativa al tratamiento no comporta consecuencias negativas para el titular de los datos.
Resulta imprescindible un análisis detallado sobre qué datos son imprescindibles para la formalización de un contrato o la prestación de un servicio para poder valorar situaciones de supeditación o de vinculación. Si se determina que el tratamiento de datos es imprescindible, la base de legitimación no sería el consentimiento y por tanto no se aplicaría el art. 7.4 del RGPD.
En el art. 6.3 de la LOPDGDD, se determina que “No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”. En la misma línea, el RGPD indica que de ninguna manera se podría vincular el consentimiento a la aceptación de términos y condiciones generales del contrato
El legislador, tanto europeo como nacional, señala la condicionalidad como una presunción de falta de libertad para otorgar el consentimiento. Los responsables del tratamiento, como muestra de responsabilidad proactiva, deben poner especial atención para poder demostrar que la condicionalidad no existe ni tampoco el perjuicio para el interesado.
- Manifestación de voluntad específica
La LOPDGDD en su art.6.2 indica que “Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”.
El responsable debe informar de los fines perseguidos los cuales deben ser determinados y específicos para la finalidad perseguida. La determinación y especificación de los fines de tratamiento resulta imprescindible y una garantía para que el uso de la información no se difumine de manera gradual de los fines para los que se produjo la recogida inicial de los datos. Por tanto, debe haber una clara separación entre la información relacionada con la obtención del consentimiento de otras actividades.
En el caso que el formato sea en papel o en contratos electrónicos, la obtención del consentimiento debe quedar claramente diferenciada de las otras cuestiones y deberá ser una solicitud separada y diferenciada de las condiciones generales. En el caso de pantallas pequeñas se podría facilitar la información por capas.
- Manifestación de voluntad informada
El RGPD pone especial énfasis en la necesidad de reforzar la información facilitada para conseguir un consentimiento libre. Es, también, uno de los requisitos de la transparencia relacionados con los principios de lealtad y licitud. Esta información necesariamente se debe facilitar antes del inicio del tratamiento y debe mostrarse de manera accesible, ya que de otra manera el titular de los datos este perdería el control.
Los requisitos mínimos para que el consentimiento sea informado son:
- Identidad del responsable del tratamiento.
- El fin de cada una de las operaciones de tratamiento para las que se solicita en consentimiento.
- Tipo de datos que se van a recoger y a utilizar.
- La existencia del derecho de retirar el consentimiento.
- La información sobre el uso de los datos para decisiones automatizadas de conformidad con el art. 22, ap. 2 letra c) cuando sea pertinente.
- La información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una decisión de adecuación y de garantía adecuadas, tal y como se describen en el art. 46.
En el caso que existan múltiples responsables que actúan conjuntamente se deben nombrar a todas las organizaciones y se debe indicar los tipos de datos que van a recogerse y como se van a utilizar. En el caso de encargados de tratamiento, no es necesario indicar cuáles son como requisito para prestar el consentimiento, aunque según se establece en los arts. 13 y 14 del RGPD los responsables deberán facilitar una lista completa de los receptores de los datos que incluyan los encargados. Se debe tener especial atención a lo establecido en el art. 33.2 de la LOPDGDD ya que en este articulo se indica que aunque el contenido del contrato que regula la prestación de servicios formalmente tenga la apariencia de la figura de engarcago de tratamiento por tener el conenido del art. 28.3 del RGPD, en el caso que el encargado actue en nombre propio sin que conste que actua por cuenta de otro, estaremos delante de un responsable de tratamiento y no de un encargado.
La información facilitada deberá adaptarse al caso en concreto en función de los destinatarios, los medios del responsable, el tipo de tratamiento, etc. En general, se debe utilizar un lenguaje claro y sencillo comprensible para el público al que va dirigido y con el medio que se considere más efectivo. El acceso a la información también debe ser fácil y, por tanto, no puede quedar difuminado en medio de condiciones generales de las políticas de privacidad.
- Manifestación de voluntad inequívoca
El RGPD determina que un consentimiento válido requiere de una manifestación inequívoca de dicha voluntad mediante una declaración o una acción afirmativa clara. En consecuencia, el interesado debe actuar de forma deliberada mediante una declaración escrita, verbal o efectuada por medios electrónicos para manifestar su consentimiento.
El responsable no debe diseñar los procesos de obtención del consentimiento de manera ambigua ya que debe quedar claro que el consentimiento por parte del titular de los datos es inequívoco. Por tanto, no será admisible la obtención del consentimiento mediante las condiciones generales del contrato, casillas pre-marcadas, etc.
En el caso de medios digitales, la manifestación de voluntad inequívoca se podría obtener mediante la interrupción de la experiencia del usuario para que resulte evidente la acción afirmativa clara. El problema puede surgir si el dispositivo técnico diseñado para obtener el consentimiento es demasiado invasivo y pesado, ya que de esta manera el interesado puede aceptar sin que libremente esté dispuesto a hacerlo ya que lo único que quiere es continuar con su servicio. En este caso sería difícil demostrar que se ha recabado un consentimiento libre.
Puede suceder que los responsables del tratamiento diseñen procedimientos en el ámbito digital en los cuales constantemente se piden aceptaciones a los usuarios, que al final, ya no leen por lo que pierden su eficacia. El RGPD impone a los responsables la obligación de desarrollar maneras de abordar este tema como podría ser la configuración del navegador u otras medidas técnicas para garantizar el consentimiento libre de los usuarios.
Las acciones diseñadas para obtener el consentimiento deben ser claras y evitar la ambigüedad y garantizar que la acción para la cual se presta el consentimiento está claramente diferenciada de las demás. Continuar simplemente con el uso del sitio web no es una conducta de la que pueda inferirse una indicación de que el interesado desee mostrar su acuerdo respecto a una operación de tratamiento.
Obtención del consentimiento explícito
La nueva legislación indica que en el caso de categorías especiales de datos (art. 9 RGPD) o de transferencias internacionales a terceros países u organizaciones internacionales en ausencia de garantías adecuadas es necesario obtener el consentimiento explícito (art.49 RGPD). También es necesario el consentimiento explícito sobre los tratamientos que comporten decisiones individuales automatizadas incluida la elaboración de perfiles (art. 22 RGPD).
Explícito se refiere a la manera en la que el interesado muestra su conformidad. Por tanto, se podría obtener mediante la aceptación de una casilla en un formulario para eliminar cualquier duda, por medio de una conversación telefónica grabada, etc.siempre que se haya informado adecuadamente de manera previa a la aceptación.
Condiciones adicionales para la obtención del consentimiento válido
Los responsables del tratamiento de datos deberán diseñar sus procesos para poder obtener, mantener y demostrar que han conseguido un consentimiento válido. Estos procesos se pueden adaptar a sus protocolos de funcionamiento diario en función de la tecnología o la metodología que utilicen.
En resumen, el responsable deberá poder demostrar:
- Que informó adecuadamente y que el proceso de obtención del consentimiento se diseñó de manera efectiva para la finalidad perseguida.
- Que el consentimiento sigue siendo válido mientras dure la actividad del tratamiento.
- Que el interesado puede retirar su consentimiento en cualquier momento y que se haga de una manera tan fácil como se prestó inicialmente.
- Que el efecto de revocación del consentimiento produce los efectos de borrado de los datos. En el caso que el responsable quisiera cambiar la base jurídica del tratamiento, deberá notificarlo al interesado de conformidad con los requisitos de transparencia.
Según la LOPDDGG, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. En otros casos, será necesaria la obtención del consentimiento de sus representantes legales y el responsable del tratamiento deberá diseñar sistemas para poder verificar de manera razonable la edad y la patria potestad del menor.
En el caso que se presten servicios de la sociedad de la información a niños sobre la base del consentimiento se espera que los responsables adopten las medidas razonables para verificar que el usuario supera la edad del consentimiento digital y adopten medidas de comprobación de la misma.
Los mecanismos de comprobación de la edad del menor y la identificación de la patria potestad deben ser proporcionales y obtener una mínima cantidad de información, la cual, debe ir directamente relacionada con los riesgos inherentes al tratamiento.
Consentimiento otorgado con anterioridad a la entrada en vigor del RGPD
Los responsables que tratan datos sobre la base del consentimiento están obligados a revisar los procesos de obtención del consentimiento y a renovarlos de acuerdo con las exigencias de la nueva legislación aplicable.
Modificar únicamente las políticas de privacidad puede no ser suficiente si el procedimiento de obtención del consentimiento de los datos no fué el adecuado. Los tratamientos basados en consentimientos tácitos, por ejemplo basados en casillas pre-marcadas o inacciones se deberán analizar y determinar si existe una base jurídica que sustente el tratamiento, en caso contrario deberán obtenerse el consentimiento de acuerdo con las exigencias del RGPD:
También será necesario revisar las formas de revocación del consentimiento y si se ajustan a las disposiciones del RGPD.
Conclusión
En el nuevo escenario que ofrece el RGPD y LOPDGG, el responsable debe diseñar todos sus procesos para obtener un consentimiento válido desde el inicio del tratamiento hasta la finalización del mismo y diseñar estrategias que le permitan ir renovando el mismo de manera periódica.
La nueva regulación supone un reto para las organizaciones ya que la licitud, lealtad y la transparencia en el tratamiento de los datos debe ser la base de cualquier proyecto que se desarrolle y supone una implicación de los diferentes departamentos de las mismas en la consecución de los fines concretos.
Marta López Benito
Asociada de ENATIC
Fuentes:
- Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
- Dictamen 15/2011 sobre la definición de consentimiento (WP 187). http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf
- Dictamen 03/2016 sobre la evaluación y revisión de la Directiva sobre privacidad las comunicaciones electrónicas. http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp240_en.pdf
- (http://www.computing.es/analytics/noticias/1107647046201/datos-oro-negro-del-siglo-xxi.1.html