Precisiones sobre el concepto del consentimiento en el Reglamento Europeo de Protección de Datos (RGDP)

Análisis de las directrices publicadas recientemente por el Grupo de Trabajo del Artículo 29 en este ámbito

El 12 de diciembre de 2017 el Grupo de Trabajo del Art. 29 (WP29 por sus siglas en inglés) ha publicado las Directrices sobre el consentimiento en el Reglamento 2016/679 y las Directrices sobre la transparencia en el Reglamento 2016/679 . En este artículo expondremos algunos de los aspectos que se analizan en el primero de estos documentos.

I. CONSENTIMIENTO COMO BASE JURÍDICA

En primer lugar, el consentimiento es una de las bases jurídicas que legitiman el tratamiento establecidas en el artículo 6 del RGPD, pero existen otras como por ejemplo la ejecución de un contrato en que el interesado sea parte. Es importante recordar esto ya que, una vez determinada una base jurídica para un tratamiento, no es posible cambiar de base jurídica durante la realización del mismo. Lo que significa que, por ejemplo, si hemos elegido el consentimiento como base jurídica y el interesado lo retira, el tratamiento se volvería ilegítimo aunque se pueda invocar la ejecución del contrato. Por ello es fundamental determinar correctamente la base jurídica antes de comenzar el tratamiento.

II. REQUISITOS DE LA LICITUD DEL CONSENTIMIENTO

En las directrices sobre el consentimiento, el WP29 recuerda entre otras cosas que el tratamiento de datos personales es una actividad en la que se ven implicados los derechos fundamentales de los interesados y, en consecuencia, la solicitud de consentimiento debe estar sometida a requisitos muy rigurosos . Para que el consentimiento sea válido el responsable tendrá la obligación de acreditar tanto la obtención del mismo como el cumplimiento de dichos requisitos, que están establecidos en los artículos 4 (11) y 7 y en los considerandos 32, 33, 42 y 43 del RGPD y de los cuales destacamos:

1) el suministro de información previa de forma transparente,
2) que la aceptación sea totalmente libre, al igual que la retirada del consentimiento, que además debe poder hacerse de forma tan fácil como fue su otorgamiento
3) que se otorgue para cada una de las finalidades de los tratamientos y que los datos tratados sean los estrictamente necesarios para dichas finalidades.

1) INFORMACIÓN PREVIA Y TRANSPARENTE

El consentimiento lícito según el RGPD debe ser informado, pero el otorgamiento lícito de la información no se limita al contenido de la misma sino que abarca, entre otros, aspectos tales como el lenguaje, el momento y la modalidad en que la misma es entregada, de acuerdo con el artículo 12 (1) del RGPD.
De forma previa a la obtención del consentimiento el responsable debe suministrar al interesado, como mínimo, la información establecida en los artículos 13 y 14 del RGPD en una modalidad compatible con aquélla en que se recogen los datos y de fácilmente accesible, incluyendo modalidades específicas para las personas con discapacidad. Con respecto al lenguaje, debe ser claro, conciso y comprensible, adaptado al público al que va dirigida, principalmente si se trata de menores .

2) LIBERTAD EN LA ACEPTACIÓN Y RETIRADA DEL CONSENTIMIENTO

Con respecto a la libertad de aceptación, el WP29 considera que el interesado no debe ser sometido a ningún tipo de presión, influencia o incentivo inapropiados. El consentimiento no estaría libremente otorgado y, por consiguiente, no sería lícito en los siguientes casos:

a) si para la prestación de un determinado servicio o la entrega de una mercancía no es necesario el tratamiento de ciertos datos y aun así éstos se solicitan como requisito indispensable o como contraprestación.
b) si la negativa a prestarlo o su retirada implican un perjuicio para el interesado, como sería una agravación de la prestación a su cargo, un coste adicional, la negativa de la contraparte a prestar un servicio o suministrar un artículo, etc.

Al obtener el consentimiento, el responsable debe poner a disposición del interesado los medios para su retirada, que debe ser tan sencilla como su otorgamiento. Es decir, si dar el consentimiento sólo costó un click, de la misma forma se debe poder retirar.

3) FINALIDADES DEL TRATAMIENTO Y MINIMIZACIÓN DE DATOS PERSONALES

Es importante recordar que el consentimiento (al igual que cualquier otra base jurídica) no releva del deber de respetar los principios establecidos en el artículo 5 del RGPD y, más específicamente, los de limitación de la finalidad y minimización de datos. Todo tratamiento debe tener una o más finalidades determinadas y concretas (no genéricas), establecidas e informadas al interesado de forma previa a la obtención del consentimiento. Sólo se podrán tratar los datos que sean necesarios para el cumplimiento de dichas finalidades y el tratamiento de datos que no sean pertinentes y necesarios para la finalidad establecida será ilícito, aun cuando el interesado haya dado su consentimiento.

Si durante el curso de un tratamiento se decide un cambio de su finalidad, se debe recabar nuevamente el consentimiento e, igualmente, si un tratamiento se realiza para más de una finalidad, el interesado debe prestar su consentimiento específico para cada una de ellas. Por ejemplo, si se solicita el consentimiento para un tratamiento de ciertos datos con fines de estudio estadístico y, según el resultado del estudio, se utilizarán los mismos datos para una campaña de marketing, el consentimiento se debe recabar para cada una de estas finalidades.

III. CONCLUSION

En definitiva, si uno de los objetivos del RGPD es lograr que las personas conserven el control sobre sus propios datos, las garantías establecidas para ello se deben intensificar cuando la legitimación del tratamiento se basa en el consentimiento. Por ello en estos casos el responsable debe mantener con los interesados una relación transparente y honesta en todo momento, dejando de lado las segundas intenciones así como la ocultación o manipulación de la información.

 

Escrito por Carolina Marcela Reyes, Abogada