Principales aspectos de las Directrices sobre el consentimiento en virtud del Reglamento General de Protección de Datos de las autoridades europeas de protección de datos (WP 259)

By
 In Legal

El Grupo de Trabajo del Artículo 29 (en adelante GT29), que reúne a las autoridades de protección de datos de todos los Estados miembros, ha publicado unas Directrices en el que se analizan los requisitos para obtener y demostrar el consentimiento válido conforme al Reglamento General de Protección de Datos (en adelante RGPD). Se pueden enviar comentarios al texto hasta el 23 de enero de 2018. Se apuntan a continuación las principales aclaraciones:

  1. El concepto de consentimiento

    Con el RGPD, un responsable puede tratar datos personales sobre la base de una serie de legitimaciones recogidas en su artículo 7, siendo el consentimiento una de ellas.

El RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Las autoridades analizan los elementos mencionados para que el consentimiento sea válido conforme al RGPD:

 

  • El elemento “libre” implica una verdadera elección y control para los interesados. Se pueden dar alguna de las siguientes situaciones:

    -Desequilibrio de poder: existe un desequilibrio en el que es poco probable que un individuo niegue su consentimiento al tratamiento de datos por una relación de dependencia (empleador/empleado) sin experimentar el temor o el riesgo real de efectos perjudiciales como resultado del rechazo.
    -Condicionalidad: las solicitudes de consentimiento para el tratamiento de datos personales no deben agrupar o unir con la aceptación de otros términos o condiciones, a menos que sea necesario para la ejecución de un contrato, algo que tiene que ser interpretado en sentido estricto. Tiene que existir un vínculo directo y objetivo entre el tratamiento de los datos y el objetivo de la ejecución del contrato.
    – Granular: los responsables necesitan obtener permisos por separado de los para cada finalidad específica. Por ejemplo, se deben obtener permisos por separado para actividades de marketing directo y para compartir datos personales con terceros.
    – Perjuicio: las personas deben poder retirar o negarse a otorgar consentimiento para el tratamiento de datos sin ningún perjuicio (por ejemplo, coste). Si un responsable puede demostrar que un servicio incluye la posibilidad de retirar el consentimiento sin ninguna consecuencia negativa, por ejemplo, sin que la prestación del servicio sea reducida en perjuicio del usuario, esto puede servir para demostrar que el consentimiento fue otorgado libremente.

 

  • Específico

El consentimiento específico está diseñado para “garantizar un grado de control y transparencia para el interesado”. La especificidad está estrechamente relacionada con el requisito del consentimiento informado. El Grupo de Trabajo identifica tres componentes que los responsables deben aplicar:

  • Especificar la finalidad
  • Granularidad en las solicitudes de consentimiento.
  • Separación clara de la información relacionada con la obtención de consentimiento para actividades de tratamiento de datos a partir de información sobre otros temas.

Si el responsable quiere utilizar los datos para nuevas finalidades, será necesario que obtenga el consentimiento para tal finalidad.
1.3. Informado

 

Las directrices refuerzan el hecho de que el consentimiento debe ser informado. Como mínimo, ha de ofrecerse la siguiente información para               que se considere que el consentimiento es válido:

(1) la identidad del responsable;

(2) la finalidad de cada una de las operaciones de tratamiento;

(3) el tipo de datos que se recopilarán;

(4) el derecho a retirar el consentimiento;

(5) detalles de cualquier tratmiento automatizado propuesto, incluido la creación de perfiles; (6) los posibles riesgos de las transferencias de datos a países no pertenecientes a la UE a falta de una decisión de adecuación de la Comisión Europea y las salvaguardas apropiadas, cuando corresponda.

El responsable debe garantizar que utiliza un lenguaje claro y sencillo siempre. Esto significa que un mensaje debe ser fácilmente comprensible para el usuario medio. Los responsables no pueden usar largas políticas de privacidad ilegibles. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado de manera inteligible y forma accesible.

 

 

1.4 Clara acción afirmativa

El consentimiento siempre requerirá una declaración de un individuo o una manifestación afirmativa clara. De acuerdo con las directrices, debe ser “obvio” que las personas han dado su consentimiento al tratamiento.

Para el GT29 no es aceptable:

(1) las casillas previamente marcadas;

(2) silencio o inactividad del individuo;

(3) incluir el consentimiento como parte de los términos y condiciones generales;

(4) el uso de casillas de opt out.

  1. 4. Explícito

 

Se requiere el consentimiento explícito en una serie de circunstancias, tales como:

(1) al tratar categorías de datos especiales;

(2) para transferencias de datos a países no pertenecientes a la UE; y

(3) para la toma de decisiones automatizada, incluida la elaboración de perfiles.

 

Como para el consentimiento “normal” el RGPD requiere un “clara acción afirmativa”, para el consentimiento explícito se requiere un estándar más alto para su obtención. Esto puede incluir la provisión expresa de consentimiento en una declaración escrita firmada por el individuo. También puede incluir completar un formulario electrónico, enviar un correo electrónico, cargar un documento escaneado firmado o usar una firma electrónica.

 

  1. Condiciones adicionales para obtener un consentimiento válido

 

En virtud del RGPD, los responsables deben demostrar que han obtenido un consentimiento válido. También deben asegurarse de mantenerlo y ellos tendrán la carga de la prueba. Por ejemplo, cuando el consentimiento se obtiene en una web, la empresa puede guardar la información sobre la sesión en la que se expresó el consentimiento. El responsable puede mantener un registro de las declaraciones de consentimiento recibidas, para que pueda mostrar cómo y cuándo se obtuvo el consentimiento y la información proporcionada en el momento. El responsable también deberá poder demostrar que el interesado fue informado y que cumplió con todos los criterios relevantes para un consentimiento válido. El fundamento de esta obligación es la rendición de cuentas.

El RGPD no establece un límite de tiempo específico para la duración del consentimiento, que dependerá del contexto, el alcance del consentimiento original y las expectativas del individuo.

 

5.2 Retirada del consentimiento

El responsable debe asegurarse de que el consentimiento se puede retirar tan fácilmente como se le dio en cualquier momento. Sin embargo, las directrices reconocen que el RGPD no establece que proporcionar y retirar el consentimiento siempre debe hacerse a través del mismo método. Cuando se ha retirado el consentimiento, todas las operaciones de tratamiento de datos que se basaron en ese consentimiento y que tuvieron lugar antes de la retirada siguen siendo legales. Sin embargo, si no existe otra base legítima para el tratamiento, los datos deben eliminarse o anonimizarse. El responsable controlador debe, como parte de la obligación de transparencia, informar a los interesados sobre cómo ejercer sus derechos.

 

  1. Consentimiento obtenido con arreglo a la Directiva 95/46 / CE Los responsables que traten datos con el consentimiento de conformidad con la legislación actual de protección de datos no están automáticamente obligados a actualizar completamente todas las relaciones de consentimiento existentes con los interesados para adaptarse al RGPD. El consentimiento que se ha obtenido hasta la fecha continúa siendo válido en la medida en que se ajuste a las condiciones establecidas en el RGPD.
    Es importante que los responsables revisen los procesos y registros actuales en detalle, antes del 25 de mayo de 2018, para asegurarse de que los consentimientos existentes cumplen con el nuevo estandar. En práctica, el RGPD sube el listón con respecto a la implementación de mecanismos de consentimiento, más allá de la información. Como el RGPD requiere una “declaración o una clara acción afirmativa”, todos los consentimientos tácitos que se basaron en una forma de acción más implícita del sujeto de no cumplirán el estándar de consentimiento.

Si un responsable determina que el consentimiento previamente obtenido en virtud de la legislación anterior no cumple con el estándar de consentimiento del RGPD, los deben evaluar si el tratamiento puede basarse en una base legal diferente, teniendo en cuenta las condiciones establecidas por el RGPD. Sin embargo, esta es una situación única ya que los responsables están pasando de aplicar la Directiva al RGPD. Bajo el RGPD, no es posible cambiar entre una base legal y otra. Si un responsanñe no puede renovar el consentimiento de manera compatible y tampoco puede hacer la transición al cumplimiento de RGPD basando el tramiento de datos en una base legal diferente mientras asegura que el tratamiento continuo es justo y responsable, las actividades de tratamiento deben detenerse. En cualquier caso, el responsable necesita
observar los principios del tratamiento legal, justo y transparente.

 

A modo de resumen:

-El consentimiento siempre debe ser previo al tratamiento
-La aceptación de T&C no implica consentimiento

-Debe prestarse por separado para cada finalidad

-En la información, necesidad de nombrar a todos los responsables intervinientes

-El consentimiento como condición para el servicio solo es válido en casos muy excepcionales
-El opt ut debe realizarse en la misma interfaz de usuario que la opción opt in

-No es válido el consentimiento tácito

-Los consentimientos existentes deben cumplir con los estándares RGPD