NUEVAS DIRECTRICES SOBRE EL CONSENTIMIENTO CONFORME AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
Para ayudar a las empresas en la adecuación al Reglamento General de Protección de Datos, la Comisión Europea ha creado un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea, conocido como Grupo de Trabajo del Artículo 29.
El Grupo de Trabajo del Artículo 29 ha publicado el borrador de Directrices sobre el consentimiento bajo el Reglamento General de Protección de Datos.
A pesar de que el concepto del consentimiento se mantenga similar a su definición en la Directiva 95/46, el Reglamento General de Protección de Datos introduce elementos de gran relevancia.
En este artículo, haremos un breve resumen sobre los elementos del consentimiento analizados por el Grupo de Trabajo del Artículo 29.
CONSENTIMIENTO LIBRE:
Para que el consentimiento sea libre debe existir una opción real y control por parte del interesado.
Cuando exista un desequilibrio de poder como puede ocurrir, por ejemplo, cuando el responsable es una autoridad pública o un empleador, o cuando se haga depender el cumplimiento de un contrato, al consentimiento para tratar datos con finalidades no necesarias para ejecutar dicho contrato, podría plantearse que este consentimiento no se ha otorgado de forma libre.
Además, el Grupo de Trabajo del Artículo 29 señala que el consentimiento no se considerará otorgado de forma libre cuando la denegación o retirada del consentimiento implique consecuencias negativas para el interesado.
CONSENTIMIENTO ESPECÍFICO:
El Grupo de Trabajo del Artículo 29 resalta la importancia de que las finalidades del tratamiento permanezcan específicas y no puedan ampliarse una vez que el sujeto ha consentido la recogida de sus datos.
Se señala la necesidad de que el consentimiento sea granular, de modo que exista una opción de consentir para cada finalidad. Todo ello debe ir acompañado de información específica y separada para cada uno de los consentimientos.
CONSENTIMIENTO INFORMADO:
Si el responsable no proporciona información accesible, el consentimiento no será válido. El Grupo de Trabajo del Artículo 29 señala el contenido mínimo de información necesaria indicando que en algunas situaciones será necesario ampliar esta información con el fin de garantizar que el individuo comprende las operaciones de tratamiento que se realizarán de sus datos personales.
No será válido usar extensas políticas de privacidad ilegibles o declaraciones llenas de terminología legal. El consentimiento deberá ser claro y distinguible de otras materias. Es decir, la información relevante no puede incluirse en un párrafo escondido en los términos y condiciones.
CONSENTIMIENTO EXPLÍCITO:
Será necesario un consentimiento explícito para tratar categorías especiales de datos (art. 9), para las transferencias internacionales de datos (art. 49) o para la toma de decisiones individuales automatizadas, incluyendo profiling (art. 22).
Algunos de los medios que se podrán usar para cumplir con este requisito son: rellenar un formulario electrónico, utilizar la firma electrónica, enviar un documento escaneado con la firma del sujeto.
También podrán utilizarse medios orales, pero el Grupo de Trabajo del Artículo 29 destaca la mayor dificultad para el responsable del fichero de probar que todas las condiciones para considerar que el consentimiento explícito fue válido se cumplían.
MANIFESTACIÓN DE VOLUNTAD INEQUÍVOCA:
El Grupo de Trabajo del Artículo 29 indica que el concepto de “clara acción afirmativa” implica la realización de una acción deliberada por parte del interesado para mostrar conformidad con un tratamiento concreto de datos personales.
En este punto, el Grupo de Trabajo del Artículo 29 destaca que no será válido el consentimiento obtenido mediante la misma acción por la que se acepta un contrato o unos términos y condiciones.
Cuando el consentimiento se otorga mediante medios electrónicos, la solicitud de consentimiento no deberá resultar molesta para el usuario. No obstante, en algunas ocasiones será necesario que la solicitud interrumpa la experiencia del usuario para recabar los consentimientos exigidos por el Reglamento General de Protección de Datos.
El responsable tendrá libertad para implementar la forma de obtención del consentimiento que más se adapte a su organización. No obstante, el Grupo de Trabajo del Artículo 29, propone algunas formas como son: moverse ante una cámara inteligente o mover el teléfono de formas determinadas tales como el sentido de las agujas del reloj o realizando la figura de un ocho.
Por el contrario, deslizarse a través de términos y condiciones o las casillas premarcadas no será considerado como una “clara acción afirmativa”.
RETIRADA DEL COSENTIMIENTO:
En cuanto a la retirada del consentimiento, el Reglamento General de Protección de Datos no impone que deba realizarse a través del mismo medio que por el que se prestó. No obstante, se indica que ambos procedimientos deban ser de igual sencillez.
Una vez retirado el consentimiento, el responsable deberá cesar en el tratamiento y deberá eliminar o anonimizar los datos, salvo que exista otra base que legitime el almacenamiento de los mismos.
En conclusión, estas Directrices son de gran relevancia y deberán ser tenidas en cuenta por las empresas para adecuarse al Reglamento General de Protección de Datos, que será de plena aplicación el próximo 25 de mayo de 2018.
Letslaw es un despacho especializado en privacidad y protección de datos.