El consentimiento válido en el marco del Reglamento General de Protección de Datos

Written on 28 May 2018

El consentimiento sigue siendo una de las bases que legitiman el tratamiento de datos de carácter personal bajo el marco del Reglamento General de Protección de Datos. Sin embargo, en aras de otorgar más protección y control al interesado sobre sus datos de carácter personal, el Reglamento General de Protección de Datos ha matizado la noción de consentimiento perfilando los elementos que éste debe reunir para que pueda tener la consideración de "consentimiento válido".

Ante la evolución que sufre el concepto de consentimiento en el marco del Reglamento General de Protección de Datos ("RGPD"), el Grupo de Trabajo del Artículo 29 –órgano formado por los representantes de las autoridades de protección de los Estados Miembros de la Unión europea– ("GT29") ha emitido unas directrices en las que se analiza, de manera pormenorizada, el concepto de consentimiento con el fin de disipar las posibles dudas que pudiera plantear a los distintos sujetos involucrados en el marco de un tratamiento de datos al determinar su validez. Asimismo, examina los requisitos adicionales que debe tener en cuenta el responsable del tratamiento para obtener dicho consentimiento. En este sentido, será considerado válido aquel consentimiento que se otorgue mediante una manifestación libre, específica, informada e inequívoca mediante una declaración o una acción clara afirmativa.

Para poder determinar si el consentimiento otorgado contiene todos los elementos descritos, el órgano colegiado describe y analiza cada uno de los elementos que conforman el consentimiento. En un primer lugar, el GT29 considera que únicamente será considerado libre aquel consentimiento que otorga al sujeto una facultad de elección completa. Es decir, que la decisión de otorgar o no ese consentimiento, no esté condicionada o produzca efectos perjudiciales a los interesados. Asimismo, el órgano colegiado destaca que en aquellos supuestos en los que existe un claro desequilibrio entre el responsable del tratamiento y el sujeto (como puede ocurrir en el marco de la relación laboral entre el empleado y el empleador), es difícil que pueda considerarse que ese consentimiento ha sido otorgado con todas las garantías dada la dependencia que existe entre las partes. Sin embargo, ello no quiere decir, que no exista la posibilidad de que pueda ser el consentimiento la base que legitime un tratamiento de datos de carácter personal en el marco de una relación laboral.

Posteriormente, el GT29 enfatiza en la necesidad de que el consentimiento sea específico, ya sea para uno o varios fines, informado y preciso, esto es, que no genere dudas. Para que el sujeto pueda tomar una decisión sobre un determinado tratamiento o varios (en su caso), es necesario que de manera previa al tratamiento se le proporcione la información en un lenguaje claro y sencillo y, si fuera posible, de manera gradual. El organismo proporciona ejemplos representativos de situaciones en las que sería necesario solicitar un consentimiento específico para cada tratamiento, métodos válidos para proporcionar la información o situaciones en las que el consentimiento otorgado se consideraría ambiguo por no tener la categoría de clara acción afirmativa, como sería por ejemplo, la acción de desplazar una página web hacia abajo.

En relación con el consentimiento explícito que se requiere para el tratamiento de categoría de datos especiales, el GT29 establece que el término explicito hace referencia al modo en que el interesado expresa y/u otorga su consentimiento. Un método de obtener el consentimiento explícito del sujeto sería mediante declaración escrita o, en un contexto digital, podría ser la cumplimentación de un formulario y su posterior envío por email.

Por otro lado, las directrices del GT29 inciden en las medidas adicionales, que el RGPD impone a los responsables del tratamiento, destinadas a asegurar y demostrar la validez del consentimiento, tales como, la obligación explicita que tiene el responsable del tratamiento en demostrar la validez del consentimiento de los sujetos o en posibilitar que los sujetos retiren su consentimiento. En relación con la primera de las medidas, el grupo colegiado no especifica ninguna metodología a seguir, sino que únicamente a titulo ejemplificativo sugiere la posibilidad de que el responsable del tratamiento lleve un registro de los consentimientos otorgados. En relación con la segunda de las medidas, el GT29 resalta la necesidad de que se ofrezca a los sujetos la posibilidad de que puedan retirar el consentimiento otorgado a través de la misma vía y con la misma facilidad que al otorgar su consentimiento.

Por último, el órgano colegiado apunta una serie de consideraciones y especificidades que deben tenerse en cuenta en relación con el consentimiento otorgado por menores de 16 años, el consentimiento otorgado en el marco de una investigación científica o el consentimiento obtenido en el marco de la Directiva 95/46/EC.

A la luz de las directrices otorgadas por el GT29, queda plasmado una vez más el principio de responsabilidad proactiva del responsable del tratamiento, ya que éste deberá realizar un análisis previo con el fin de analizar si el consentimiento es la base legal que legitima el tratamiento específico y, en tal caso, analizar si éste cumple con las exigencias establecidas por el RGPD.