El consentimiento explícito en el GDPR


     05/07/2016

 


04/07/2016 | FS CONSULTORES SL | NEWS - GDPR - Tratamiento de datos
 

Obtención del consentimiento en el nuevo Reglamento (GDPR)


El principio más fundamental de un tratamiento es la lealtad y transparencia con el interesado. El GDPR deja muy claro que el tratamiento de datos personales debe basarse, de forma general, en el consentimiento libre, informado, específico e inequívoco del interesado. A diferencia de la LOPD, donde el consentimiento podía ser tácito, el GDPR requiere una declaración o acción positiva del interesado que indique su conformidad con el tratamiento.

Con la LOPD, el consentimiento tácito (en datos de nivel básico), requería ofrecer información al interesado en cualquier comunicación, de aquí las cláusulas LOPD en todos los documentos que contenían datos personales: correos electrónicos, presupuestos, facturas, cartas, etc. El GDPR requiere el consentimiento explícito para cualquier tipo de datos y además verificable, lo que comporta para el Responsable del tratamiento debe ser capaz de demostrar que el interesado lo ha consentido.
 

Requisitos del consentimiento


Los requisitos para que un consentimiento sea considerado válido son:
 
  • Información específica: El consentimiento debe ser específico y basado en información adecuada. No es aceptable el consentimiento genérico sin especificar el propósito exacto de su finalidad.
  • Momento: El consentimiento debe darse antes de que comience el tratamiento.
  • Elección activa: El consentimiento debe ser inequívoco. Debe ser una indicación activa de la voluntad del interesado y no debe dejar ninguna duda en cuanto a su intención.
  • Libremente otorgado: El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.
 

Condiciones del consentimiento


Las condiciones para que un consentimiento sea considerado válido son:
 
  • El Responsable del tratamiento asumirá la prueba del consentimiento. Si éste se realiza por escrito, deberá distinguirse claramente de otros asuntos.
  • El consentimiento no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización.
  • El Responsable del tratamiento informará al interesado, antes de dar su consentimiento, que tiene derecho a retirarlo en cualquier momento sin que afecte al tratamiento efectuado hasta entonces.
  • Debe ser tan fácil retirar como dar el consentimiento.
  • Los consentimientos que infrinjan parcialmente el Reglamento serán considerados nulos.
 

Licitud del tratamiento en el nuevo Reglamento (GDPR)


El Reglamento dispone que el tratamiento sólo será lícito cuando exista:
 
  • El consentimiento explícito para fines específicos.
  • Un contrato o precontrato con el interesado.
  • La necesidad de la protección de los intereses vitales del interesado u otra persona física.
  • Un interés legítimo del Responsable del tratamiento o de terceros, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, especialmente si es un niño.
  • Una procedencia legítima de archivos de acceso público obtenidos de una fuente pública o el interesado haya hecho manifiestamente públicos sus datos.
  • Una obligación jurídica a la que esté sujeto el Responsable del tratamiento.
  • Un cometido de interés público fundamentado en la legislación vigente.


Licitud para tratamientos con fines distintos del inicialmente informado


En este caso, el Reglamento dispone que solo será lícito si es compatible con el fin inicial y existe una relación entre:
 
  • Las finalidades del tratamiento.
  • El entorno del Responsable del tratamiento y los interesados.
  • La categoría de datos.
  • Las posibles consecuencias para el interesado.
  • La protección de datos (cifrado, seudonimización, etc.).
 

Tratamiento de datos de niños

 
  • La oferta directa de servicios de la Sociedad de la información a menores de 16 años (máximo 13 según establezca cada Estado de la UE) deberá obtenerse con el consentimiento de su representante legal.
  • La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.

Josep Aragonés Salvat