Uno de los cambios más importantes que nos trae el nuevo Reglamento general de Protección de Datos (Reglamento UE 2016/679) y que genera más intranquilidad en los responsables del tratamiento y en los profesionales del sector, es el Consentimiento.
El Consentimiento, o mejor dicho, la forma de obtener dicho consentimiento ha cambiado radicalmente, para limitar su validez a unos supuestos muy tasados en la norma.
El nuevo Reglamento en su artículo 6, donde trata la licitud del tratamiento, establece que:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales.”
Como podemos ver, se una de las únicas formas para poder tratar los datos de los interesados es obtener su consentimiento. En especial, es importante, puesto que supone la mayor parte de los tratamientos de datos personales en los envíos de comunicaciones comerciales.
El Consentimiento, definido por el propio Reglamento es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
¿Qué se desprende de esta definición?
Ya no se aceptará el consentimiento tácito o presunto, es decir, quedan invalidadas aquellas casillas premarcadas, o aquellos mensajes del estilo “si en 30 días no nos da su negativa al tratamiento de sus datos, entendemos que está de acuerdo con el tratamiento” etc.
Es cierto, que las casillas podrán seguir siendo utilizadas para obtener el consentimiento, es más, en el propio Reglamento (considerando 32) se prevé el uso de casillas, con algunas matizaciones:
- El silencio, las casillas premarcadas o la inacción no serán validas.
- El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Es decir, cuando el tratamiento tenga varios fines, deberá darse el consentimiento para todos ellos.
¿Qué condiciones exige el Reglamento para que el consentimiento sea válido?
El artículo 7 del propio Reglamento establece unas reglas acerca de ello:
- Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrarlo.
- Cuando el consentimiento se ha otorgado en el marco de una declaración escrita en la que figuren otros asuntos, se deberá distinguir el consentimiento para el tratamiento de los datos, del consentimiento para otros asuntos.
- El interesado, tiene derecho a revocar el consentimiento en cualquier momento, debiendo se igual de fácil retirar el consentimiento como lo fue darlo.
- Ante el marco del consentimiento por la ejecución de un contrato, no se podrá supeditar dicho consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
¿Qué hacemos con los consentimientos que ya están otorgados conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter general (LOPD)?
Precisamente este es el tema más recurrente en las conferencias sobre privacidad, todos los profesionales y los responsables del tratamiento estamos preocupados por la posibilidad de perder los consentimientos ya otorgados y por tanto quedar invalidados los tratamientos de todos estos datos.
En principio, lo que se viene diciendo en las conferencias es que, aquellos consentimientos que no reúnan los requisitos establecidos en el nuevo Reglamento, deberán recabarse de nuevo ajustándose a la nueva legislación. No obstante se deberá estudiar caso por caso, puesto que en algunos supuestos, es posible no necesitar el consentimiento puesto que el tratamiento de los datos personales se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato.
Por último, es muy importante comenzar a analizar todos los aspectos relativos a la protección de datos, puesto que la fecha de adaptación se acerca cada vez más. El consentimiento es uno de los ejes más importantes en esta materia y debe ser una prioridad para los responsables.
Comentarios
No hay comentarios