Uno de los cambios que se ha introducido con el Reglamento (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (“Reglamento General de Protección de Datos” o “RGPD”), ha sido la modificación de la forma en la que deberá recabarse el consentimiento del interesado.
Esta normativa, ya en vigor, redefine el concepto de consentimiento del interesado como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
El RGPD adiciona un requisito formal, a diferencia de la LOPD, para la obtención del consentimiento y así garantizar que sea inequívoco: el consentimiento deberá ser recabado mediante una declaración o mediante una clara acción afirmativa.
Obtención del consentimiento mediante una declaración
El RGPD establece los supuestos en los que el consentimiento además de ser inequívoco, deberá ser explícito:
- Cuando se haga tratamiento de datos sensibles (artículo 9.2.a RGPD)
- Cuando se adopten decisiones automatizadas y elaboración de perfiles (artículo 22.2.c RGPD)
- Cuando se realicen transferencias internacionales (artículo 49.1.a RGPD)
En estos casos, el interesado deberá aceptar el tratamiento de sus datos personales por medio de una declaración por escrito, medios electrónicos, declaración verbal o marcando una casilla de un sitio web de Internet en la que se manifiesta que acepta las condiciones del tratamiento.
Obtención del consentimiento mediante una clara acción afirmativa
El consentimiento también podrá recabarse por medio de una acción afirmativa o conducta de la cual se deduzca de manera inequívoca que el interesado acepta el tratamiento de sus datos. Ello sucede por ejemplo, cuando una persona continúa navegando en una web que utiliza cookies, aceptando de manera implícita la instalación de las cookies en el navegador.
A raíz de la nueva normativa del RGPD, las empresas deberán evaluar las distintas formas mediante las cuales obtienen el consentimiento, con el fin de garantizar que sea libre, informado, específico, y sobre todo inequívoco. En este sentido, no se podrá seguir deduciendo el consentimiento del silencio, la inacción del interesado o las casillas pre marcadas. Adicionalmente, el consentimiento debe ser específico, y por tanto en aquellos casos en los que el tratamiento de los datos incluya varios fines, el interesado tendrá que dar su consentimiento de todos y cada uno de ellos.
Por último, es importante recordar que el consentimiento debe ser verificable a posteriori y quienes recopilen datos de carácter personal deberán ser capaces de demostrar que se ha obtenido el consentimiento del afectado.
Área Digital Abogados
Área Digital Abogados cuenta con un equipo de abogados especialistas en derecho de las nuevas tecnologías y protección de datos con sede en Barcelona, que ofrece sus servicios profesionales para sus clientes españoles y extranjeros que operen en territorio nacional.
Si aún tienes dudas de cómo gestionar los datos de carácter personal que recaba tu empresa, no olvides probar el Test de Evaluación de Protección de Datos que ofrece gratuitamente Área Digital Abogados en su página web.