El consentimiento en el nuevo Reglamento Europeo de Protección de Datos

consentimiento

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) define el <<consentimiento del interesado>> en su artículo 4, apartado 11) como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El Reglamento europeo incluye en su artículo 6.1. a), entre los supuestos lícitos de tratamiento, que el interesado haya dado “su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”.

El artículo 7 del Reglamento europeo, relativo a las condiciones para el consentimiento, dispone lo siguiente:

“Artículo 7 Condiciones para el consentimiento

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

Por tanto, las ideas fundamentales respecto a estas condiciones son:

  1. El responsable deberá ser capaz de demostrar el consentimiento.
  2. En caso de que el consentimiento se dé mediante una declaración escrita que también se refiera a otros asuntos, la solicitud del consentimiento tendrá que presentarse de manera que se distinga claramente de los demás asuntos.
  3. El interesado podrá retirar su consentimiento en cualquier momento, debiendo ser informado de esta posibilidad antes de prestar el mismo.
  4. El consentimiento debe prestarse libremente y, para evaluar esa libertad, se tendrá en cuenta si la ejecución de un contrato se supedita al consentimiento al tratamiento de datos que no son necesarios para su ejecución.

Por otro lado, en el caso del consentimiento prestado por menores (a los que el Reglamento europeo llama “niños”), el artículo 8 establece lo siguiente:

“Artículo 8 Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información

  1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

  1. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
  2. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.”

Esto supone también un cambio respecto a la legislación española actual, puesto que el artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que el menor de edad, mayor de 14 años podrá, por regla general, prestar el consentimiento para el tratamiento de sus datos personales. En cualquier caso, como el artículo 8.1 último párrafo del Reglamento europeo señala que los Estados miembros podrán establecer por ley una edad inferior, siempre que no sea inferior a 13 años, es previsible que en España se mantenga la edad de 14 años.

Por su parte, el Considerando 32 del Reglamento europeo dispone que:

“(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”

Por tanto:

  1. Se precisa un acto afirmativo claro.
  2. Se considera válido insertar una casilla para marcar en un sitio web en internet, elegir parámetros técnicos para el uso de servicios de la sociedad de la información (por ejemplo, para el consentimiento a las cookies) o cualquier otra declaración o conducta que muestre claramente en este contexto que el afectado consiente la propuesta de tratamiento de sus datos personales.
  3. El silencio, las casillas ya marcadas o la inacción no se consideran consentimiento.
  4. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines.
  5. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Por tanto, cuando se trate de “finalidades distintas” a la ejecución de un contrato, resulta claro que tendrá que prestarse el consentimiento para las mismas. Además, al precisarse un “acto afirmativo claro” y excluir la “inacción”, resulta dudoso que el consentimiento se pueda entender prestado cuando las casillas se redacten en sentido negativo, pretendiendo considerar otorgado el consentimiento si no se marca la casilla correspondiente (como, sin embargo, viene aceptándose en la actualidad).

En definitiva, el Reglamento europeo no admite formas del consentimiento tácito o por omisión.

Este tipo de consentimiento sí que se recogía en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en concreto en su artículo 14, que dispone lo siguiente:

“Artículo 14 Forma de recabar el consentimiento

  1. El responsable del tratamiento podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos.
  2. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembrey 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.

En particular, cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible.

  1. En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.
  2. Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerará ajustado al presente reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.
  3. Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.”

Según la regulación vigente, el consentimiento podrá ser tácito en el tratamiento de datos, si bien tendrá que tratarse de datos que no sean especialmente protegidos (excluidos, por tanto, a tenor de los artículos 7.2 y 7.3 de la Ley Orgánica 15/1999 los datos de ideología, religión, creencias y afiliación sindical, para los que es necesario el consentimiento expreso y escrito y los datos relacionados con la salud, el origen racial y la vida sexual, para los que es necesario el consentimiento expreso aunque no necesariamente escrito). Además, y tal y como advierte la Agencia, para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

Sin embargo, como adelantábamos, el Reglamento europeo no admite formas del consentimiento tácito o por omisión, por lo que los responsables deberán asegurarse de no seguir obteniendo consentimientos por omisión y revisar estos tratamientos para que, a partir de mayo de 2018, se hayan adecuado a lo dispuesto en el Reglamento europeo.

Esta adaptación podrá hacerse obteniendo un consentimiento de los interesados acorde con las disposiciones del Reglamento europeo o valorando si los tratamientos afectados pueden apoyarse en otra base legal (de las que prevé el artículo 6 del Reglamento europeo).

El Consentimiento En El Nuevo Reglamento
El Consentimiento En El Nuevo Reglamento
El-consentimiento-en-el-nuevo-Reglamento.pdf
645.7 KiB
961 Downloads
Details
J&I ZURDO, ABOGADOS