1.- Definición de consentimiento
En términos generales, el consentimiento es la manifestación de voluntad, expresa o tácita, por la que una persona otorga su autorización para vincularse en una relación jurídica lo que normalmente supone asumir determinadas obligaciones y contraer ciertos derechos. Desde el punto de vista de la protección de datos, el consentimiento del interesado es la manifestación de voluntad de una persona física para que sus datos personales sean tratados por un tercero.
El consentimiento es toda manifestación de la voluntad de una persona física para que sus datos personales sean objeto del tratamiento por parte de un tercero.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Reglamento General de Protección de Datos (en adelante, el RGPD) define el consentimiento, precisamente, como la expresión de la voluntad del interesado para que los datos personales que le conciernen puedan ser tratados (artículo 4.11 RGPD).
Según la definición contenida en el RGPD, por un lado, puede exteriorizarse de dos formas:
- Una declaración.
- Una clara acción afirmativa.
Por otro lado, la voluntad que se exterioriza por alguna de estas dos formas debe cumplir unos requisitos ineludibles que son los siguientes. La voluntad debe ser:
- Libre.
- Informada.
- Específica.
- Inequívoca.
Por su parte, el consentimiento del interesado es una de las bases de legitimación del tratamiento contenidas en el artículo 6 del RGPD. En concreto, se encuentra contemplado en el artículo 6.1.a) del citado texto como una de las circunstancias que justifican el tratamiento lícito de datos personales.
2.- Regulación jurídica
La regulación del consentimiento del interesado la encontramos, por una parte, en el RGPD:
- En el artículo 4.11, que contiene su definición.
- En el artículo 6.1.a), en el que se prevé como una de las bases de legitimación del tratamiento de datos personales, en cumplimiento del principio de licitud del tratamiento.
- En el artículo 7, que regula las condiciones del consentimiento.
- En el artículo 8, que contiene la regulación del consentimiento de los niños en relación con los servicios de la sociedad de la información.
Por otro lado, también regula el consentimiento la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la LOPDGDD), ley española de desarrollo de la normativa comunitaria de protección de datos:
- En el artículo 6, sobre el concepto y las condiciones del consentimiento.
- En el artículo 7, regulador del consentimiento de los menores de catorce años.
Finalmente, es importante destacar la interpretación de toda esta normativa por parte del Comité Europeo de Protección de Datos (CEPD), que en mayo de 2020 publicó sus Directrices 5/2020 sobre el consentimiento.
3.- Formas de manifestación
Según la definición del RGPD, el consentimiento se puede manifestar mediante una declaración de voluntad o mediante una clara acción afirmativa de voluntad.
En cuanto al consentimiento otorgado mediante una declaración de voluntad, esta puede adoptar la forma verbal o escrita, incluyendo aquella que se otorga mediante medios electrónicos. En cualquier caso, si se trata de una declaración verbal, será necesario y recomendable que se lleve a cabo una grabación de esta para poder demostrar su existencia.
El consentimiento otorgado mediante una clara acción afirmativa implica, según el Considerando 32 del RGPD, que el interesado adopte una conducta que indique claramente que el interesado acepta la propuesta de tratamiento de que se trate. Es decir, que el interesado debe haber actuado de forma deliberada, siendo clara su voluntad con respecto al tratamiento.
4.- Requisitos del consentimiento válido
4.1.- Libre
Según el apartado 4 del artículo 7 del RGPD, para determinar si el consentimiento es libre es necesario tener en cuenta, entre otras cosas, si la ejecución del contrato (incluida la prestación de un servicio) depende necesariamente de que se haya prestado previamente.
Por su parte, el CEPD completa este artículo en sus citadas Directrices sobre el consentimiento, afirmando que se considerará que el consentimiento no es libre cuando:
- El interesado se sienta obligado a dar su consentimiento si no quiere sufrir consecuencias negativas.
- Cuando el consentimiento esté incluido como una parte no negociable de las condiciones generales de un contrato.
- Cuando el consentimiento, posteriormente a su otorgamiento válido, no puede ser retirado por el interesado sin perjuicio.
4.2.- Informado
Para que el consentimiento sea informado el interesado debe contar, previamente a su otorgamiento, con la información necesaria para saber qué es exactamente lo que está autorizando en relación con sus datos.
El CEPD ha establecido cuál es la información mínima con que debe contar el interesado para que se entienda que su consentimiento es informado:
- La identidad del responsable del tratamiento de sus datos.
- Las finalidades de las operaciones de tratamiento que se van a realizar en base al consentimiento.
- Las categorías de datos personales que van a tratarse.
- La posibilidad de ejercitar sus derechos de protección de datos, así como la vía para llevarlo a cabo.
- La existencia o no de decisiones automatizadas a partir del uso de sus datos.
- La existencia de transferencias internacionales de datos, y en base a qué garantías o excepciones.
4.3.- Específico para cada uno de los tratamientos
El propio artículo 6 apartado 1 del RGPD, al regular el consentimiento como de las bases que permiten llevar a cabo un tratamiento lícito de datos personales, habla del “consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”.
En este sentido, el CEPD establece que, para el cumplimiento del requisito de consentimiento específico, el responsable del tratamiento debe:
- Especificar las finalidades del tratamiento, para que cada finalidad se justifique con una declaración de voluntad separada.
- Asegurarse de que la información que se facilita al interesado previo consentimiento también se proporciona de forma separada y completa para cada uno de los tratamientos.
- Solicitar los distintos consentimientos de forma separada.
4.4.- Inequívoco
Implica que el consentimiento prestado por el interesado no deje lugar a dudas del contenido de su voluntad.
En otras palabras, que las palabras o la conducta del interesado sean deliberadamente afirmativas al otorgar su consentimiento.
5.- Consentimiento de menores de edad
El RGPD contiene una precisión extra sobre el consentimiento de los menores de 16 años en el caso de que el tratamiento pretenda hacerse como parte de un servicio de la sociedad de la información.
En este caso, se deberá contar con la autorización de quien ostente la patria potestad o tutela del menor que, además, deberá cumplir con todos los requisitos examinados anteriormente respecto del consentimiento válido.
El RGPD abre la posibilidad de que, a partir de este límite de 16 años, los Estados Miembros de la Unión Europea rebajen el límite para que se aplique esta regla. La única restricción es que el límite no puede establecerse por debajo de los 13 años.
En España, la LOPDGDD rebaja el límite de edad a los menores de 14 años, de forma que a partir de esta edad se deberá contar con la citada autorización de los responsables legales.
6.- Ejemplos de consentimiento válido e inválido
Son ejemplos del consentimiento inválido:
- El consentimiento otorgado en una página web sin que se haya hecho de forma separada, y solo contando con una afirmación en este sentido dentro del texto de “Política de Privacidad”.
- El consentimiento para la instalación de cookies, cuando éstas cuentas con casillas premarcadas.
- La afirmación de que el hecho de continuar navegando por una página web se entiende como el otorgamiento del consentimiento tácito.
Son ejemplos de consentimiento válido:
- Que en el momento de otorgarlo en una página web, se disponga de una casilla separada que hay que marcar activamente, y en la que demás se haya enlazado la “Política de Privacidad”.
- El consentimiento dado mediante un correo electrónico, en el que se expresa claramente la voluntad.
- El uso de la palabra “Consiento” en un botón que implique aceptar el tratamiento de datos personales en cuestión.
Para proteger debidamente tus datos personales o asegurarte de que tu empresa cumple con la exigente normativa europea sobre protección de datos personales, es imprescindible estar asesorado por abogados expertos en protección de datos.
¿Buscas abogado especialista en Protección de datos personales?
Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):