El modelo consentimiento protección de datos
Uno de los aspectos básicos que regulan las normativas relativas a protección de datos de carácter personal, versa sobre la licitud en el tratamiento de los datos de carácter personal de los interesados.
La protección normativa empieza sobre la base de que los datos sean tratados de acuerdo a las exigencias legales, de forma justa, permitida, según justicia y razón. Se trata de uno de los principios primordiales de la protección de datos de carácter personal y en este sentido; el artículo 5.1.a) del Reglamento General de Protección de Datos (en adelante, RGPD), recoge que los datos personales serán “tratados de manera lícita, leal y transparente en relación con el interesado”.
1. Supuestos de licitud en el modelo consentimiento protección de datos
La obtención de una base de legitimación para el tratamiento de datos personales, no se reduce únicamente al consentimiento del interesado, como es lógico. Es necesario acudir al artículo 6 del RGPD, para analizar las diferentes formas de tratar los datos de forma lícita y de acuerdo con la normativa vigente. Los diferentes supuestos de licitud, son los siguientes:
a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. Este primer modelo de licitud, es el que se va a analizar a través del presente artículo y en base al cual, estableceremos el modelo consentimiento protección de datos.
b) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
c) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
d) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
e) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Es necesario tener claro, como primer paso para el tratamiento de datos de carácter personal, que no constituye un requisito esencial la obtención del consentimiento del interesado, siendo únicamente un modo más de tratar de forma lícita los datos de carácter personal.
Carece de sentido que, por ejemplo, un empleador para el tratamiento de los datos de sus empleados tenga que recabar el consentimiento de éstos, cuando exista una obligación legal de tratar esos datos o sean necesarios para la ejecución del contrato laboral. Asimismo, para determinados tratamientos, el propio trabajador se encontraría en un desequilibrio de poder dada la dependencia que resulta de la relación entre el empleador y el empleado, por lo que el consentimiento podría no ser válido. De la misma forma ocurre cuando se va a prestar un servicio, siendo la base de legitimación para el tratamiento la ejecución del contrato.
2. Características del modelo consentimiento protección de datos válido
De conformidad con el RGPD, entendemos por consentimiento, toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Dicha definición es similar a la que se regulaba en la Directiva 95/46/CE.
En este sentido, las características de un consentimiento válido que de lugar a un modelo consentimiento protección de datos de acuerdo a la norma, han de ser las siguientes:
- Libre: Supone que los interesados tengan una elección y un control real sobre la voluntad de prestar el consentimiento, es decir, no ha de considerarse libre quien se sienta obligado a dar el consentimiento o pueda sufrir consecuencias graves si no lo da.
- Específico: El consentimiento se tiene que dar “para uno o varios fines específicos”, y además, el interesado ha de poder elegir respecto a cada uno de dichos fines. Este término, tiene por objeto que se garantice un control y una transparencia por el interesado, de manera que quede claro para que fines se presta el consentimiento.
- Informado, de acuerdo a los requisitos del artículo 13 del RGPD y del artículo 11 de la nueva LOPD.
Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas.
- Inequívoco, de forma que permita al interesado aceptar, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
- De acuerdo al Grupo de trabajo del Artículo 29, “clara acción afirmativa” significa que el interesado debe actuar de forma deliberada para dar su consentimiento a ese tratamiento en particular.
- Como “Declaración”, se consideran válidas una declaración verbal, escrita, inclusive por medios electrónicos.
3. Modos de recabar el consentimiento
Adicionalmente, ha de tenerse en cuenta que el uso de casillas de aceptación ya marcadas, en negativo, el silencio o inactividad del interesado, o simplemente la continuación de un servicio por el mismo, no pueden considerarse como una indicación activa de haber realizado una elección.
A su vez, la aceptación global de unos términos y condiciones no puede suponer un consentimiento inequívoco; al igual que no puede supeditarse la ejecución del contrato, a que el afectado consienta el tratamiento de sus datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.
Los modos de recabar el consentimiento pueden ser muy distintos, y ha de tenerse en cuenta que con el avance de la tecnología, pueden ir aumentando de forma exponencial.
4. Demostración de consentimiento
Cuando el tratamiento se lleve a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento, por lo que es de vital importancia contar con un modelo consentimiento protección de datos eficaz.
Un ejemplo que permitiría cumplir con este deber, sería establecer un sistema de “casilla” que permitiera aceptar la política de privacidad, cuando los datos son recabados por medios electrónicos. Por ello, con objeto de demostrar el consentimiento, se recomienda habilitar mecanismos que permitan vincular el “clic” en la casilla de “Acepto la Política de Privacidad” (es decir, la forma de prestación del consentimiento), con la IP del ordenador del interesado.
5. Retirada de consentimiento
Por otro lado, se deberá ofrecer al interesado el derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento, no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada, si éste se tomó de conformidad con un modelo consentimiento protección de datos adecuado. Antes de dar su consentimiento, el interesado ha de ser informado de ello, de manera que sea tan fácil retirar el consentimiento como darlo.
Por regla general, si un interesado decide retirar el consentimiento, todas las operaciones basadas en el consentimiento que se hayan realizado de forma previa a la retirada seguirán siendo lícitas, con la salvedad de que el responsable deberá terminar las actividades de tratamiento en cuestión, siempre y cuando no haya otra base jurídica para su tratamiento.
Si le surge cualquier duda sobre cómo obtener el consentimiento de aquellos sujetos cuyos datos vayan a ser objeto de tratamiento por su parte, o no tiene claro que el consentimiento obtenido de los mismos sea conforme a la legalidad, desde Grupo Adaptalia contamos con años de experiencia en materia de asesoría integral en protección de datos, por lo que no dude en ponerse en contacto con nosotros.