Empresas, consentimiento y LOPD

En primer lugar, deberás analizar todos los canales de entrada de datos personales que existen y todos los datos que están siendo tratados en tu empresa.

También debes comprobar que dispones del consentimiento para poder tratar esos datos, en caso de que sea necesario.

¿Cuándo es necesario el consentimiento?

Necesitamos obtener el consentimiento de los afectados siempre que realicemos un tratamiento de sus datos personales, es decir, la gran mayoría de las empresas deberán solicitar a sus clientes una autorización para tratar con sus datos.

Casos en los que no es obligatorio

La LOPD establece una serie de supuestos en los que no es necesario recabar el consentimiento:

  • Cuando los datos sean recogidos para el ejercicio de las funciones de las Administraciones Públicas en el ejercicio de sus funciones.
  • Si el tratamiento de los datos busca proteger un interés vital para el interesado.
  • En caso de que los datos aludan a las partes del contrato de una relación laboral, administrativa o comercial y éstos sean precisos para su cumplimiento o mantenimiento.
  • Cuando los datos figuren en fuentes accesibles para el público.

¿Dónde almacenar ese consentimiento?

Es necesario guardar una justificación suficiente respecto a la obtención del consentimiento en los supuestos en que sea necesario ante posibles reclamaciones que nos puedan plantear.

En caso de que sea necesario algún consentimiento, debemos solicitarlo y guardarlo como prueba ante eventuales denuncias. Ese consentimiento lo guardaremos en nuestra empresa para poder demostrar que el interesado a aceptado el tratamiento de sus datos personales.

Tipos de consentimiento

Examinaremos escuetamente los tipos de consentimiento permitidos por la LOPD, con mención especial al consentimiento tácito, por ser un consentimiento que ofrece claras dudas en cuanto a la prueba:

consentimiento_tipos_de_consentimiento

Presunto

El consentimiento presunto se entiende del comportamiento del afectado. Se da, por ejemplo, cuando un entrevistado rellena un formulario con sus datos personales, sin permitir expresamente el almacenamiento de los mismos, pero siendo avisado de las circunstancias referidas a su tratamiento.

El consentimiento presunto, pese a su admisión doctrinal, origina importantes problemas de inseguridad jurídica dando lugar a un evidente riesgo.

Tácito

El consentimiento tácito, en cambio, no se deduce de actos del interesado sino “de su inacción, de su silencio”. El consentimiento tácito es aceptado por la LOPD y también por la propia AEPD.

A partir del 2018, con el nuevo RGPD, ya no se considera válido el consentimiento tácito.

Se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no (ejemplo: “si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros”).

Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.

Expreso

El consentimiento expreso, por su parte, “exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio”.

Este consentimiento existe cuando el usuario debe decir explícitamente que sí (ejemplo: “si deseas que te envíe información comercial, marca esta casilla”) o que no, pero en cualquier caso debe realizar una acción.

Revocación

El interesado tiene derecho a revocar el consentimiento a través de una vía sencilla, gratuita y que no suponga ingreso alguno para el responsable del tratamiento de los datos.

Los mecanismos más frecuentes para ello son el correo electrónico o la puesta a disposición del interesado de un número de teléfono gratuito para gestionar esa revocación.

Consentimiento en el nuevo RGPD

La LOPD, vigente hasta mayo de 2018, como hemos visto, admite tanto el consentimiento expreso como el tácito o presunto. Sin embargo, a partir de esa fecha, con la entrada en vigor del Reglamento europeo de Protección de Datos y la nueva LOPD, solo será válido el consentimiento expreso.

La novedad más importante respecto al consentimiento que incorpora el Reglamento se basa es que debe otorgarse a través de un acto afirmativo claro que evidencie una declaración de voluntad libre, específica, informada e inequívoca del interesado de admitir el tratamiento de datos de carácter personal que le afectan.

Características

El consentimiento para autorizar el tratamiento de datos debe ser: libre, concreto, informado, expreso y cierto.

  • Será tan fácil retirar el consentimiento como otorgarlo.
  • El Responsable del tratamiento tendrá que poder demostrar que se ha obtenido el consentimiento del interesado.
  • No será obligatorio solicitar el consentimiento cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales a las que esté sujeto el Responsable.

Ejemplos de consentimiento válido

Se considera válido:
ejemplos proteccion de datos

  • Insertar una casilla para marcar en un sitio web en Internet.
  • Configuración del almacenamiento de “cookies” en el navegador.
  • Cualquier otra declaración o conducta que muestre claramente en este contexto que el afectado consiente la propuesta de tratamiento de sus datos personales.

¿Se admite el consentimiento tácito?

A partir del 2018, con el nuevo RGPD, ya no se considera válido el consentimiento tácito.
El silencio, la inacción o las casillas ya marcadas no se consideran consentimiento.

consentimiento_registro-de-dominios

Páginas web

El Reglamento especifica que, en términos on-line, esa aceptación pueda manifestarse a través del habitual “click” de la casilla informativa, o mediante la elección de parámetros técnicos específicos para usar el servicio de que se trate (por ejemplo, la configuración del almacenamiento de “cookies” en el navegador).

Guía online para conocer cómo debes solicitar el consentimiento en tu página web

No se acepta la inactividad o las casillas marcadas por defecto como consentimiento válido. Es digno de mención el requerimiento que se hace para los casos de petición de consentimiento por medios electrónicos. Debe ser clara y concreta pero que “no altere inútilmente el uso del servicio para el que se presta”.

También se incorpora una prevención expresa en favor de los usuarios sobre la polémica “portabilidad” de datos. Los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya pedido el interesado, ni al contrario, es decir, cederlos sin su consentimiento.

¿Qué páginas web deben solicitar un consentimiento?

Cualquier página web o tienda online que recoja datos personales a través de formularios (de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el consentimiento de los usuarios para poder tratar sus datos.

¿Puedo enviar comunicaciones comerciales a clientes sin consentimiento?

Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. También se admite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En cualquier caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines comerciales.

¿De qué forma se puede recabar el “consentimiento expreso” del destinatario para la recepción de comunicaciones comerciales por correo electrónico?
  • En el marco de un procedimiento de contratación o suscripción a algún servicio que tenga lugar vía web y en el que el destinatario deba facilitar su dirección de correo electrónico, incluyendo en las condiciones generales de contratación una cláusula sobre el consentimiento del destinatario a la recepción de comunicaciones comerciales y solicitando su aceptación junto con el contrato.
  • Ofreciendo a los usuarios la posibilidad de facilitar su dirección de correo electrónico para recibir información sobre los productos o servicios ofrecidos por la empresa mediante un mensaje y un formulario tipo incluido en su página de Internet.
¿Para usuarios que estén registrados con anterioridad y que ya hayan aceptado una vez nuestra política de privacidad se puede dejar el check marcado por defecto?

No basta solo con modificar todos los formularios de contacto y añadirles un check box, debes convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos. Debes conseguir un consentimiento expreso de toda tu lista de suscriptores ya que, si no, cualquiera de ellos puede convertirse en un potencial peligro como se le ocurra denunciarte.

consentimiento_menoresMenores

 

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos.

Requisitos específicos

El Reglamento establece específicamente que en labores de mercadotecnia, en la confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones especiales, entre las que están:

Facilitar la información básica del tratamiento de manera clara y ajustada a su capacidad cognitiva si los servicios van dirigidos específicamente a ellos (principio de transparencia).

Asegurar que los plazos mínimos de conservación sean menores a los previstos para un adulto.

Otorgar al interesado el derecho a la cancelación de sus datos o revocación del consentimiento cuando se convierta en adulto.

También se detalla que no es posible tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.

¿Cuándo necesito el consentimiento del menor o de sus padres?

Para poder realizar un tratamiento de los datos personales de un menor de edad necesitamos siempre un consentimiento que debe proporcionarlo el propio menor o sus padres dependiendo de la edad de aquel. Así, los mayores de 13 años pueden otorgar por sí mismos el consentimiento para tratar sus datos. Si son menores de 13 años, se requiere la autorización de sus padres o tutores legales.

En casos de padres divorciados, ¿es necesario el consentimiento de ambos?

Aquí, independientemente de que la guarda y custodia del menor en cuestión se atribuya en exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio compartido de la patria potestad o representación legal del menor por parte de ambos padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.

Soy fotógrafo, ¿puedo exponer las fotos de los niños/as en el escaparate?¿y en una página web?

Para poder exponer las fotos de menores en el escaparate es necesario asimismo el consentimiento del menor o de sus progenitores al tratarse de un dato personal.

No puede ser aceptado que la mera captación de las imágenes de una persona en un estudio fotográfico conceda al fotógrafo un derecho de autor o de propiedad intelectual a utilizar de la forma que estime conveniente la imagen de esa persona sin su consentimiento, exponiéndola al público.

Igualmente, la publicación en una página web de las fotos de los menores constituye una cesión o comunicación de datos de carácter personal, definida como “Toda revelación de datos realizada a una persona distinta del interesado” y requiere el consentimiento, en los términos antes señalados, del afectado o de sus padres si se trata de un menor de 13 años.

¿Puede ceder el centro de enseñanza los datos del alumnado a la Asociación de Madres y Padres de Alumnos (AMPA) sin su consentimiento previo?

No. La ley establece que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Será necesario que el centro solicite el consentimiento previo e informado para poder comunicar los datos a la AMPA.

consentimiento_redes_socialesRedes sociales

 

En relación con las fotografías no existen novedades específicas en el RGPD. Tan sólo se introduce una aclaración sobre los datos biométricos. El uso de sistemas biométricos deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado que se tratan datos de carácter sensible, se deberá disponer de mayor protección por parte del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá disponer del consentimiento expreso del interesado.

La imagen de una persona precisamente fusiona varios elementos identificativos que hacen que sea única y distinta del resto sin necesidad de más información. Esa imagen alude también a datos especialmente protegidos, como la raza, religión, circunstancias especiales físicas o de salud, etc.

¿Necesito una autorización para publicar fotos en redes sociales?

Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos. El mero hecho de tener un perfil en una red social no autoriza que un tercero pueda reproducirla en un medio de comunicación sin el consentimiento previo del titular.

Es decir, queda totalmente prohibido sacar foto a través del móvil de una persona andando en la calle y colgarla en la web sin el previo consentimiento del afectado. Y no vale utilizar la excusa de que has sacado la foto en un local público. Hay siempre que respetar el límite de la vida privada de cada uno.

Este requisito constituye una especie de “blindaje” a la protección de la intimidad y a la propia imagen.

Utilización de imágenes y datos personales en un sorteo

En casos de recopilación de datos para realizar un sorteo el consentimiento previo es fundamental, por lo que indiscutiblemente, las empresas deben informar a los titulares afectados.

Para que la recogida de datos sea legal y posible, deberemos informar a todos los implicados y solicitar su autorización sobre:

  • La finalidad de la recopilación de estos datos.
  • Quién es el destinatario que va a recibir estos datos.
  • El nombre y la dirección del responsable del tratamiento de estos datos
  • Las consecuencias de la recogida de estos datos.
  • La posibilidad de ejercer los derechos ARCO

consentimiento_trabajadoresTrabajadores

 

La normativa permite utilizar los datos de carácter personal de sus empleados sin su previo consentimiento, siempre que lo haga dentro del marco de la relación laboral y dicho uso sea necesario para cumplir con las obligaciones derivadas de esta relación contractual. Hacer las nóminas es algo que, como empresario y empleador, debe realizar para cumplir con sus obligaciones.

¿Tienes empleados? Te recomiendo leer esta guía

En otros casos es obligatorio solicitar el consentimiento del trabajador para poder tratar sus datos personales. Además, en el momento de obtener su consentimiento, debe informarles de los derechos de acceso, rectificación y cancelación que la ley les concede, debiendo proporcionar un medio gratuito y fácil de utilizar para el ejercicio de estos derechos.

Publicación de fotografías

A diferencia de los datos indicados para la confección de las nóminas, las fotografías no son en absoluto necesarias para cumplir con las obligaciones derivadas de la relación laboral con sus empleados. Por este motivo, y aun cuando las fotografías se tomen cuando los empleados están trabajando en la empresa, deberá recabar su consentimiento para hacerlas y utilizarlas.

Publicación de datos de los empleados en el tablón de anuncios de la empresa

En el tablón de anuncios de la empresa se publican normalmente los turnos de trabajo de los empleados, el calendario de vacaciones, días de permisos, etc. pero nos surge la duda de si podemos hacerlo.

Estas publicaciones incluyen nombres y otras informaciones que permiten identificar a las personas por lo que no pueden hacerse públicas sin el expreso consentimiento de los trabajadores. Se exige que todos los trabajadores firmen una cláusula de información y consentimiento. Ésta quedaría incorporada a sus contratos, en la que se les advierte y permiten que se publique en el tablón la información que les concierne.

¿Es legal grabar audio en el trabajo?

Ya son varias las veces en las que me preguntan si se pueden poner micrófonos en el trabajo, la respuesta es que no es legal grabar conversaciones en el trabajo sin el consentimiento expreso del trabajador.

Esta es una cuestión muy conflictiva pues no existe normativa específica que regule la instalación y utilización de estos mecanismos de control y vigilancia consistentes en sistemas de captación de imágenes o grabación de sonidos dentro de los centros de trabajo, por lo que son los órganos jurisdiccionales los encargados de ponderar, en caso de conflicto, en qué circunstancias puede considerarse legítimo su uso por parte del empresario.

¿Está permitido poner GPS en el móvil a un trabajador?

La respuesta es sí. En virtud de dichas potestades de dirección y control, el empresario puede implantar un sistema de localización de sus flotas y equipos por GPS, sin necesidad de pedir el consentimiento a nadie.

Ahora bien, la existencia de esta legitimación legal, no exime a la empresa, en absoluto, de la obligación de informar a los afectados (en este caso, al trabajador) acerca de cuál es el tratamiento de datos que se realizará, cuál es la finalidad que se persigue y qué derechos asisten a los propios trabajadores. Y corresponderá también a la empresa la carga de demostrar, si fuera necesario, que ha dado cumplimiento a este deber de informar.

consentimiento_sanidadSanidad

 

Los datos de salud son considerados como datos especialmente protegidos y, para poder tratarlos, se exige un consentimiento inequívoco del titular.

Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas afectadas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.

Excepciones a la necesidad de consentimiento

No se exige el consentimiento del afectado cuando:

  • El tratamiento tenga por finalidad proteger un interés vital del interesado.
  • El tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento se realice por un profesional o por otra persona sujeta asimismo a una obligación de secreto.
  • Se realice una comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de
    Salud para la atención sanitaria de las personas.
  • Otros supuestos en que por razones de interés general, así lo establezca una Ley.
¿Puedo comunicar datos de salud a través de Whatsapp?

Las herramientas gratuitas no se pueden utilizar de forma similar para el uso doméstico que para el profesional y empresarial, porque cuando actuamos profesionalmente nos estamos responsabilizando del tratamiento de datos de terceros.  Si es para solicitar o recordar una cita  con el paciente sí, pero no está permitido para gestionar cualquier tipo de información personal de ese paciente.

¿Cómo solicitar el consentimiento a los pacientes en sesiones por videoconferencia?

En caso de que la consulta se realice a través de videoconferencia puede solicitarse el consentimiento de forma verbal al paciente al comenzar la sesión.

Otra opción, pero probablemente eso dependerá más del programa utilizado, sería que antes de producirse la conexión efectiva médico-paciente, a este se le presentara en su pantalla un texto que cumpliera las especificaciones de la LOPD y que no pudiera avanzar sin haberlo aceptado de una manera registrable por el sistema.

Sin embargo hay que añadir que al producirse un movimiento de datos de salud por Internet estos deberán ir cifrados, por lo que habría que valorar mucho las condiciones de seguridad del sistema de videoconferencia y ver si cumple estos parámetros de seguridad.

consentimiento_sancionesSanciones

 

El Reglamento General de Protección de Datos incrementará de forma significativa las sanciones derivadas de su incorrecto cumplimento.

Según el RGPD, el incumplimiento de los requisitos exigidos para el consentimiento en el tratamiento de datos personales será sancionado con multas administrativas de 20 millones € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.

Tipos de infracciones

La nueva LOPD considera infracciones muy graves:

  • El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
  • La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

Entre las infracciones graves están:

  • El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
  • No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de trece años o por el titular de su patria potestad o tutela.

Dudas frecuentes de las empresas

¿Necesitan las Administraciones Públicas consentimiento de los interesados para tratar sus datos?

No es necesario el consentimiento si los datos se recogen para ejercer funciones propias de las Administraciones cuando actúan en el ámbito de las competencias que les han sido legalmente atribuidas.

En cualquier otro caso, es necesario el consentimiento de la persona afectada o titular de los datos personales para la recogida y el tratamiento de sus datos. Así pues, las personas afectadas deben consentir la recogida y el tratamiento de sus datos cuando las Administraciones quieran llevar a cabo actuaciones que no se deriven de las funciones que la ley les atribuye.

¿Pueden coger mis datos de las guías telefónicas?

Sí que lo pueden hacer. Las guías telefónicas son una fuente de acceso al público, y la ley permite que se puedan recoger los datos que constan en ellas sin el consentimiento de la persona afectada en los casos en que su tratamiento sea necesario para satisfacer el interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y las libertades fundamentales de la persona interesada.

Cuando estos datos se destinen a la actividad de publicidad o prospección comercial, en cada comunicación dirigida a usted le tendrán que informar sobre el origen de los datos, la identidad del responsable del tratamiento y los derechos que le asisten.

¿Necesito consentimiento para utilizar cámaras de videovigilancia?

Modelos


Consentimiento de trabajadores

Autorización de clientes para la recogida de datos

Consentimiento de pacientes

Autorización para publicar imágenes

Consentimiento para curriculum

Recursos, plantillas, modelos…

El consentimiento y el Reglamento Europeo de Protección de Datos
4.6 (92.31%) 13 votos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *