Consentimiento para el tratamiento de datos a través de páginas web

1482

Es una consulta bastante reiterada tanto por parte de clientes como de lectores de este blog: al poner un formulario de toma de datos en una página web ¿en qué casos basta con que haya un enlace a los textos legales y en qué otros se ha de implantar un mecanismo que asegure que han sido revisados?

La Agencia Española De Protección de Datos (AEPD) ya aclaró el asunto a través del Informe 49/2007 de su Gabinete Jurídico.

El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita, es decir, tanto como consecuencia de una afirmación específica del afectado en ese sentido, como mediante la falta de una manifestación contraria al tratamiento, para la que se hayan concedido mecanismos de fácil adopción por el afectado y un tiempo prudencial para dar la mencionada respuesta negativa.

Por lo tanto, la clave está en la definición del nivel de seguridad que será de aplicación al tipo de datos recogidos.

Para datos básicos será suficiente la inclusión de un enlace que lleve a la política de privacidad o aviso legal:

En el supuesto de que la recogida  de datos se realice a través de una página web, las obligaciones a las  que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o  “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.
Sin embargo, en el caso de datos especialmente protegidos:
En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley.
Consentimiento para el tratamiento de datos a través de páginas web
Vota este artículo

7 Comentarios

  1. Hola, enhorabuena por el blog. La legislación de protección de datos es bastante discutida en sus interpretaciones. Me ha llamado la atención la interpretación que haces del informe 49/2007 y me gustaría darte otro punto de vista que consiste en que, según mi interpretación, el consentimiento ha de ser informado siempre. Lo que dice el informe es que, las obligaciones de información, “suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser aviso legal o política de protección”. Pero, en todo caso, “éste (el consentimiento informado) habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia”. Esto es, que el sistema debe impedir la toma de datos hasta que el usuario haya aceptado haber recibido la información pertinente (art. 5 LOPD) del sitio web.

    Así parece desprenderse de otros informes de la AEPD como por ejemplo el 340/2010, que establece que “A la recogida de datos de carácter personal a través de un sistema informático, esto es, a través de la página web de una empresa, también se le exige cumplir con los deberes anteriormente señalados (obtener el consentimiento informado del interesado para el tratamiento de sus datos y la de informar sobre los derechos que les asisten). Estas obligaciones suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser aviso legal o política de protección siendo necesario, que los afectados no puedan introducir dato alguno en la base de datos sin antes tener conciencia del citado aviso y aceptarlo”. Dicho informe no distingue entre el tratamiento de datos especialmente protegidos y otros que no tengan este carácter.

    Saludos.

    • Gracias Eddie por visitarnos y comentar.
      Efectivamente, como dices, la legislación LOPD es bastante interpretable, y la AEPD no siempre ayuda con sus informes y procedimientos sancionadores a aclararse, ya que más de una vez publica textos contradictorios, aunque en su descarga hay que reconocer que nos movemos en un terreno resbaladizo, en el que los continuos avances en nuevas tecnologías de captación, tratamiento y mantenimiento de datos personales, hace que continuamente haya que estar revisando procedimientos anteriores.
      El informe a que te refieres ya lo habíamos comentado aquí Información LOPD en otros idiomas y efectivamente parece contradictorio con este otro, donde sí se dice literalmente

      El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita.

      En estos casos, y ante la duda de cuál será la futura postura de la AEPD, lo cierto es que siempre es más aconsejable optar por la postura más restrictiva, es decir, que no se pueda introducir dato alguno en la base de datos sin antes tener conciencia del citado aviso y aceptarlo.

  2. Hola Jesús:

    Tengo una pequeña consulta médica y estoy valorando un programa que permite realizar televisitas a través de una web y un micrófono.

    Logicamente, voy a tratar pacientes en esa conferencia y datos de salud a través de la historia, pero a distancia.

    ¿Como opinas que debo recabar el consentimiento en estos casos? Porque puedo grabar la sesión y hacerme un papelito con el consentimiento que firman aquí en la consulta y soltarlo antes de comenzar y preguntar si está conforme, un poco método de andar por casa pero supongo que haría la función.

    ¿Se te ocurre alguna otra forma que fuera mecanizada que surtiera el mismo efecto?

    Muchas gracias y felicitarte por tus publicaciones.

    • Hola Juan: gracias por visitarnos y comentar.

      Es una consulta interesante, muy lógica en un mundo en el que las nuevas tecnologías avanzan a velocidad de vértigo, como decíamos en el comentario anterior, y se presentan nuevos escenarios como el planteado.

      Sobre el tema del consentimiento la solución que propones sería válida. Otra opción, pero probablemente eso dependerá más del programa utilizado que de ti mismo, sería que antes de producirse la conexión efectiva médico-paciente, a este se le presentará en su pantalla un texto que cumpliera las especificiaciones de la LOPD y que no pudiera avanzar sin haberlo aceptado de una manera registrable por el sistema.

      Sin embargo hay que añadir que al producirse un movimiento de datos de salud por internet estos deberán ir cifrados, por lo que habría que valorar mucho las condiciones de seguridad del sistema de videoconferencia y ver si cumple estos parámetros de seguridad.

  3. Hola
    voy a publicar una web cuyo objetivo es poner en contacto solteros con un mismo perfil para que se conozcan en una cena preparada por nosotros. El alta en la página es gratuita y sólo pasas por pasarela de pago si decides apuntarte una de las veladas (realmente lo que pagas es tu cena).
    Vamos a montar el alta de los usuarios de manera que el futuro miembro deba obligatoriamente aceptar las condiciones de uso de la página (en estas explicamos claramente las forma de alta, baja y rectificación de los datos personales por parte del miembro) pero aparte de eso me gustaría saber si hay mas pasos que debamos dar para que la LOPD no nos pueda dar ningún susto a nivel multa por incumplimiento de alguno de los pasos obligatorios. Los datos que guardamos de los clientes son nombre apellido domicilio y telefono pero tambien nos estamos planteando guardar los datos de la visa para poder cargar directamente el cobro de la cena en sú cuenta. Si esto fuera así deberíamos aumentar tomar más medidas que las que tomamos hasta ahora a nivel LODP. Muchas gracias

Dejar respuesta