Es una consulta bastante reiterada tanto por parte de clientes como de lectores de este blog. Al poner un formulario de toma de datos en una página web ¿en qué casos basta con que haya un enlace a los textos legales y en qué otros se ha de implantar un mecanismo que asegure que han sido revisados? ¿Cómo solicito el consentimiento al usuario para tratar sus datos?

Consentimiento necesario en páginas web

En España, la base jurídica que tradicionalmente ha justificado el tratamiento de datos con fines publicitarios ha sido el consentimiento. Este en ocasiones incluso podía ser tácito, es decir, obtenerse por la inacción del interesado.

Sin embargo, el RGPD excluye el consentimiento tácito, ya que entiende el consentimiento como una “manifestación de voluntad libre, específica, informada e inequívoca”. Que debe darse “mediante una declaración o una clara acción afirmativa”. Por lo tanto, “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.

Diferencias según el tipo de datos

La clave está en la definición del nivel de seguridad que será de aplicación al tipo de datos recogidos.

Para datos básicos será suficiente la inclusión de un enlace que lleve a la política de privacidad o aviso legal.

En el supuesto de que la recogida  de datos se realice a través de una página web, esta obligación suele cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o  “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.

Caso de datos especialmente protegidos

El consentimiento habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido. Pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal.
Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco como exige la Ley.

Regulación en el RGPD

El consentimiento es un punto clave con la nueva normativa europea si tienes un blog o una web, y el que más trabajo de ajuste va a necesitar.

El nuevo Reglamento exige que todo acto de solicitud de datos personales tenga que ir precedido por un requerimiento de consentimiento expreso.

Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen. Así como la medida en que dichos datos serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender. Y que se utilice un lenguaje sencillo y claro.

Cuando los datos pretendan utilizarse para distintas finalidades, es importante que la empresa obtenga el consentimiento para cada una de ellas. Ya que en otro caso se presumirá que ese consentimiento no es libre.

Por lo tanto, si la empresa recoge el consentimiento para finalidades de tratamiento distintas, con carácter general deberá obtener consentimientos separados.

Tratamiento basado en el interés legítimo

Para enviar comunicaciones comerciales por vía electrónica, la empresa deberá haber obtenido el consentimiento expreso de sus destinatarios. Salvo:

  • cuando exista una relación contractual previa y
  • las comunicaciones se refieran a productos o servicios propios similares a los inicialmente contratados.

En esos casos el envío de comunicaciones comerciales será válido siempre que se permita la oposición tanto en el momento de recogida de los datos como en cada comunicación enviada.

El tratamiento de datos personales con fines publicitarios también podrá basarse en el interés legítimo de la empresa. Al menos cuando se trate de comunicaciones comerciales no electrónicas. Siempre que este interés prevalezca sobre los intereses o los derechos y libertades fundamentales de los interesados.

Requisitos para que exista interés legítimo

  • Cumplir el deber de información,
  • permitir la oposición a estos envíos,
  • el destinatario sea un cliente activo de la entidad y
  • los productos o servicios ofertados deben ser propios de la entidad y similares a los contratados inicialmente.

Qué datos se pueden recoger

Uno de los puntos de la nueva normativa es que los datos que se recojan sean limitados. Es decir que sólo se recojan los que sean necesarios para la prestación del servicio. En el caso de un formulario de registro será necesario un correo electrónico y un nombre para dirigirse a la persona.

Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, incluso a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa y ello en cualquier momento y sin coste alguno.

Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.

Pasos para adaptar tu web a la nueva normativa

Consentimiento expreso

Revisar si los formularios de tu web o blog permiten obtener el consentimiento de forma adecuada comprobando que este consentimiento sea explícito, específico y verificable.

Textos legales

Redactar y reforzar todas tus cláusulas informativas y tener mayor precisión al redactarlas, atendiendo a todos los puntos que el reglamento te exige informar.

Oposición al tratamiento

Recordar que el consentimiento ha de ser revocable en cualquier momento y facilitar un mecanismo para hacerlo.

Si se utilizan datos personales para marketing directo será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.

Lo que no se debe hacer

Es habitual que las páginas web usen “Aceptar los términos y condiciones” para el caso del tratamiento de datos personales. Sin embargo, el hecho de que sea normal no significa que esté bien. La recomendación es sustituir dicho texto por “Autorizo el tratamiento de mis datos personales” al lado de la casilla donde la persona pueda dar clic consintiendo y debajo añadir un texto explicativo donde se detalle para que se usan los datos y la forma de tratamiento.

El problema de esa casilla es que en algunas ocasiones ya está el clic por defecto. Y en el peor de los casos no existe dicha casilla, por lo que la persona puede dejar registrado sus datos sin evidencia del consentimiento expreso para su uso. Para la ley ese tipo de consentimiento no es válido.

Historias reales

Para comprender la importancia de obtener el consentimiento de los interesados para tratar sus datos personales. Explicaré algunos casos reales sancionados por la AEPD.

Sanción a un Banco

A modo de ejemplo de lo anteriormente expuesto, resulta interesante analizar la resolución de la AEPD (PS/00305/2014), en la que una entidad bancaria es sancionada con 35.000 euros por distintas deficiencias detectadas en su cláusula informativa para clientes. Entre otras, no ofrecer un mecanismo de oposición a tratamientos adicionales que no se ajusta a lo exigido por la LOPD.

La entidad sancionada procedió a modificar las condiciones generales de algunos de sus servicios. No permitía realizar trámites on-line a clientes que venían operando habitualmente por este medio sin aceptarlas previamente. Estas condiciones incluían, por lo que se refiere a protección de datos, la posibilidad de tratar los datos para finalidades adicionales a la gestión del contrato.

La AEPD considera que no prever “en ningún lugar la posibilidad de que el interesado pueda manifestar expresamente en el cuerpo del propio contrato su voluntad favorable o contraria al tratamiento de sus datos para fines no relacionados directamente con el desarrollo del contrato y la prestación del servicio” entra en colisión directa  con la exigencia de la LOPD.

Consentimiento para el tratamiento de datos a través de páginas web
4.7 (94.55%) 11 votos
  1. Hola, enhorabuena por el blog. La legislación de protección de datos es bastante discutida en sus interpretaciones. Me ha llamado la atención la interpretación que haces del informe 49/2007 y me gustaría darte otro punto de vista que consiste en que, según mi interpretación, el consentimiento ha de ser informado siempre. Lo que dice el informe es que, las obligaciones de información, “suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser aviso legal o política de protección”. Pero, en todo caso, “éste (el consentimiento informado) habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia”. Esto es, que el sistema debe impedir la toma de datos hasta que el usuario haya aceptado haber recibido la información pertinente (art. 5 LOPD) del sitio web.

    Así parece desprenderse de otros informes de la AEPD como por ejemplo el 340/2010, que establece que “A la recogida de datos de carácter personal a través de un sistema informático, esto es, a través de la página web de una empresa, también se le exige cumplir con los deberes anteriormente señalados (obtener el consentimiento informado del interesado para el tratamiento de sus datos y la de informar sobre los derechos que les asisten). Estas obligaciones suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser aviso legal o política de protección siendo necesario, que los afectados no puedan introducir dato alguno en la base de datos sin antes tener conciencia del citado aviso y aceptarlo”. Dicho informe no distingue entre el tratamiento de datos especialmente protegidos y otros que no tengan este carácter.

    Saludos.

    1. Gracias Eddie por visitarnos y comentar.
      Efectivamente, como dices, la legislación LOPD es bastante interpretable, y la AEPD no siempre ayuda con sus informes y procedimientos sancionadores a aclararse, ya que más de una vez publica textos contradictorios, aunque en su descarga hay que reconocer que nos movemos en un terreno resbaladizo, en el que los continuos avances en nuevas tecnologías de captación, tratamiento y mantenimiento de datos personales, hace que continuamente haya que estar revisando procedimientos anteriores.
      El informe a que te refieres ya lo habíamos comentado aquí Información LOPD en otros idiomas y efectivamente parece contradictorio con este otro, donde sí se dice literalmente

      El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita.

      En estos casos, y ante la duda de cuál será la futura postura de la AEPD, lo cierto es que siempre es más aconsejable optar por la postura más restrictiva, es decir, que no se pueda introducir dato alguno en la base de datos sin antes tener conciencia del citado aviso y aceptarlo.

  2. Hola Jesús:

    Tengo una pequeña consulta médica y estoy valorando un programa que permite realizar televisitas a través de una web y un micrófono.

    Logicamente, voy a tratar pacientes en esa conferencia y datos de salud a través de la historia, pero a distancia.

    ¿Como opinas que debo recabar el consentimiento en estos casos? Porque puedo grabar la sesión y hacerme un papelito con el consentimiento que firman aquí en la consulta y soltarlo antes de comenzar y preguntar si está conforme, un poco método de andar por casa pero supongo que haría la función.

    ¿Se te ocurre alguna otra forma que fuera mecanizada que surtiera el mismo efecto?

    Muchas gracias y felicitarte por tus publicaciones.

    1. Hola Juan: gracias por visitarnos y comentar.

      Es una consulta interesante, muy lógica en un mundo en el que las nuevas tecnologías avanzan a velocidad de vértigo, como decíamos en el comentario anterior, y se presentan nuevos escenarios como el planteado.

      Sobre el tema del consentimiento la solución que propones sería válida. Otra opción, pero probablemente eso dependerá más del programa utilizado que de ti mismo, sería que antes de producirse la conexión efectiva médico-paciente, a este se le presentará en su pantalla un texto que cumpliera las especificiaciones de la LOPD y que no pudiera avanzar sin haberlo aceptado de una manera registrable por el sistema.

      Sin embargo hay que añadir que al producirse un movimiento de datos de salud por internet estos deberán ir cifrados, por lo que habría que valorar mucho las condiciones de seguridad del sistema de videoconferencia y ver si cumple estos parámetros de seguridad.

  3. Hola
    voy a publicar una web cuyo objetivo es poner en contacto solteros con un mismo perfil para que se conozcan en una cena preparada por nosotros. El alta en la página es gratuita y sólo pasas por pasarela de pago si decides apuntarte una de las veladas (realmente lo que pagas es tu cena).
    Vamos a montar el alta de los usuarios de manera que el futuro miembro deba obligatoriamente aceptar las condiciones de uso de la página (en estas explicamos claramente las forma de alta, baja y rectificación de los datos personales por parte del miembro) pero aparte de eso me gustaría saber si hay mas pasos que debamos dar para que la LOPD no nos pueda dar ningún susto a nivel multa por incumplimiento de alguno de los pasos obligatorios. Los datos que guardamos de los clientes son nombre apellido domicilio y telefono pero tambien nos estamos planteando guardar los datos de la visa para poder cargar directamente el cobro de la cena en sú cuenta. Si esto fuera así deberíamos aumentar tomar más medidas que las que tomamos hasta ahora a nivel LODP. Muchas gracias

    1. Álvaro: todos los pasos a cumplir están detallados en la guía inicial de este blog: https://ayudaleyprotecciondatos.es/2011/11/10/cumplir-lopd-guia-basica-ayuda-ley-proteccion-datos/

      Obviamente no puedo responder si ya han cumplido todos lo indicado o les falta alguno de los pasos.

      Los datos de la VISA no implican mayores obligaciones administrativas, pero sí desde el punto de vista de seguridad, puesto que ante una intrusión no autorizada o cualquiera otra incidencia ustedes serían responsables de las eventuales pérdidas.

  4. Hola Ana, he leído varios de tus artículos y me parecen muy interesantes.
    Tengo una consulta que no se si está del todo relacionada con este post, pero quería escribirte y no se muy bien dónde.
    Te comento: soy integrante del grupo juvenil Jaire (de Valencia), y desde hace un tiempo estoy gestionando todo el tema web y demás. El caso es que siempre llevamos mucho lío con las autorizaciones para salidas y campamentos porque los padres nunca se acuerdan de traerlas o las traen mal rellenadas, etc… Me gustaría saber si existe alguna manera legal de cumplimentar estas autorizaciones de manera telemática. Sobre todo es el poder eliminar de la ecuación la firma. Actualmente les damos a los padres la opción de descargar la autorización, imprimirla, rellenarla y firmarla, escanearla y enviárnosla al correo, pero esto es muy engorroso, al igual que utilizar una firma electrónica (que no mucha gente tiene).
    ¿Hay alguna manera legal de hacer todo esto online, y de este modo poder tener un mejor control y manejo de las autorizaciones?
    ¡Muchísimas gracias y perdona por todo el royo!

    1. Buenos días Miguel,
      El consentimiento debe ser expreso por lo que tienen que realizarse por escrito o, en caso de que sea online, es necesario que exista un check desmarcado por defecto que el afectado debe marcar consintiendo el tratamiento de sus datos personales. Gracias por leer el blog y por tu consulta


Comments are closed.