El consentimiento y el Reglamento europeo de Protección de Datos

3476
tipos de consentimiento en la nueva ley de proteccion de datos

Recientemente me han preguntado sobre la necesidad de guardar el consentimiento solicitado a los pacientes en un centro médico y sobre el periodo de tiempo que debe guardarse el mismo. ¿Caduca este consentimiento? ¿Durante cuánto tiempo es válido y cómo debemos guardarlo? ¿Qué dice la normativa de Protección de Datos sobre ello?

Son cuestiones a las que intentaré dar respuesta. También es importante la regulación que el nuevo Reglamento europeo de Protección de Datos hace del consentimiento ya que será la normativa aplicable obligatoriamente a partir de mayo de 2018.

Empresas, consentimiento y LOPD

En primer lugar, las empresas deben analizar todos los canales de entrada de datos personales en ellas y todos los datos que están siendo tratados. También deben comprobar que tengan el consentimiento para poder tratar esos datos, en caso de que sea necesario.

Es necesario guardar una justificación suficiente respecto a la obtención del consentimiento en los supuestos en que sea necesario ante posibles reclamaciones que nos puedan plantear.

Debe analizarse cada canal de entrada de datos y las finalidades perseguidas a través de ese tratamiento. Una vez que tengamos identificadas las finalidades, debemos determinar si es o no obligatorio el consentimiento para el cumplimiento de dichas finalidades.

En caso de que sea necesario algún consentimiento, debemos solicitarlo y guardarlo como prueba ante eventuales denuncias.

Tipos de consentimiento

Examinaremos escuetamente los tipos de consentimiento permitidos por la LOPD, con mención especial al consentimiento tácito, por ser un consentimiento que ofrece claras dudas en cuanto a la prueba:

Presunto

El consentimiento presunto se entiende del comportamiento del afectado. Es el supuesto, por ejemplo, en los que un entrevistado rellena un formulario con sus datos personales, sin permitir expresamente el almacenamiento de los mismos, pero siendo avisado de las circunstancias referidas a su tratamiento.

El consentimiento presunto, pese a su admisión doctrinal, origina importantes problemas de inseguridad jurídica dando lugar a un evidente riesgo.

Tácito

El consentimiento tácito, en cambio, no se deduce de actos del interesado sino “de su inacción, de su silencio”. El consentimiento tácito es aceptado por la LOPD y también por la propia AEPD.

Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.

Expreso

El consentimiento expreso, por su parte, “exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio”.

El consentimiento expreso sólamente debe solicitarse en aquellos casos en los que la Ley así lo indique de forma manifiesta.

Si juntamos las anteriores consideraciones a los distintos niveles de protección de los datos podemos establecer las siguientes conclusiones:

  1. Si nos encontramos ante datos de nivel básico y medio, la ley no impone ninguna particularidad en el consentimiento, por lo que se considera válido el consentimiento tácito.
  2. Si son datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) se exige un consentimiento expreso.
  3. Si se trata de datos de ideología, afiliación sindical, religión y creencias, es imprescindible que el consentimiento no sólo sea expreso sino que además debe ser por escrito.

Revocación del consentimiento para tratar datos

El interesado tiene derecho a revocar el consentimiento a través de una vía sencilla, gratuita y que no suponga ingreso alguno para el responsable del tratamiento de los datos. Los mecanismos más frecuentes para ello son el correo electrónico o la puesta a disposición del interesado de un número de teléfono gratuito para gestionar esa revocación.

Excepciones al consentimiento

La LOPD establece una serie de supuestos en los que no es necesario recabar el consentimiento:

  • Cuando los datos sean recogidos para el ejercicio de las funciones de las Administraciones Públicas en el ejercicio de sus funciones.
  • Cuando el tratamiento de los datos busque proteger un interés vital para el interesado.
  • Cuando los datos aludan a las partes del contrato de una relación laboral, administrativa o comercial y éstos sean precisos para su cumplimiento o mantenimiento.
  • Cuando los datos figuren en fuentes accesibles para el público.

Consentimiento en el nuevo Reglamento europeo de Protección de Datos

La novedad más importante respecto al consentimiento que incorpora el Reglamento se basa en lo referido al consentimiento prestado por los interesados. Indica que el consentimiento debe otorgarse a través de un acto afirmativo claro que evidencie una declaración de voluntad libre, específica, informada e inequívoca del interesado de admitir el tratamiento de datos de carácter personal que le afectan, como por ejemplo una declaración por escrito, incluso por medios electrónicos o una declaración verbal. Se considera válido insertar una casilla para marcar en un sitio web en Internet, elegir parámetros técnicos para el uso de servicios de la sociedad de la información o cualquier otra declaración o conducta que muestre claramente en este contexto que el afectado consiente la propuesta de tratamiento de sus datos personales. El silencio, las casillas ya marcadas o la inacción no se consideran consentimiento. Por lo tanto, ya no se admitirá el consentimiento tácito establecido en nuestra ley.

El consentimiento para autorizar el tratamiento de datos debe ser, por tanto, libre, concreto, informado, expreso y cierto. Será tan fácil retirar el consentimiento como otorgarlo. El Responsable del tratamiento tendrá que poder demostrar que se ha obtenido el consentimiento del interesado.

No será obligatorio solicitar el consentimiento cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales a las que esté sujeto el Responsable.

Consentimiento online

El Reglamento especifica que, en términos on-line, esa aceptación pueda manifestarse a través del habitual “click” de la casilla informativa, o mediante la elección de parámetros técnicos específicos para usar el servicio de que se trate (por ejemplo, la configuración del almacenamiento de “cookies” en el navegador). Lo que no se acepta de ninguna forma como consentimiento válido es la inactividad o las casillas marcadas por defecto. Es digno de mención el requerimiento que se hace para los casos de petición de consentimiento por medios electrónicos, que dice que sea clara y concreta pero que “no altere inútilmente el uso del servicio para el que se presta”. Todo un detalle. Al igual que lo es incorporar una prevención expresa en favor de los usuarios sobre la polémica “portabilidad” de datos, indicando que los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya pedido el interesado, ni al contrario, es decir, cederlos sin su consentimiento. Es previsible que más de un miembro del Parlamento Europeo o del Consejo se haya visto afectado en alguna ocasión por los efectos de este incomprensible comportamiento de los prestadores de servicios para conservar u obtener clientes, independientemente de cuál fuera su voluntad contractual.

Autorización y consentimiento en datos de menores

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos, de manera que el Reglamento establece específicamente que en labores de mercadotecnia, en la confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones especiales, algunas tan sencillas como es facilitar la información básica del tratamiento de manera clara y ajustada a su capacidad cognitiva si los servicios van dirigidos específicamente a ellos (principio de transparencia), o asegurar que los plazos mínimos de conservación sean menores a los previstos para un adulto, u otorgar al interesado el derecho a la cancelación de sus datos o revocación del consentimiento cuando se convierta en adulto. También se detalla que no es posible tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.

Publicación de fotografías en redes sociales

En relación con las fotografías no existen novedades específicas, tan sólo se introduce una predicción “aclaratoria” en los considerandos, indicando que si bien proporcionan datos biométricos, “no debe estimarse regularmente tratamiento de categorías especiales de datos personales, pues únicamente están incluídas en la descripción de datos biométricos cuando el hecho de ser manejadas con mecanismos técnicos específicos posibilite la identificación o la autenticación unívocas de una persona física”. Esta puntualización no clarifica nada, ya que la imagen de una persona precisamente fusiona varios elementos identificativos que hacen que sea única y distinta del resto sin necesidad de más información, pero no sólo, sino que son explicativas de datos especialmente protegidos, como la raza, religión, circunstancias especiales físicas o de salud, etc.

El consentimiento y el Reglamento europeo de Protección de Datos
4.5 (90%) 8 votos

Dejar respuesta