Desde la entrada en vigor en 2018 del Reglamento General de Protección de Datos (RGPD), el único consentimiento válido para tratar los datos personales de los interesados, es el consentimiento expreso. En esta entrada vamos a analizar en profundidad el consentimiento expreso y ver en qué lugar ha quedado el consentimiento tácito y si este es aún válido.
El consentimiento en el RGPD
El consentimiento es uno de los principios de la protección de datos recogidos en el RGPD, que nos dice que debe ser una comunicación libre del interesado, en la que acepta el tratamiento de sus datos para un fin concreto, dentro de unas condiciones determinadas y de las que ha sido debidamente informado con carácter previo a dar su consentimiento.
Además, el consentimiento debe ser libre, específico, informado e inequívoco.
Hasta la entrada en vigor del RGPD, la anterior LOPD distinguía entre tres tipos de consentimiento:
- Consentimiento presunto (deducido de las acciones y comportamiento del interesado).
- Consentimiento tácito (deducido de la no actuación para oponerse).
- Consentimiento expreso (manifestación clara del consentimiento).
Pero desde mayo de 2018, el único consentimiento válido es el consentimiento expreso.
El Consentimiento expreso
El consentimiento expreso es el que se otorga de forma explícita, concreta y directa, y que queda registrado de una o varias formas para no dejar lugar a dudas. Una de las maneras más frecuentes de otorgarlo es firmando un documento oficial, de manera que los interesados puedan consultarlo si existe algún desacuerdo en un futuro.
Podemos encontrar una definición de consentimiento expreso en el artículo 4.11 del RGPD, que recoge este principio como: «Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Como decíamos, desde la entrada en vigor del RGPD solo es válido el consentimiento expreso del interesado para poder realizar cualquier tipo de tratamiento de sus datos personales, incluido recibir comunicaciones comerciales o ceder sus datos a terceros
¿Qué es el Consentimiento expreso?
Según el RGPD el consentimiento expreso «exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio».
Este consentimiento existe cuando el usuario debe decir explícitamente que sí (ejemplo: «si deseas que te envíe información comercial, marca esta casilla») o que no, pero en cualquier caso debe realizar una acción. Por lo tanto, en el RGPD el consentimiento tácito ya no es suficiente.
De acuerdo al reglamento de protección de datos el consentimiento expreso debe tener las siguientes características para poder considerarse legítimo:
- El responsable del tratamiento debe poder demostrar que el interesado dio su consentimiento para el tratamiento de sus datos personales.
- Si el consentimiento de se presenta en una declaración escrita que haga también referencia a otros asuntos, la solicitud del consentimiento debe poder distinguirse claramente de los otros temas, de forma inteligible y fácil de comprender.
- El consentimiento podrá revocarse por parte del interesado en cualquier momento.
- El interesado debe dar su consentimiento en libertad, es decir, no puede supeditarse la prestación de un servicio o la entrega de un bien al otorgamiento del consentimiento para el tratamiento de datos personales que no son necesarios para ello.
¿Cuándo indica el RGPD que debemos conseguir un consentimiento expreso?
El RGPD indica que debemos conseguir el consentimiento expreso de los interesados cuando:
- Un página web o tienda online recoge datos personales a través de formularios (de contacto, suscripción o de solicitud de presupuestos), debe solicitarse el consentimiento de los usuarios para poder tratar sus datos.
- Sea necesarios realizar un tratamiento de los datos personas de un menor de edad, se necesita siempre el consentimiento del propio menor, cuando este sea mayor de 13 años, o de los padres o tutores legales, cuando sean menores de 13 años.
- Se recojan datos biométricos.
- Se recojan datos de empleados que no sean necesarios para cumplir con las obligaciones derivadas de la relación contractual con la empresa.
- Se traten datos de la salud de los interesados.
- El administrador de una comunidad de propietarios tenga que ceder datos de los propietarios a terceros (en ningún caso puede ser el consentimiento de la comunidad propietarios tácito).
¿Cómo solicitar el consentimiento expreso?
Dependiendo del medio y de los interesados, hay diferentes formas de solicitar el consentimiento expreso, si bien, como ya hemos dicho, estas siempre formas deben siempre contemplar la realización de una acción afirmativa del interesado para conceder dicho consentimiento, ya sea marcar una casilla en un formulario web, aceptar las cookies de una web o marcar «sí» en un contrato por escrito
A continuación veremos diferentes formas de solicitar el consentimiento expreso de manera más detallada, pero aquí podéis ver y descargar un modelo de consentimiento para clientes según normativa de protección de datos.
En páginas web
El Reglamento especifica que, en términos on-line, esa aceptación pueda manifestarse a través del habitual «click» de la casilla informativa, o mediante la elección de parámetros técnicos específicos para usar el servicio de que se trate (por ejemplo, la configuración del almacenamiento de «cookies» en el navegador).
No se acepta la inactividad o las casillas marcadas por defecto como consentimiento válido. Es digno de mención el requerimiento que se hace para los casos de petición de consentimiento por medios electrónicos. Debe ser clara y concreta pero que «no altere inútilmente el uso del servicio para el que se presta».
También se incorpora una prevención expresa en favor de los usuarios sobre la polémica «portabilidad» de datos. Los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya pedido el interesado, ni al contrario, es decir, cederlos sin su consentimiento.
Respecto a cómo se debe recabar el consentimiento expreso del destinatario para la recepción de comunicaciones comerciales por correo electrónico, se puede hacer de estas dos formas:
- En el marco de un procedimiento de contratación o suscripción a algún servicio que tenga lugar vía web y en el que el destinatario deba facilitar su dirección de correo electrónico, incluyendo en las condiciones generales de contratación una cláusula sobre el consentimiento del destinatario a la recepción de comunicaciones comerciales y solicitando su aceptación junto con el contrato.
- Ofreciendo a los usuarios la posibilidad de facilitar su dirección de correo electrónico para recibir información sobre los productos o servicios ofrecidos por la empresa mediante un mensaje y un formulario tipo incluido en su página de Internet.
A menores
Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos. Por este motivo, el reglamento establece específicamente que en labores de mercadotecnia, en la confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones especiales, entre las que están:
- Facilitar la información básica del tratamiento de manera clara y ajustada a su capacidad cognitiva si los servicios van dirigidos específicamente a ellos (principio de transparencia).
- Asegurar que los plazos mínimos de conservación sean menores a los previstos para un adulto.
- Otorgar al interesado el derecho a la cancelación de sus datos o revocación del consentimiento cuando se convierta en adulto.
- También se detalla que no es posible tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.
En el caso particular de padres divorciados, independientemente de que la guarda y custodia del menor en cuestión se atribuya en exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio compartido de la patria potestad o representación legal del menor por parte de ambos padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.
En redes sociales
Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos. El mero hecho de tener un perfil en una red social no autoriza que un tercero pueda reproducirla en un medio de comunicación sin el consentimiento previo del titular.
De manera que queda totalmente prohibido publicar fotos sin consentimiento del interesado. Es decir, que no se puede sacar una foto a través del móvil de una persona andando en la calle y colgarla en la web sin el previo consentimiento del afectado. Y no vale utilizar la excusa de que has sacado la foto en un local público. Hay siempre que respetar el límite de la vida privada de cada uno.
En ese sentido, tampoco podemos olvidar que si grabar a una persona sin su consentimiento es delito en España, publicar dicho vídeo a través de redes sociales es también un delito que atenta contra el derecho a la intimidad de las personas.
Este requisito constituye una especie de «blindaje» a la protección de la intimidad y a la propia imagen.
En casos de recopilación de datos para realizar un sorteo a través de redes sociales, el consentimiento previo es fundamental, por lo que indiscutiblemente, las empresas deben informar a los titulares afectados.
Para que la recogida de datos sea legal y posible, deberemos informar a todos los implicados y solicitar su autorización sobre:
- La finalidad de la recopilación de estos datos.
- Quién es el destinatario que va a recibir estos datos.
- El nombre y la dirección del responsable del tratamiento de estos datos
- Las consecuencias de la recogida de estos datos.
- La posibilidad de ejercer los derechos ARCO
A trabajadores
Cuando los datos personales de los trabajadores que se van a tratar no tienen una finalidad dentro de la relación contractual, es obligatorio solicitar el consentimiento del trabajador para poder hacer ese tratamiento. Además, en el momento de obtener su consentimiento, debe informarles de los derechos de acceso, rectificación y cancelación que la ley les concede, debiendo proporcionar un medio gratuito y fácil de utilizar para el ejercicio de estos derechos.
Así debemos tener en cuenta las siguientes consideraciones:
- En el tablón de anuncios de la empresa se publican normalmente los turnos de trabajo de los empleados, el calendario de vacaciones, días de permisos, etc. Estas publicaciones incluyen nombres y otras informaciones que permiten identificar a las personas por lo que no pueden hacerse públicas sin el expreso consentimiento de los trabajadores. Se exige que todos los trabajadores firmen una cláusula de información y consentimiento. Ésta quedaría incorporada a sus contratos, en la que se les advierte y permiten que se publique en el tablón la información que les concierne.
- Está permitido instalar cámaras de videovigilancia que graben a los empleados en su puesto de trabajo. Pero, para ello, se deberán cumplir algunos requisitos. La instalación de cámaras de videovigilancia se limitará a las finalidades previstas en el Estatuto de los Trabajadores ya que éste atribuye al empresario la facultad de dirección. Lo que le permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales».
- No es legal grabar las conversaciones en el centro de trabajo sin el consentimiento expreso de los trabajadores. Si bien, no existe una normativa específica que regule la instalación y utilización de micrófonos como mecanismos de control y vigilancia dentro del centro de trabajo.
- En virtud de dichas potestades de dirección y control, el empresario puede implantar un sistema de localización de sus flotas y equipos por GPS, sin necesidad de pedir el consentimiento a nadie. Ahora bien, la existencia de esta legitimación legal, no exime a la empresa, en absoluto, de la obligación de informar a los afectados (en este caso, al trabajador) acerca de cuál es el tratamiento de datos que se realizará, cuál es la finalidad que se persigue y qué derechos asisten a los propios trabajadores. Y corresponderá también a la empresa la carga de demostrar, si fuera necesario, que ha dado cumplimiento a este deber de informar.
Sanidad
Los datos de salud son considerados como datos especialmente protegidos y, para poder tratarlos, se exige un consentimiento inequívoco del titular.
Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas afectadas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.
El consentimiento informado
Mención aparte tiene el consentimiento informado sobre el tratamiento médico de los pacientes; cualquier profesional de la salud tiene la obligación de informar a sus pacientes del tratamiento que van a recibir, la necesidad de este, si existen alternativas y la posibilidad de revocar en cualquier momento este consentimiento.
El consentimiento informado es tanto una protección legal para los pacientes como para los profesionales de la saludo y debe ser siempre recabado antes de iniciar cualquier tipo de tratamiento.
Este consentimiento variará en función del área de especialidad, como podéis ver en estos modelos de consentimiento informado en psicología y consentimiento informado en odontología.
Casos en los que no es obligatorio
No se exige el consentimiento del afectado cuando:
- El tratamiento tenga por finalidad proteger un interés vital del interesado.
- El tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento se realice por un profesional o por otra persona sujeta asimismo a una obligación de secreto.
- Se realice una comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de
- Salud para la atención sanitaria de las personas.
- Otros supuestos en que por razones de interés general, así lo establezca una Ley.
Ejemplos de consentimiento expreso
Ahora que ya hemos visto qué es el consentimiento expreso y cómo recabarlo en diferentes escenarios, aquí tenemos algunos ejemplos de consentimiento expreso válidos:
- Insertar una casilla para marcar en un sitio web en Internet.
- Configuración del almacenamiento de cookies en el navegador.
- La respuesta afirmativa del interesado ante la pregunta de si consiente a que sus datos sean tratados, una vez explicada la finalidad para la que serán recogidos.
- Cualquier otra declaración o conducta que muestre claramente en este contexto que el afectado consiente la propuesta de tratamiento de sus datos personales.
¿Dónde almacenar este consentimiento?
Puesto que una de las características del consentimiento expreso es poder probar que se ha conseguido mediante una acción del interesado, deberemos guardar como prueba los justificantes de la obtención de dicho consentimiento.
Estos justificantes pueden almacenarse tanto por medios electrónicos en una base de datos de la empresa, como de forma física en ficheros. En cualquier caso, es muy importante guardar los consentimientos de los interesados para el tratamiento de sus datos, pues pueden ser requeridos en una inspección de la AEPD o podrán servir como prueba ante una posible denuncia.
Sanciones
Según el RGPD, el incumplimiento de los requisitos exigidos para el consentimiento en el tratamiento de datos personales será sancionado con multas administrativas de 20 millones € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.
Es decir, que el uso de datos personales sin consentimiento expreso del interesado puede considerarse una infracción y llevar aparejada sanciones en función de su gravedad.
Se consideran infracciones muy graves:
- El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
- La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
Entre las infracciones graves están:
- El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de trece años o por el titular de su patria potestad o tutela.
Excepciones a la necesidad de obtener consentimiento expreso
El RGPD nos dice que el consentimiento expreso del interesado debe recabarse siempre para el tratamiento de datos personales y prohíbe explícitamente el tratamiento de categorías especiales de datos personales (origen genético o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos biométricos, datos relativos a la salud, la vida sexual o la orientación sexual del interesado) sin el consentimiento explícito del interesado.
Sin embargo, existen una serie de excepciones en las que no se aplica esta prohibición, que quedan recogidas en el artículo 9.2 del RPGD:
- b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
- c) El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
- d) El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados
- e) El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
- f) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
- g) El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
- h) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario.
- i) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional.
- j) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
El Consentimiento tácito
El consentimiento tácito se entiende como aquel que no queda reflejado de forma expresa en medios escritos o físicos, sino también a través de acciones u omisiones indirectas. Es una forma de otorgar consentimiento más relajada, informal e indirecta.
Antes de la entrada en vigor del RGPD, en España el consentimiento estaba regulado por la Ley Orgánica de Protección de Datos. De manera que establecía en que circunstancias era necesario recabar el consentimiento de los interesados y distinguía entre diferentes tipos de consentimiento válido, entre ellos el consentimiento tácito.
¿Qué es el Consentimiento tácito?
Según la LOPD el consentimiento tácito se deduce la inacción o del silencio del interesado, de manera que se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no.
¿Se admite el consentimiento tácito actualmente?
Como ya hemos señalado a lo largo de esta entrada, no, actualmente no se admite el consentimiento tácito como válido, ni por el RGPD ni por la actual LOPDGDD, de manera que no puede haber ninguna duda entre el consentimiento expreso o tácito, puesto que el consentimiento debe ser siempre expreso (salvo en aquellas excepciones que ya hemos enumerado más arriba).
Ejemplos de consentimiento tácito
Ejemplos de de consentimiento tácito los teníamos en cláusulas tipo:
- Si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros.
- De no recibir indicación contraria, usaremos sus datos para fines comerciales.
- Acepta recibir información comercial nuestra o de terceros en su correo electrónico.
Otros tipos de consentimiento
Como decíamos, la LOPD también contemplaba otros tipos de consentimiento como válidos:
- Presunto: El consentimiento presunto se entiende del comportamiento del afectado. Se da, por ejemplo, cuando un entrevistado rellena un formulario con sus datos personales, sin permitir expresamente el almacenamiento de los mismos, pero siendo avisado de las circunstancias referidas a su tratamiento.
- Expreso (tal y como se recoge en esta entrada).
- Revocación: El interesado tiene derecho a revocar el consentimiento a través de una vía sencilla, gratuita y que no suponga ingreso alguno para el responsable del tratamiento de los datos.
Con esto llegamos al final de esta entrada sobre el consentimiento tal y como lo recoge el RGPD; como conclusión debéis quedaros con que siempre se debe contar con el consentimiento expreso del interesado para la recogida y tratamiento de sus datos personales.
Finalmente, podéis encontrar un modelo de consentimiento de tratamiento de datos personales según el RGPD, así como otras plantillas siguiendo pulsando en el enlace.