5 claves del documento del WP29 sobre consentimiento

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

El pasado 28 de noviembre de 2017, el Grupo de Trabajo del Artículo 29 (en adelante, WP29) publicó el borrador de su documento relativo al consentimiento basado en el Reglamento General de Protección de Datos (en adelante, RGPD) [puede acceder al documento en el siguiente link].

En el presente post explicaré, de forma breve y concisa, cinco elementos clave que considero interesantes del Documento anteriormente referenciado.

1.- El consentimiento debe ser libre y por ello no puede ser otorgado entremezclado entre cláusulas ni puede otorgarse cuando existe un desequilibrio entre las partes.

El WP29 nos indica en el documento que si el consentimiento se encuentra entremezclado entre términos y condiciones no negociables por el interesado, se presumirá que éste no se ha otorgado de forma libre y, en consecuencia, el mismo no será válido.

Tampoco se podrá considerar libre el consentimiento otorgado, en el marco de la suscripción de un contrato entre las partes, para el tratamiento de datos para una finalidad que no tenga relación con la ejecución del contrato cuando se exija otorgar dicho consentimiento para poder suscribir el contrato. Para valorar si la finalidad del tratamiento tiene relación o no con el contrato suscrito debe analizarse si existe o no un vínculo directo y objetivo entre el tratamiento de datos y la ejecución del contrato.

Otro elemento clave a tener en cuenta para determinar si el consentimiento otorgado es libre es la existencia de un desequilibrio entre las partes (responsable del tratamiento e interesado). Así, por ejemplo, como norma general, las Administraciones Públicas no podrán basar sus tratamientos de datos en el consentimiento de los interesados en tanto éstos no gozan de libertad para otorgar dicho consentimiento.

Pero, de manera obvia, pueden existir tratamientos de datos en los que sí pueda basarse el mismo en el consentimiento del interesado en tanto el mismo se otorgue para un servicio opcional al ciudadano.

El documento en este punto introduce un ejemplo muy clarificador. Imaginemos que los ciudadanos pueden suscribirse a un servicio opcional de información que proporciona la Administración Pública. En este caso, el consentimiento es libre dado que el interesado no se ve “obligado” a consentir el tratamiento de datos sino que es libre de aceptar el mismo para poder recibir la información ofertada. 

Otra área en la que suele existir desequilibrio entre las partes es la laboral. Por ello, como norma general, el empleador no podrá basar el tratamiento de datos de sus trabajadores en su consentimiento. No obstante, como sucede en el caso de las Administraciones Públicas, para el caso que los interesados -trabajadores- sí tengan opción de consentir o no consentir sin que exista ningún tipo de perjuicio para ellos, entonces, será posible basar el tratamiento en el consentimiento de los trabajadores.

2.- La granularidad: cuando la base de legitimación sea el consentimiento, deberá otorgarse un  consentimiento diferenciado por cada finalidad de tratamiento de datos. 

La granularidad otorga al interesado la libertad de consentir sólo aquellos tratamientos de datos que quiera -y no se vea obligado a aceptar tratamientos que no desea-. Por ello, a partir de ahora, deberá crearse una casilla y cláusula de consentimiento por cada finalidad de tratamiento.

3.- La definición de consentimiento explícito. 

El WP29 define como consentimiento explícito una declaración expresa de consentimiento, indicando, a continuación, una serie de ejemplos prácticos de lo que debe entenderse por declaración expresa:

  • una declaración escrita (que, en ciertos supuestos, deberá ir firmada).
  • rellenar un formulario electrónico.
  • el envío de un correo.
  • aportar una copia escaneada de un documento en el que conste la firma del interesado.
  • utilizar la firma electrónica.
  • una declaración verbal (aunque pueden existir problemas de prueba).

La cosa se complica cuando el WP29 habla de una posible verificación del consentimiento en dos pasos, que, en la realidad, podría dificultar en cierta manera otorgar este tipo de consentimientos.

4.- El consentimiento debe poder retirarse con la misma facilidad con la que se otorgó. 

El WP29 indica que el hecho que deba poderse retirar el consentimiento con la misma facilidad no implica, en ningún caso, que se exija que deba retirarse por el mismo medio/misma acción por la que se otorgó el consentimiento. Para ello, indica una serie de ejemplos muy interesantes en los que demuestra que lo que exige en realidad el Reglamento sólo es que la forma de retirar el consentimiento tenga la misma facilidad.

  • Si se otorga de forma electrónica con un click, swipe, keystroke, el medio para retirarlo debe ser uno de los anteriores.
  • Si se otorga utilizando una interfaz concreta, la retirada debe poderse realizar por la misma interfaz (página web, app, e-mail, etc.).

5.- Los tratamientos de datos personales no podrán basarse en más de una base legitimadora. 

A pesar de lo indicado de forma literal en el art. 6 RGPD por el que los tratamientos de datos serán lícitos si, al menos, se basan en alguna base legitimadora de las enumeradas, el WP29 ha indicado, de forma expresa, que los tratamientos de datos con una finalidad concreta solo podrán basarse en una base legitimadora, la cual no podrá modificarse a lo largo del tratamiento.

 

Varios temas han quedado sin atender en el Documento los cuales esperamos sean atendidos en el documento definitivo que publique el WP29.

Por último, me gustaría destacar un elemento que se trata en el documento y que, personalmente, considero choca de forma clara con el Proyecto de LOPD. En el documento se habla del consentimiento otorgado por menores (artículo 8 RGPD) y se indica, de forma expresa, que el consentimiento otorgado por menores sólo será válido cuando el tratamiento de datos tenga relación con la oferta de servicios de la sociedad de la información dirigidos a menores. ¿Ello no implicaría que el artículo 7 del Proyecto de LOPD se excede de lo previsto en el RGPD en tanto permite que los menores mayores de 13 años consientan en todos los tratamientos de datos?

Deberemos ver qué sucede en sede parlamentaria y si algún partido político hace algún tipo de reflexión al respecto.


Otros posts que pueden ser de tu interés:

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *