El concepto de “consentimiento explícito” en el RGPD

Uno de los nuevos conceptos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) ha introducido es el de consentimiento explícito para el tratamiento de los datos personales.

El art. 4.11) RGPD define el concepto “consentimiento” como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos personales.

Si bien en el artículo 6.1.a) RGPD establece como base legitimadora del tratamiento el consentimiento del interesado, en ciertos supuestos, en atención a la especial afectación que pueden tener sobre los derechos y libertades del interesado, se requiere que este consentimiento sea explícito.

El objetivo del presente post es indicar en qué casos el consentimiento debe ser explícito, así como analizar qué debe entenderse por consentimiento explícito.

SUPUESTOS EN LOS QUE DEBE PRESTARSE UN CONSENTIMIENTO EXPLÍCITO

El RGPD establece tres situaciones en las que el interesado debe prestar un consentimiento explícito:

  1. El consentimiento para el tratamiento de categorías especiales de datos personales (art. 9.2.a) RGPD).
  2. El consentimiento para poder ser objeto de una decisión individual automatizada que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar (art. 22.2.c) RGPD).
  3. El consentimiento para que puedan producirse transferencias internacionales de datos a un tercer país u organización internacional (art. 49.1.a) RGPD).

PERO, ¿QUÉ QUIERE DECIR QUE DEBE SER EXPLÍCITO?

El Grupo de Trabajo del Artículo 29 (en adelante, WP29) publicó sus Guidelines on Consent under Regulation 2017/679  en las que aborda el concepto de “consentimiento explícito”, definiéndolo como una declaración expresa de consentimiento.

“El término explícito se refiere a la forma en la que el consentimiento se expresa por parte del interesado. Significa que el interesado debe dar una declaración expresa de consentimiento. Una manera obvia de asegurar que el consentimiento es explícito sería que se confirmara de forma expresa el consentimiento a través de una declaración escrita. Cuando sea apropiado, el Responsable del tratamiento podría asegurarse que el interesado firma una declaración escrita con el objetivo de eliminar cualquier posible duda y potenciar la falta de evidencia en el futuro”

Por lo tanto, vemos como ejemplos de consentimientos explícitos en la Guideline del WP29:

  • Confirmación del consentimiento a través de una declaración escrita.
  • Firma de una declaración escrita.

Las Guidelines van más allá y también abordan cómo obtener un consentimiento explícito en un contexto digital u online. En ese caso, se indican como ejemplos de consentimiento explícito:

  • El envío de una declaración rellenando un formulario electrónico.
  • El envío de una declaración vía correo electrónico.
  • La subida de un documento firmado escaneado.
  • El uso de firma electrónica.

Las Guidelines no se olvidan de la posibilidad de dar el consentimiento explícito de forma verbal. Si bien reconoce que éste puede otorgarse de forma verbal, también destaca el problema que puede conllevar probar que se dieron todas las circunstancias en el momento de la grabación de la declaración a fin de probar que el consentimiento explícito es totalmente lícito.

Por último, las Guidelines también abordan la posibilidad de utilizar la verificación en dos pasos con el objetivo de asegurarse que se obtiene un consentimiento explícito lícito. Para ello, plantea el siguiente ejemplo:

Un interesado recibe un correo notificándole que el responsable quiere tratar sus datos personales médicos. En el correo electrónico, el responsable le solicita al interesado que necesita su consentimiento para el uso de una parte de la información de su historial para una determinada finalidad. Si el interesado acepta el uso de los datos, el responsable le solicita por correo que le responda con una declaración de “Acepto”. Tras la respuesta, el interesado recibe un link de verificación que debe clickarse o un SMS con un código de verificación, para confirmar el acuerdo.

El problema práctico que conlleva esta verificación en dos pasos es bastante claro: comporta un gran esfuerzo por parte del responsable y/o encargado para obtener el consentimiento del interesado.

CONCLUSIONES

En conclusión, conviene indicar que:

  • Debemos entender por consentimiento explícito como aquel consentimiento otorgado por el interesado a través de una declaración expresa.
  • Que son ejemplos de modos de otorgar el consentimiento explícito del interesado:
    • Confirmación del consentimiento a través de una declaración escrita.
    • Firma de una declaración escrita.
    • El envío de una declaración rellenando un formulario electrónico.
    • El envío de una declaración vía correo electrónico.
    • La subida/remisión de un documento firmado escaneado.
    • El uso de firma electrónica.
  • Se reconoce expresamente por el WP29 la posibilidad de otorgar un consentimiento explícito de forma verbal, si bien destaca las posibles dificultades probatorias que pueden existir.
  • El WP29 indica que una forma de asegurarse que el consentimiento explícito es válido es utilizando una verificación en dos pasos.

Otros posts de interés:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *