GDPR 3. El consentiment explícit
Josep Aragonés Salvat 23/07/2016
Obtenció del consentiment al nou Reglament (GDPR)
El principi més fonamental d'un tractament és la lleialtat i transparència amb l'interessat. El GDPR deixa molt clar que el tractament de dades personals ha de basar-se, de forma general, en el consentiment lliure, informat, específic i inequívoc de l'interessat. A diferència de la LOPD, on el consentiment podia ser tàcit, el GDPR requereix una declaració o acció positiva de l'interessat que indiqui la seva conformitat amb el tractament.
Amb la LOPD, el consentiment tàcit (en dades de nivell bàsic), requeria oferir informació a l'interessat en qualsevol comunicació, d'aquí les clàusules LOPD en tots els documents que contenien dades personals: correus electrònics, pressupostos, factures, cartes, etc. El GDPR requereix el consentiment explícit per a qualsevol tipus de dades i, a més verificable, cosa que comporta per al Responsable del tractament que ha de ser capaç de demostrar que l'interessat ho ha consentit.
Requisits del consentiment
Els requisits perquè un consentiment sigui considerat vàlid són:
- Informació específica: El consentiment ha de ser específic i basat en informació adequada. No és acceptable el consentiment genèric sense especificar el propòsit exacte de la seva finalitat.
- Moment: El consentiment s'ha de donar abans que comenci el tractament.
- Elecció activa: El consentiment ha de ser inequívoc. Ha de ser una indicació activa de la voluntat de l'interessat i no ha de deixar cap dubte quant a la seva intenció.
- Lliurement atorgat: El consentiment només serà vàlid si l'interessat està en condicions d'exercir una elecció real i no hi ha risc d'engany, intimidació, coacció o conseqüències negatives importants si l'interessat no dóna el consentiment.
Condicions del consentiment
Les condicions perquè un consentiment sigui considerat vàlid són:
- El Responsable del tractament assumirà la prova del consentiment. Si aquest es realitza per escrit, s'ha de distingir clarament d'altres assumptes.
- El consentiment no serà lícit si es condiciona a una prestació de serveis sense ser necessari per a la seva realització.
- El Responsable del tractament ha d'informar a l'interessat, abans de donar el seu consentiment, que té dret a retirar-lo en qualsevol moment sense que afecti el tractament efectuat fins aleshores.
- Ha de ser tan fàcil retirar com donar el consentiment.
- Els consentiments que infringeixin parcialment el Reglament seran considerats nuls.
Licitud del tractament en el nou Reglament (GDPR)
El Reglament disposa que el tractament només serà lícit quan hi hagi:
- El consentiment explícit per a fins específics.
- Un contracte o precontracte amb l'interessat.
- La necessitat de la protecció dels interessos vitals de la persona interessada o una altra persona física.
- Un interès legítim del Responsable del tractament o de tercers, sempre que no prevalguin els interessos o els drets i llibertats de la persona interessada, especialment si és un nen.
- Una procedència legítima d'arxius d'accés públic obtinguts d'una font pública o si l'interessat hagi fet manifestament públiques les seves dades.
- Una obligació jurídica a la qual estigui subjecte el Responsable del tractament.
- Una comesa d'interès públic fonamentat en la legislació vigent.
Licitud per a tractaments amb fins diferents de l'inicialment informat
En aquest cas, el Reglament disposa que només serà lícit si és compatible amb la finalitat inicial i hi ha una relació entre:
- Les finalitats del tractament.
- L'entorn del Responsable del tractament i els interessats.
- La categoria de dades.
- Les possibles conseqüències per a l'interessat.
- La protecció de dades (xifrat, seudonimización, etc.).
Tractament de dades de nens
- L'oferta directa de Serveis de la societat de la informació a menors de 16 anys (màxim 13 segons estableixi cada Estat de la UE) s'ha d'obtenir amb el consentiment del seu representant legal.
- La informació del tractament dirigida a un menor s'ha de facilitar amb un llenguatge clar, senzill i adequat al receptor.
Seguiment del curs Expert en el GDPR
Tema anterior: 2. Els principis del tractament Tema següent: 4. La informació del tractament
Informació relacionada