GDPR 3. El consentimiento explícito


Josep Aragonés Salvat     23/07/2016


Obtención del consentimiento en el nuevo Reglamento (GDPR)


El principio más fundamental de un tratamiento es la lealtad y transparencia con el interesado. El GDPR deja muy claro que el tratamiento de datos personales debe basarse, de forma general, en el consentimiento libre, informado, específico e inequívoco del interesado. A diferencia de la LOPD, donde el consentimiento podía ser tácito, el GDPR requiere una declaración o acción positiva del interesado que indique su conformidad con el tratamiento.

Con la LOPD, el consentimiento tácito (en datos de nivel básico), requería ofrecer información al interesado en cualquier comunicación, de aquí las cláusulas LOPD en todos los documentos que contenían datos personales: correos electrónicos, presupuestos, facturas, cartas, etc. El GDPR requiere el consentimiento explícito para cualquier tipo de datos y además verificable, lo que comporta para el Responsable del tratamiento debe ser capaz de demostrar que el interesado lo ha consentido.

Requisitos del consentimiento


Los requisitos para que un consentimiento sea considerado válido son:

  • Información específica: El consentimiento debe ser específico y basado en información adecuada. No es aceptable el consentimiento genérico sin especificar el propósito exacto de su finalidad.
  • Momento: El consentimiento debe darse antes de que comience el tratamiento.
  • Elección activa: El consentimiento debe ser inequívoco. Debe ser una indicación activa de la voluntad del interesado y no debe dejar ninguna duda en cuanto a su intención.
  • Libremente otorgado: El consentimiento sólo será válido si el interesado está en condiciones de ejercer una elección real y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas importantes si el interesado no da su consentimiento.

Condiciones del consentimiento


Las condiciones para que un consentimiento sea considerado válido son:

  • El Responsable del tratamiento asumirá la prueba del consentimiento. Si éste se realiza por escrito, deberá distinguirse claramente de otros asuntos.
  • El consentimiento no será lícito si se condiciona a una prestación de servicios sin ser necesario para su realización.
  • El Responsable del tratamiento informará al interesado, antes de dar su consentimiento, que tiene derecho a retirarlo en cualquier momento sin que afecte al tratamiento efectuado hasta entonces.
  • Debe ser tan fácil retirar como dar el consentimiento.
  • Los consentimientos que infrinjan parcialmente el Reglamento serán considerados nulos.

Licitud del tratamiento en el Reglamento (GDPR)


El Reglamento dispone que el tratamiento sólo será lícito cuando exista:

  • El consentimiento explícito para fines específicos.
  • Un contrato o precontrato con el interesado.
  • Una obligación legal a la que esté sujeto el Responsable del tratamiento.
  • La necesidad de la protección de los intereses vitales del interesado u otra persona física.
  • Un interés legítimo del Responsable del tratamiento o de terceros, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, especialmente si es un niño.
  • Un cometido de interés público fundamentado en la legislación vigente.



Licitud para tratamientos con fines distintos del inicialmente informado


En este caso, el Reglamento dispone que solo será lícito si es compatible con el fin inicial y existe una relación entre:

  • Las finalidades del tratamiento.
  • El entorno del Responsable del tratamiento y los interesados.
  • La categoría de datos.
  • Las posibles consecuencias para el interesado.
  • La protección de datos (cifrado, seudonimización, etc.).

Tratamiento de datos de niños

  • La oferta directa de servicios de la Sociedad de la información a menores de 16 años (máximo 13 según establezca cada Estado de la UE) deberá obtenerse con el consentimiento de su representante legal.
  • La información del tratamiento dirigida a un menor deberá facilitarse con un lenguaje claro, sencillo y adecuado al receptor.

Seguimiento del curso Experto en el GDPR


Tema anterior: 2 Los principios del tratamiento Tema siguiente: 4. La información del tratamiento



Información relacionada