El Reglamento General de Protección de Datos (GDPR) es ahora la base de la legislación de protección de datos en línea. Dado que regula todos los datos personales de los ciudadanos de la UE, el Reglamento no solo es aplicable a las organizaciones con sede en la UE. De hecho, cualquier sitio web al que un ciudadano de la UE pueda acceder potencialmente debe cumplir con los estándares GDPR
Eso es especialmente relevante para los requisitos de consentimiento de GDPR.
El consentimiento es el núcleo del RGPD. El objetivo principal del Reglamento es otorgar a los ciudadanos de la UE un mayor poder sobre sus datos personales. Eso significa saber lo que se recopila y poder pedir que se borre.
Pero, ¿cuáles son los requisitos de consentimiento inicial? ¿Y cómo los conoces?
¿Qué es un consentimiento válido y activo?
El consentimiento es un concepto simple: debe pedir permiso para obtener o recopilar datos de una persona. Según el artículo 4 del RGPD, el consentimiento se define como:
«Consentimiento del interesado significa cualquier manifestación de voluntad libre, específica, informada e inequívoca por la cual él, mediante una declaración o una clara acción afirmativa, manifiesta su acuerdo con el procesamiento de datos personales que le conciernen».
Eso establece algunos fundamentos:
- El consentimiento debe ser otorgado libremente por la persona cuyos datos son.
- El consentimiento no puede ser coaccionado o engañoso: el sujeto debe comprender completamente a qué está dando su consentimiento.
- El sujeto debe dar su consentimiento activo, es decir, no se permite el consentimiento pasivo o el consentimiento por silencio, por lo que el uso de un sitio web se toma como consentimiento.
Si no se sigue alguno de estos fundamentos, entonces el consentimiento no se considera válido. Eso abre a las organizaciones a multas y sanciones significativas.
De hecho, Google violó las condiciones de consentimiento. Como resultado, fueron golpeados con una multa de € 50 millones. Las autoridades francesas de protección de datos dijeron que el mecanismo de consentimiento de Google no era ni «informado» ni «inequívoco» o «específico».
¿Cuáles son las condiciones para el consentimiento?
El RGPD aclara la definición de consentimiento, en el artículo 7, al proporcionar las condiciones necesarias para el consentimiento (las áreas en negrita resaltan los puntos clave):
- Cuando el tratamiento se base en el consentimiento, el responsable del tratamiento deberá poder demostrar que el interesado ha dado su consentimiento para el tratamiento de sus datos personales.
- Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiere a otros asuntos, la solicitud de consentimiento se presentará de manera que se distinga claramente de los demás asuntos, de forma inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. Cualquier parte de dicha declaración que constituya una infracción del presente Reglamento no será vinculante.
- El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento antes de su retirada. Antes de dar su consentimiento, se informará de ello al interesado. Será tan fácil retirarse como dar su consentimiento.
- Al evaluar si el consentimiento se otorga libremente, se tendrá en cuenta en la mayor medida posible si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, está supeditada al consentimiento para el tratamiento de datos personales que no sean necesarios para la ejecución de dicho contrato.
Estas aclaraciones añaden más advertencias a los criterios de consentimiento del RGPD, a saber:
- Las personas pueden retirar su consentimiento en cualquier momento.
- El consentimiento debe ser demostrable.
- Debe quedar claro lo que una persona está consintiendo cuando se incluyen otros asuntos.
- Los contratos solo deben contener el consentimiento para la recopilación de datos pertinentes.
Esto permite que el GDPR siga cumpliendo con otra legislación de la UE, como el Derecho al olvido.
¿Cómo se puede dar libremente el consentimiento?
«Dar libremente» consentimiento significa hacerlo sin coerción. Sin embargo, el GDPR va más allá. El considerando 42 dice: «El consentimiento no debe considerarse otorgado libremente si el interesado no tiene una elección genuina o libre o no puede denegar o retirar el consentimiento sin perjuicio». La última cláusula extiende el consentimiento para abarcar acuerdos en los que una pérdida financiera significativa impide que una persona se niegue.
Además, a medida que avanza el considerando 43, debe prestarse un consentimiento libremente dado para cada operación de tratamiento de datos. Por ejemplo, usar una dirección de correo electrónico para marketing y una dirección IP para análisis web. Ninguno de los dos puede ser encapsulado en un solo consentimiento.
¿Cómo es el consentimiento específico e inequívoco?
El primer ejemplo destaca otro aspecto clave: la especificidad. El consentimiento no debe ser más amplio de lo necesario y debe explicar cada uso de datos por separado.
Por lo tanto, se debe explicar el uso de datos con fines de marketing, seguido de análisis web. Esto permite que el propietario de los datos esté completamente informado sobre las consecuencias del consentimiento.
Tampoco puede el consentimiento ser inequívoco, por ejemplo, «silencio, casillas marcadas previamente o inactividad». En cambio, el consentimiento debe indicar claramente la aceptación de los términos por parte del interesado.
¿Cómo se informa el consentimiento?
Esta es una de las trampas más comunes de los formularios de consentimiento. Como establece el GDPR, el consentimiento debe estar escrito en «una forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo». Eso significa que las organizaciones no pueden disfrazar los formularios de consentimiento con jerga técnica difusa y engañosa o jerga legal.
Más bien, cualquiera debe ser capaz de entender el formulario de consentimiento independientemente de la experiencia previa.
Esto fue particularmente importante en el caso de Google. Aquí, las autoridades francesas discreparon con la dilución de la información sobre las operaciones de procesamiento para la personalización de anuncios. Por lo tanto, sin la información adecuada, el interesado no podría dar su consentimiento informado.
Conclusión
El consentimiento de datos es comprensiblemente complejo. De hecho, uno de cada cinco encuestados informó que el cumplimiento completo de GDPR es «imposible».
Ese simplemente no es el caso.
Más bien, escriba sus formularios de consentimiento en un lenguaje claro y fácil de entender, en el que explique los datos recopilados y para qué se utilizarán, delineando claramente cada uso. Luego, proporcione una opción para que los interesados rescindan su consentimiento.
Para más información, véase el Reglamento de 88 páginas .
Fuentes:
https://gdpr.eu/what-does-it-stand-for/
https://gdpr.eu/gdpr-consent-requirements/
https://www.gdpreu.org/the-regulation/key-concepts/consent/