Uno de los cambios más significativos del Reglamento General de Protección de Datos (en adelante, “RGPD”) es la gestión del consentimiento. En concreto, el consentimiento se regula en el art. 6 – licitud del tratamiento -, en el art. 7 – condiciones para el consentimiento – y, finalmente, en el art. 9 – en relación con el tratamiento de categorías especiales de datos personales. También se alude al mismo, con la finalidad de dotar de mayor claridad a su gestión, a lo largo de los diversos considerandos del RGPD.
¿Cómo debemos solicitar el consentimiento?
Ahora bien, a la hora de solicitar el consentimiento RGPD, ¿Cómo debemos llevar a cabo su recabación para que éste cumpla con todas las garantías que le otorga el reglamento? Ello es importante porque una buena gestión de los consentimientos ayudará a tu compañía a demostrar un fiel cumplimiento con la normativa en materia de protección de datos personales.
Por tanto, una vez se ha determinado que la base que legitima el tratamiento es el consentimiento, desde la compañía deberá implementarse una estrategia para su correcta recabación por parte del interesado. Es importante, además, que la compañía pueda evidenciar a futuro el modo de recogida y las, en su caso, distintas finalidades de tratamiento que se han consentido por el interesado.
En concreto, la gestión del consentimiento RGPD debe cumplir con los siguientes extremos:
- Debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, e inequívoca del interesado de aceptar el tratamiento.
- Debe ser claramente informado de forma previa a su recabación.
- Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos, es decir, se deben facilitar tantos consentimientos como finalidades existan en el tratamiento.
- Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
Es importante puntualizar que el silencio, las casillas premarcadas o la inacción no constituyen consentimiento. El consentimiento debe otorgarse de forma expresa por el interesado, pues cualquier otra forma de recabación no constituye un consentimiento válido o legítimo. Tampoco es válido si la prestación del servicio depende del consentimiento o si no puede garantizarse que sea libremente prestado, por ejemplo, si el interesado no puede retirar el mismo o no goza de una verdadera y libre elección.
Este último punto es muy relevante, sobre todo, cuando nos referimos a tratamiento de datos personales en el contexto “empleado-empresa”. Ello es así porque es poco probable que el consentimiento constituya una base jurídica para el tratamiento de datos en el ámbito laboral, a no ser que los empleados puedan negarse al tratamiento sin consecuencias adversas.
Gestión de revocación del consentimiento RGPD
Finalmente, otro aspecto para tener en cuenta a la hora de su gestión es su revocación, ya que debe poder retirarse en cualquier momento por parte del interesado. El RGPD es muy claro en este aspecto y dispone en su literal que “será tan fácil retirar el consentimiento como darlo”. Una buena práctica sería que la misma vía que se utilice para otorgarlo se utilice también para revocarlo. Es común encontrarnos con un único paso para la recabación del consentimiento, pero tener que pasar por múltiples pasos si posteriormente queremos revocarlo.
A modo de ejemplo, si el consentimiento expreso para el envío de comunicaciones comerciales se recaba mediante un formulario web y se informa que la revocación debe hacerse poniéndose en contacto con un call center los días laborables de 8 a 17 horas, esta práctica no cumpliría con el art. 7.3 RGPD. Retirar el consentimiento en este caso requiere una llamada telefónica durante un horario comercial, lo que resulta más complicado que hacer un click a través de un formulario web habilitado las 24 horas del día, los 7 días de la semana.
En GlobalSuite Solutions, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información a través de nuestro software GlobalSuite®. Además, nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de tratamiento de los datos personales, determinación de bases legales legítimas, gestión de los consentimientos, entre otros, para poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD.