Consentimiento expreso y tácito en el RGPD: ¿cuál es válido?

Autor: Dudatis.com

Consentimiento expreso y tácito en el RGPD: ¿cuál es válido?

Desde la entrada en vigor en 2018 del Reglamento General de Protección de Datos (RGPD), el único consentimiento válido para tratar los datos personales de los interesados, es el consentimiento expreso. En esta entrada vamos a analizar en profundidad el consentimiento expreso y ver en qué lugar ha quedado el consentimiento tácito y si este es aún válido.

El consentimiento en el RGPD

El consentimiento es uno de los principios de la protección de datos recogidos en el RGPD, que nos dice que debe ser una comunicación libre del interesado, en la que acepta el tratamiento de sus datos para un fin concreto, dentro de unas condiciones determinadas y de las que ha sido debidamente informado con carácter previo a dar su consentimiento. Además, el consentimiento debe ser libre, específico, informado e inequívoco.

Hasta la entrada en vigor del RGPD, la anterior LOPD distinguía entre tres tipos de consentimiento: Consentimiento presunto (deducido de las acciones y comportamiento del interesado), consentimiento tácito (deducido de la no actuación para oponerse) y consentimiento expreso (manifestación clara del consentimiento). Pero desde mayo de 2018, el único consentimiento válido es el consentimiento expreso.

El Consentimiento expreso

El consentimiento expreso es el que se otorga de forma explícita, concreta y directa, y que queda registrado de una o varias formas para no dejar lugar a dudas. Una de las maneras más frecuentes de otorgarlo es firmando un documento oficial, de manera que los interesados puedan consultarlo si existe algún desacuerdo en un futuro.

Podemos encontrar una definición de consentimiento expreso en el artículo 4.11 del RGPD, que recoge este principio como: «Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Como decíamos, desde la entrada en vigor del RGPD solo es válido el consentimiento expreso del interesado para poder realizar cualquier tipo de tratamiento de sus datos personales, incluido recibir comunicaciones comerciales o ceder sus datos a terceros.

¿Qué es el Consentimiento expreso?

Según el RGPD el consentimiento expreso «exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio». Este consentimiento existe cuando el usuario debe decir explícitamente que sí (ejemplo: «si deseas que te envíe información comercial, marca esta casilla») o que no, pero en cualquier caso debe realizar una acción. Por lo tanto, en el RGPD el consentimiento tácito ya no es suficiente.

De acuerdo al reglamento de protección de datos el consentimiento expreso debe tener las siguientes características para poder considerarse legítimo:

  • El responsable del tratamiento debe poder demostrar que el interesado dio su consentimiento para el tratamiento de sus datos personales.
  • Si el consentimiento de se presenta en una declaración escrita que haga también referencia a otros asuntos, la solicitud del consentimiento debe poder distinguirse claramente de los otros temas, de forma inteligible y fácil de comprender.
  • El consentimiento podrá revocarse por parte del interesado en cualquier momento.
  • El interesado debe dar su consentimiento en libertad, es decir, no puede supeditarse la prestación de un servicio o la entrega de un bien al otorgamiento del consentimiento para el tratamiento de datos personales que no son necesarios para ello.

¿Cuándo indica el RGPD que debemos conseguir un consentimiento expreso?

El RGPD indica que debemos conseguir el consentimiento expreso de los interesados cuando:

  • Una página web o tienda online recoge datos personales a través de formularios (de contacto, suscripción o de solicitud de presupuestos), debe solicitarse el consentimiento de los usuarios para poder tratar sus datos.
  • Sea necesarios realizar un tratamiento de los datos personas de un menor de edad, se necesita siempre el consentimiento del propio menor, cuando este sea mayor de 13 años, o de los padres o tutores legales, cuando sean menores de 13 años.
  • Se recojan datos biométricos.
  • Se recojan datos de empleados que no sean necesarios para cumplir con las obligaciones derivadas de la relación contractual con la empresa.
  • Se traten datos de la salud de los interesados.
  • El administrador de una comunidad de propietarios tenga que ceder datos de los propietarios a terceros (en ningún caso puede ser el consentimiento de la comunidad propietarios tácito).

¿Cómo solicitar el consentimiento expreso?

Dependiendo del medio y de los interesados, hay diferentes formas de solicitar el consentimiento expreso, si bien, como ya hemos dicho, estas siempre formas deben siempre contemplar la realización de una acción afirmativa del interesado para conceder dicho consentimiento, ya sea marcar una casilla en un formulario web, aceptar las cookies de una web o marcar «sí» en un contrato por escrito.

A continuación veremos diferentes formas de solicitar el consentimiento expreso de manera más detallada, pero aquí podéis ver y descargar un modelo de consentimiento para clientes según normativa de protección de datos.

En páginas web

El Reglamento especifica que, en términos on-line, esa aceptación pueda manifestarse a través del habitual «click» de la casilla informativa, o mediante la elección de parámetros técnicos específicos para usar el servicio de que se trate (por ejemplo, la configuración del almacenamiento de «cookies» en el navegador). No se acepta la inactividad o las casillas marcadas por defecto como consentimiento válido.

Es digno de mención el requerimiento que se hace para los casos de petición de consentimiento por medios electrónicos. Debe ser clara y concreta pero que «no altere inútilmente el uso del servicio para el que se presta». También se incorpora una prevención expresa en favor de los usuarios sobre la polémica «portabilidad» de datos. Los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya pedido el interesado, ni al contrario, es decir, cederlos sin su consentimiento.

Respecto a cómo se debe recabar el consentimiento expreso del destinatario para la recepción de comunicaciones comerciales por correo electrónico, se puede hacer de estas dos formas:

  1. En el marco de un procedimiento de contratación o suscripción a algún servicio que tenga lugar vía web y en el que el destinatario deba facilitar su dirección de correo electrónico, incluyendo en las condiciones generales de contratación una cláusula sobre el consentimiento del destinatario a la recepción de comunicaciones comerciales y solicitando su aceptación junto con el contrato.
  2. Ofreciendo a los usuarios la posibilidad de facilitar su dirección de correo electrónico para recibir información sobre los productos o servicios ofrecidos por la empresa mediante un mensaje y un formulario tipo incluido en su página de Internet.

A menores

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos. Por este motivo, el reglamento establece específicamente que en labores de mercadotecnia, en la confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones especiales, entre las que están:

  • Facilitar la información básica del tratamiento de manera clara y ajustada a su capacidad cognitiva si los servicios van dirigidos específicamente a ellos (principio de transparencia).
  • Asegurar que los plazos mínimos de conservación sean menores a los previstos para un adulto.
  • Otorgar al interesado el derecho a la cancelación de sus datos o revocación del consentimiento cuando se convierta en adulto.
  • También se detalla que no es posible tomar decisiones automatizadas de sus datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.

En el caso particular de padres divorciados, independientemente de que la guarda y custodia del menor en cuestión se atribuya en exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio compartido de la patria potestad o representación legal del menor por parte de ambos padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.

En redes sociales

Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos. El mero hecho de tener un perfil en una red social no autoriza que un tercero pueda reproducirla en un medio de comunicación sin el consentimiento previo del titular. De manera que queda totalmente prohibido publicar fotos sin consentimiento del interesado. Es decir, que no se puede sacar una foto a través del móvil de una persona andando en la calle y colgarla en la web sin el previo consentimiento del afectado. Y no vale utilizar la excusa de que has sacado la foto en un local público. Hay siempre que respetar el límite de la vida privada de cada uno. En ese sentido, tampoco podemos olvidar que si grabar a una persona sin su consentimiento es delito en España, publicar dicho vídeo a través de redes sociales es también un delito que atenta contra el derecho a la intimidad de las personas. Este requisito constituye una especie de «blindaje» a la protección de la intimidad y a la propia imagen.

En casos de recopilación de datos para realizar un sorteo a través de redes sociales, el consentimiento previo es fundamental, por lo que indiscutiblemente, las empresas deben informar a los titulares afectados. Para que la recogida de datos sea legal y posible, deberemos informar a todos los implicados y solicitar su autorización sobre:

  • La finalidad de la recopilación de estos datos.
  • Quién es el destinatario que va a recibir estos datos.
  • El nombre y la dirección del responsable del tratamiento de estos datos.
  • Las consecuencias de la recogida de estos datos.
  • La posibilidad de ejercer los derechos ARCO.

A trabajadores

Cuando los datos personales de los trabajadores que se van a tratar no tienen una finalidad dentro de la relación contractual, es obligatorio solicitar el consentimiento del trabajador para poder hacer ese tratamiento. Además, en el momento de obtener su consentimiento, debe informarles de los derechos de acceso, rectificación y cancelación que la ley les concede, debiendo proporcionar un medio gratuito y fácil de utilizar para el ejercicio de estos derechos.

Así debemos tener en cuenta las siguientes consideraciones:

  • En el tablón de anuncios de la empresa se publican normalmente los turnos de trabajo de los empleados, el calendario de vacaciones, días de permisos, etc. Estas publicaciones incluyen nombres y otras informaciones que permiten identificar a las personas por lo que no pueden hacerse públicas sin el expreso consentimiento de los trabajadores.
  • Se exige que todos los trabajadores firmen una cláusula de información y consentimiento. Ésta quedaría incorporada a sus contratos, en la que se les advierte y permiten que se publique en el tablón la información que les concierne.
  • Está permitido instalar cámaras de videovigilancia que graben a los empleados en su puesto de trabajo. Pero, para ello, se deberán cumplir algunos requisitos. La instalación de cámaras de videovigilancia se limitará a las finalidades previstas en el Estatuto de los Trabajadores ya que éste atribuye al empresario la facultad de dirección, lo que le permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales».
  • No es legal grabar las conversaciones en el centro de trabajo sin el consentimiento expreso de los trabajadores. Si bien, no existe una normativa específica que regule la instalación y utilización de micrófonos como mecanismos de control y vigilancia dentro del centro de trabajo. En virtud de dichas potestades de dirección y control, el empresario puede implantar un sistema de localización de sus flotas y equipos por GPS, sin necesidad de pedir el consentimiento a nadie. Ahora bien, la existencia de esta legitimación legal, no exime a la empresa, en absoluto, de la obligación de informar a los afectados (en este caso, al trabajador) acerca de cuál es el tratamiento de datos que se realizará, cuál es la finalidad que se persigue y qué derechos asisten a los propios trabajadores. Y corresponderá también a la empresa la carga de demostrar, si fuera necesario, que ha dado cumplimiento a este deber de informar.

Sanidad

Los datos de salud son considerados como datos especialmente protegidos y, para poder tratarlos, se exige un consentimiento inequívoco del titular. Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas afectadas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.

Mención aparte tiene el consentimiento informado sobre el tratamiento médico de los pacientes; cualquier profesional de la salud tiene la obligación de informar a sus pacientes del tratamiento que van a recibir, la necesidad de este, si existen alternativas y la posibilidad de revocar en cualquier momento este consentimiento. El consentimiento informado es tanto una protección legal para los pacientes como para los profesionales de la salud y debe ser siempre recabado antes de iniciar cualquier tipo de tratamiento.

Casos en los que no es obligatorio

No se exige el consentimiento del afectado cuando:

  • El tratamiento tenga por finalidad proteger un interés vital del interesado.
  • El tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento se realice por un profesional o por otra persona sujeta asimismo a una obligación de secreto.
  • Se realice una comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud para la atención sanitaria de las personas.
  • Otros supuestos en que por razones de interés general, así lo establezca una Ley.

El Consentimiento tácito

El consentimiento tácito se entiende como aquel que no queda reflejado de forma expresa en medios escritos o físicos, sino también a través de acciones u omisiones indirectas. Es una forma de otorgar consentimiento más relajada, informal e indirecta. Antes de la entrada en vigor del RGPD, en España el consentimiento estaba regulado por la Ley Orgánica de Protección de Datos. De manera que establecía en que circunstancias era necesario recabar el consentimiento de los interesados y distinguía entre diferentes tipos de consentimiento válido, entre ellos el consentimiento tácito.

¿Qué es el Consentimiento tácito?

Según la LOPD el consentimiento tácito se deduce la inacción o del silencio del interesado, de manera que se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no.

¿Se admite el consentimiento tácito actualmente?

Como ya hemos señalado a lo largo de esta entrada, no, actualmente no se admite el consentimiento tácito como válido, ni por el RGPD ni por la actual LOPDGDD, de manera que no puede haber ninguna duda entre el consentimiento expreso o tácito, puesto que el consentimiento debe ser siempre expreso (salvo en aquellas excepciones que ya hemos enumerado más arriba).

Ejemplos de consentimiento tácito

Ejemplos de de consentimiento tácito los teníamos en cláusulas tipo:

  • Si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros.
  • De no recibir indicación contraria, usaremos sus datos para fines comerciales.
  • Acepta recibir información comercial nuestra o de terceros en su correo electrónico.

Otros tipos de consentimiento

Como decíamos, la LOPD también contemplaba otros tipos de consentimiento como válidos:

  • Presunto: El consentimiento presunto se entiende del comportamiento del afectado. Se da, por ejemplo, cuando un entrevistado rellena un formulario con sus datos personales, sin permitir expresamente el almacenamiento de los mismos, pero siendo avisado de las circunstancias referidas a su tratamiento.
  • Revocación: El interesado tiene derecho a revocar el consentimiento a través de una vía sencilla, gratuita y que no suponga ingreso alguno para el responsable del tratamiento de los datos.

Con esto llegamos al final de esta entrada sobre el consentimiento tal y como lo recoge el RGPD; como conclusión debéis quedaros con que siempre se debe contar con el consentimiento expreso del interesado para la recogida y tratamiento de sus datos personales.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.