Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Principales directrices del GT29 sobre el consentimiento informado

Principales directrices del GT29 sobre el consentimiento informado
Elena Gil, abogada Experta en Nuevas Tecnologías.
16/12/2017 06:01
|
Actualizado: 12/4/2022 10:44
|

En esta noticia se habla de:

El pasado 12 de diciembre el Grupo de Trabajo del Artículo 29 (en adelante, “GT29”) ha publicado el borrador de Directrices sobre el consentimiento bajo el Reglamento General de Protección de Datos (RGPD), que amplían la opinión publicada por el propio GT29 en 2011 sobre el consentimiento informado.

El documento recuerda que el consentimiento únicamente legitimará el tratamiento de datos personales cuando los interesados hayan tenido una opción genuina de aceptar o declinar los términos sin consecuencias negativas, es decir, cuando existe un control real de los interesados.

A pesar de que el concepto básico del consentimiento permanezca similar a su definición en la Directiva 95/46, el RGPD introduce elementos de gran relevancia práctica. En relación con ello, las Directrices analizan los elementos del consentimiento.

.- Libre: para que el consentimiento sea libre debe existir una opción real por parte del individuo. Algunas situaciones que destaca el GT29 en las que esta libertad podría estar en entredicho incluyen la existencia de un desequilibro de poder, como por ejemplo, cuando el responsable es una autoridad pública o un empleador, o cuando se haga depender el cumplimiento de un contrato al consentimiento para tratar datos con finalidades no necesarias para ejecutar dicho contrato (debiéndose entender el término “necesario” de modo estricto).

En este caso, además, el GT29 considera que el responsable debe cumplir un alto nivel de cuidado para evitar estas situaciones, en línea con el principio de responsabilidad proactiva. Por último, no se cumplirá el requisito de libertad cuando la denegación o retirada del consentimiento acarree consecuencias negativas para el interesado.

.- Específico: el GT29 enfatiza la importancia de que las finalidades del tratamiento permanezcan específicas y no puedan difuminarse o ampliarse una vez que el sujeto ha consentido a la recogida de datos (lo que denomina el riesgo de “desviación de uso” –function creep). De igual forma, se señala la necesidad de que el consentimiento sea granular, de modo que exista una opción de consentir para cada finalidad. Todo ello debe ir acompañado de información específica y separada para cada uno de los consentimientos. Este hecho será de relevancia fundamental a la hora de desarrollar casillas para recabar el consentimiento en línea o idear otras formas de recabarlo.

.- Informado: el documento señala la especial relevancia de este aspecto, relacionado con el principio de transparencia, llegando a indicar que, si el responsable no proporciona información accesible, el control del individuo se torna ilusorio y el consentimiento no será válido. El GT29 señala el contenido mínimo de información necesaria e indica que habrá situaciones en las que deba ser ampliada para garantizar que el usuario comprende realmente las operaciones de tratamiento.

Además, el GT29 indica que, a la hora de presentar la información, el consentimiento debe quedar claramente diferenciado, sin ser válido que sea un mero párrafo dentro de los términos y condiciones. Además, también tiene en cuenta la experiencia de los usuarios y del producto cuando indica que, en pantallas pequeñas u otros soportes en los que no exista suficiente espacio para presentar la información, su recomendación es acudir a la información por capas.

.- Manifestación de voluntad inequívoca: el GT29 indica que el concepto de “clara acción afirmativa” implica la realización de una acción deliberada para mostrar conformidad con un tratamiento particular de datos personales. El responsable tendrá libertad para implementar la forma que más se adapte a su organización, aunque el documento propone las siguientes: deslizar el dedo por una pantalla, moverse ante una cámara inteligente o mover el teléfono de formas determinadas tales como el sentido de las agujas del reloj o realizando la figura de un ocho.

Por el contrario, algunas acciones que no servirán para manifestar de forma inequívoca el consentimiento son desplazarse hacia abajo por la pantalla o pasar pantallazos de términos y condiciones (aunque la redacción de dichos términos y condiciones indique que deslizarse por la pantalla supondrá consentimiento), ya que el sujeto puede simplemente desplazarse por la pantalla a través de los largos textos sin que desee manifestar conformidad. También manifiesta el GT29 que no será válido el consentimiento obtenido mediante la misma acción por la que se acepta un contrato o unos términos y condiciones generales.

Se vuelve a hacer hincapié en que la solicitud de consentimiento no debe ser innecesariamente molesta, reconociendo no obstante que en ocasiones sí será necesario que dicha solicitud interrumpa la experiencia de usuario para resultar efectiva. En todo caso, recuerda, debe ser el responsable quien demuestre que obtuvo el consentimiento y debe poderse retirar de forma sencilla.

Finalmente, se señala que a pesar de que el RGPD no lo indique expresamente, parece implícito que el consentimiento debe ser recabado antes del inicio del tratamiento de los datos.

 Por su parte, será necesario un consentimiento explícito para tratar categorías especiales de datos (art. 9), para las transferencias internacionales de datos (art. 49) o para la toma de decisiones individuales automatizadas (art. 22).

Ahora bien, si una clara acción afirmativa es el estándar del consentimiento “normal”, es necesario elevar el umbral para cumplir con el requisito de consentimiento explícito. Algunos de los medios para ello podrían consistir en la firma, rellenar un formulario electrónico, enviar un email, enviar un documento escaneado con la firma del sujeto, o utilizar la firma electrónica.

También podrán utilizarse medios orales, pero en este extremo el GT29 destaca la mayor dificultad de guardar un medio de prueba de la obtención del consentimiento. Además, se alude a la verificación en dos fases y se incluye un ejemplo de cómo efectuarlo.

En cuanto a la retirada del consentimiento, el RGPD no impone que deba realizarse a través del mismo medio que la prestación de este, pero sí indica que ambos procedimientos deban ser de igual sencillez (por ejemplo, un clic o pasar el dedo por la pantalla). No obstante, el GT 29 añade que si el consentimiento se prestó en una interfaz específica de servicio de usuario (como una web, una app o un dispositivo del internet de las cosas), “no hay duda de que el sujeto deberá poder retirar el consentimiento a través de la misma interfaz electrónica”.

Una vez retirado el consentimiento, el responsable deberá cesar en el tratamiento y, salvo que exista otra base que legitime el almacenamiento de los datos durante un tiempo mayor, deberá eliminar o anonimizar los datos. En cualquier caso, no implica que el responsable deba eliminar los datos cuyo tratamiento se basa en la ejecución de un contrato con el interesado. Ello conlleva que los responsables tengan claro, desde el principio, qué base legitima cada tratamiento y cuál es la finalidad de cada uno. Asimismo, si tras la revocación del consentimiento el responsable desea migrar a otra base legitimadora, no podrá hacerlo de manera “silenciosa”, sino que deberá informar al interesado de acuerdo con el art. 13.

En relación con todo ello, es especialmente importante lo indicado por el GT29 sobre que la elección de la base que legitimará el tratamiento (ya sea consentimiento u otra) debe ser elegida antes de comenzar el tratamiento, y que, como normal general, el tratamiento realizado para una finalidad concreta no podrá sostenerse en varias bases alternativas (aunque, en la medida en que cada dato pueda utilizarse para diferentes fines, su tratamiento sí podrá sostenerse en diferentes bases).

En este contexto, el responsable no podrá ir cambiando la base de legitimación durante el proceso de tratamiento de los datos. Por ejemplo, el responsable no podrá considerar con carácter retroactivo que un tratamiento de datos concreto estaba basado en el interés legítimo cuando se enfrenta a un problema de validez del consentimiento. Esta interpretación puede tener importantes consecuencias prácticas para los responsables, que deberán asegurarse de tener mecanismos muy fuertes que garanticen la validez del consentimiento.

Por último, se señalan diversas cuestiones sobre algunas áreas problemáticas como el consentimiento de los niños y con fines de investigación científica que merecen atención en caso de que el responsable actúe en alguno de estos ámbitos.

 

Otras Columnas por Elena Gil:
Últimas Firmas
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
  • Opinión | ¿La Justicia es una lotería?
    Opinión | ¿La Justicia es una lotería?
  • Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena
    Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena