Índice de contenidos
Nuevos criterios del consentimiento en materia de Protección de datos
Hace unos días la European Data Protection Board ha publicado una actualización de sus directrices sobre el consentimiento en el sentido del Reglamento General de Protección de Datos.
Como se dice al inicio del documento han actualizado dos puntos concretos de sus directrices, en concreto los párrafos 38 a 41 y el párrafo 86. Los párrafos 38 a 41 tratan sobre las condiciones para la obtención del consentimiento válido y el párrafo 86 hace referencia a los comportamientos ambiguos que pueden ser entendidos o no cómo la prestación del consentimiento por parte del interesado.
No obstante lo anterior, es conveniente refrescar las ideas básicas que se exponen en esta guía sobre el consentimiento.
Definición de consentimiento
El artículo 4 del RGPD define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Si el sujeto no es realmente libre para elegir, se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido.
Si el consentimiento está incluido como una parte no negociable delas condiciones generales se asume que no se ha dado libremente.
En consecuencia, no se considerará que el consentimiento se ha prestado libremente si el interesado no puede negar o retirar su consentimiento sin perjuicio.
Condiciones para la prestación del consentimiento
La noción de desequilibrio entre el responsable del tratamiento y el interesado también se tiene en cuenta en el RGPD.
En términos generales, el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado (que puede manifestarse de formas muy distintas) que impida que este ejerza su libre voluntad.
El artículo de referencia en esta materia es el 7.4 del RGPD. Este artículo indica que, entre otras cosas, vincular el consentimiento a la aceptación de los términos y condiciones o supeditar el cumplimiento de un contrato o la prestación de un servicio a una solicitud de consentimiento para el tratamiento de datos personales que no son necesarios para la realización de dicho contrato o servicio, resulta muy inapropiado. Si el consentimiento se ha dado en estas circunstancias, se presume que no se ha dado libremente.
La obligación de autorizar el uso de datos personales más allá de lo estrictamente necesario limita las opciones del interesado y le impide ejercer su libre consentimiento. Para evaluar si tiene lugar esa situación de vinculación o supeditación, es importante determinar el alcance del contrato y qué datos serían necesarios para la realización de dicho contrato.
En la primera versión de sus directrices el antes llamado Grupo de Trabajo del artículo 29 decía al respecto que:
«El GT29 opina que no puede considerarse que el consentimiento se haya dado libremente cuando un responsable del tratamiento argumenta que existe la posibilidad de elegir, por una parte, entre su servicio, que incluye el consentimiento del uso de los datos personales con fines adicionales y por otra, un servicio equivalente ofrecido por un responsable del tratamiento diferente. En tal caso, la libertad de elección dependería de cómo actúen otros agentes del mercado y de si cada interesado considera que los servicios que ofrece el otro responsable del tratamiento son realmente equivalentes. Además, conllevaría la obligación de que los responsables del tratamiento hicieran un seguimiento del mercado para garantizar la vigencia de la validez del consentimiento para sus actividades de tratamiento de datos, ya que un competidor podría alterar su servicio en una etapa posterior. Por tanto, utilizar este argumento supone que dicho consentimiento no cumple el RGPD.»
La novedad de la directriz en este punto es incluir este ejemplo de lo que se considera como un consentimiento que no se ha obtenido válidamente:
» Example 6a: A webiste provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the «Accept cookies» button. Since the data subject is not presented with a genuine choice, its consent is not freely given.
This does not constitute consent, as the provision of the service relies on the data subject clicking the «Accept cookies» button, It is not presented with a genuine choice.»
Si el usuario no tiene una opción real de elegir si dar el consentimiento o no, no es un consentimiento libremente aceptado.
Manifestación de la voluntad de manera inequívoca
Una de las características de la regulación establecida por el RGPD es que el consentimiento tiene que manifestarse de manera inequívoca por parte del interesado, ya sea aceptando o rechazando el tratamiento de sus datos personales.
La acción de navegar «scrolling» a través de una página web no se considera bajo ninguna circunstancia que satisface los requerimientos de una «acción clara y afirmativa» en la prestación del consentimiento. Por tanto, perdería validez el mensaje prototípico de «si usted sigue navegando por nuestra web se entiende que presta válidamente su consentimiento».
En base a ello los responsables de los tratamientos tienen que obtener el consentimiento de una manera clara e inequívoca para que se instalen las cookies en el equipo del usuario de su web.
Visita el artículo sobre la ley de cookies europea 2020 y cómo afecta a los sitios web de España con información más actualizada