ARTÍCULO 6, APARTADO 1, LETRA A), DEL RGPD
El consentimiento es una de las bases jurídicas del RGPD
El consentimiento es una de las bases legales del RGPD que las empresas pueden usar al procesar datos personales. El artículo 6, apartado 1, letra a), del Reglamento General de Protección de Datos (RGPD) establece esta base jurídica.
Información sobre el consentimiento como base jurídica
El interesado puede dar su consentimiento para un procesamiento de datos personales verbalmente o por escrito. Sin embargo, dado que el RGPD requiere que las empresas demuestren que cumplen con la regulación, es mejor obtener el consentimiento por escrito. También son más fáciles de probar.
El consentimiento es una de las seis bases legales para los procesos de datos personales. Esto significa que no es un requisito para obtener el consentimiento para procesar datos personales. De hecho, ni siquiera siempre es apropiado o permisible llevar a cabo el procesamiento de datos personales sobre la base del consentimiento.
Requisitos para los consentimientos válidos en virtud del RGPD
El consentimiento es una de las bases legales del RGPD que una empresa puede usar para procesar datos personales. Para que los consentimientos sean válidos de acuerdo con el RGPD, deben cumplir con criterios específicos, como se describe a continuación.
Criterio para el consentimiento válido
El consentimiento debe ser consciente, voluntario y presentado activamente para ser válido bajo el RGPD.
Para que un consentimiento sea consciente, la empresa debe informar a los interesados sobre el procesamiento. El propósito es que los interesados conozcan los detalles sobre el procesamiento. Por ejemplo, qué categorías de datos personales procesará la empresa, cuál es el propósito del procesamiento. También es importante informar a los interesados sobre cómo pueden retirar su consentimiento dado. Tenga en cuenta que la retirada del consentimiento debe ser gratuita. Además, debería ser tan fácil revocarlo como dar su consentimiento.
Además, los consentimientos deben ser voluntarios y darse sin influencia externa. Cuando existe una relación de poder desigual y el interesado es la parte más débil, se considera que el interesado no puede dar su consentimiento voluntario. Por ejemplo, en la relación entre un empleador y un empleado, o una autoridad y ciudadanos. En tales casos, el empleador no utilizará el consentimiento como base jurídica para el tratamiento de los datos personales del interesado. Esto se debe a que el interesado no puede atreverse a negar el consentimiento por temor a perder su empleo u otra consecuencia, ya que se encuentra en una posición de poder más débil. Por lo tanto, la base jurídica de la ejecución de un contrato con el interesado puede ser más adecuada.
Además, el interesado debe dar su consentimiento activamente. Un consentimiento activo significa que el interesado da una indicación inequívoca de sus deseos. Por ejemplo, marcando activamente una casilla para obtener el consentimiento para un tratamiento específico de datos personales. Si la casilla ya está marcada, el interesado no ha dado su consentimiento activo. Por lo tanto, dicho consentimiento no es válido. No se puede considerar que el interesado haya dado su consentimiento a nada por inacción. Más bien, requiere una acción activa del interesado. No es una acción pasiva. El hecho de que el interesado no diga «no» no significa un «sí» a una operación de tratamiento. El interesado debe dar su consentimiento activo para un procesamiento de datos personales, para que el consentimiento sea válido.
Los «modelos de consentimiento o pago» en los servicios en línea a menudo no cumplen los requisitos para un consentimiento válido
El Comité Europeo de Protección de Datos (CEPD) señaló que los «modelos de consentimiento o pago» en los servicios en línea, como las redes sociales, a menudo no cumplen los requisitos para un consentimiento válido en virtud del RGPD. Esto es en el entendimiento de que a los usuarios solo se les dará la opción entre dos alternativas.
- Las dos alternativas son a menudo:
- el usuario consiente el tratamiento de sus datos personales con fines de marketing dirigido; o
- el usuario pagará por que sus datos personales no se utilicen para dicha comercialización.
Según el CEPD, las plataformas en línea también deben ofrecer una posibilidad gratuita de rechazar la comercialización dirigida. Esto se debe a que muchos usuarios quieren evitar el pago. Por esta razón, tienden a optar por dar su consentimiento para el marketing dirigido. Esto se hace sin que el interesado entienda realmente cómo se procesan sus datos personales en tales casos.
Información que debe facilitarse a los interesados al dar su consentimiento
El consentimiento es una de las bases legales del RGPD que una empresa puede usar para procesar datos personales. En relación con el consentimiento de una persona para el tratamiento de sus datos personales, debe indicarse cierta información sobre el tratamiento. Este es un requisito para que el consentimiento sea consciente.
- Entre otras cosas, se facilitará al interesado la siguiente información:
- La persona o personas responsables (responsables del tratamiento, encargados del tratamiento y responsables de la protección de datos).
- La finalidad del tratamiento de los datos personales.
- Qué categorías de datos personales procesará la empresa en función del consentimiento.
- Cómo puede el interesado retirar el consentimiento prestado.
- Si la empresa utiliza los datos personales para decisiones individuales automatizadas y elaboración de perfiles.
- Si la empresa transfiere los datos personales a un tercer país (es decir, un país fuera del área de la UE / EEE) y qué riesgos conlleva.
En algunos casos, las empresas necesitan obtener el consentimiento explícito
El requisito del consentimiento explícito significa que el interesado debe expresar claramente su consentimiento. Por ejemplo, a través de una firma, firma electrónica o certificación de varios pasos. Esto puede ser hecho, por ejemplo, por el interesado que responde activamente a un correo electrónico y luego recibe un código por SMS para ser activado para que se dé el consentimiento. Cuantos más datos personales sensibles procese una empresa, mayores serán las obligaciones que tenga la empresa.
- Es posible que se requiera el consentimiento explícito si la empresa:
- Procesar datos personales sensibles, como datos relativos a la salud o las creencias religiosas.
- Transferir datos personales a un tercer país.
- Realizar la elaboración de perfiles o la toma de decisiones individual automatizada.
Consentimiento de los niños
Los menores podrán, en su caso, dar legalmente su consentimiento para el tratamiento de sus datos personales. Por ejemplo, en el caso de los servicios de la sociedad de la información, como las redes sociales. Según el RGPD, el límite de edad en estos casos es de 16 años. Si el niño es menor de 16 años, el tutor debe dar su consentimiento. Sin embargo, cada país tiene derecho a reducir su edad, como lo han hecho varios países. Finlandia y Suecia han reducido la edad a 13 años.
Tenga en cuenta que los requisitos son más altos cuando las empresas procesan datos personales de niños. Por ejemplo, la empresa debe escribir la información sobre el procesamiento en un lenguaje simple y fácil de entender.
En Italia, una niña de 10 años había logrado crear múltiples cuentas de usuario sin el consentimiento del tutor en una plataforma de redes sociales conocida. Esto infringe las leyes aplicables. La niña murió más tarde, lo que llevó a la Autoridad Italiana de Protección de Datos a iniciar una investigación contra la compañía y luego también contra otras redes sociales.
En Holanda, una empresa internacional, que ejecuta una aplicación móvil con muchos niños como usuarios, había informado sobre el procesamiento de datos de personal en inglés, que no era el idioma nacional. Por lo tanto, la empresa tuvo que pagar una multa. Es importante que los niños comprendan la información sobre el procesamiento de sus datos personales.
Relaciones de poder desiguales
En la mayoría de los casos, cuando existe una relación de poder desigual entre el controlador y el interesado, donde el controlador mantiene la posición de poder más fuerte.
Por ejemplo, cuando un empleador procesa los datos personales de un empleado. En tales casos, es más adecuado utilizar el contrato como base jurídica para el tratamiento de los datos personales necesarios para la ejecución del contrato de trabajo. Existen otras bases jurídicas en virtud del artículo 6 del RGPD. El consentimiento es solo una de las seis bases legales del RGPD que una empresa puede usar para el procesamiento de datos personales. Es importante que la empresa analice qué base legal utilizar antes de iniciar el procesamiento.
MÁS INFORMACIÓN SOBRE LAS BASES LEGALES Y LEGALES DEL RGPD
El contrato con los interesados es otra base jurídica
Es importante recordar que la protección de intereses vitales es una base legal bajo el RGPD y que hay cinco bases legales más. Las empresas tienen derecho a procesar los datos personales que sean necesarios para la ejecución de un contrato con el interesado. Esta es otra base legal del RGPD. Una empresa que lleva a cabo comercio electrónico puede tratar la información de contacto del cliente para entregarle los productos. Sin embargo, la empresa no tiene derecho a procesar más datos personales de los necesarios para la ejecución del contrato.