Un consentimiento debe ser voluntario y darse activamente para que sea válido en virtud del Reglamento General de Protección de Datos (UE) 2016/679. El consentimiento es una de las seis bases legales que una empresa puede utilizar al procesar datos personales. Algunas personas creen que se requiere consentimiento para procesar datos personales, pero esto no es cierto.
El tratamiento de datos personales puede tener lugar sobre la base de otra base jurídica de conformidad con el artículo 6 del RGPD. Además, un interesado puede dar su consentimiento oralmente o por escrito. Sin embargo, siempre es mejor para la empresa obtener el consentimiento por escrito. Esto se debe a que son más fáciles de probar en caso de una disputa o supervisión.
Se deben cumplir los siguientes requisitos para que un consentimiento se considere voluntario y se otorgue activamente:
Debe ser un consentimiento voluntario, no solo dado activamente
Para que una persona pueda dar su consentimiento libre y voluntariamente a un tratamiento particular de sus datos personales, debe tener la opción de no dar su consentimiento. En otras palabras, no debe haber consecuencias para el interesado si no se otorga el consentimiento para el tratamiento de datos personales.
Además, el interesado no ha dado un consentimiento válido cuando el responsable del tratamiento se encuentra en una posición de poder más fuerte que el interesado. Por ejemplo, este es el caso en la relación entre empleadores contra empleados, autoridades contra ciudadanos o similares.
Estos son algunos ejemplos de cuando un interesado no ha dado su consentimiento voluntario de acuerdo con el RGPD:
● Obligatorio: si el requisito de dar su consentimiento es una parte obligatoria de un contrato;
● Influenciado: si la empresa o un tercero ha influido en el interesado para que dé su consentimiento;
● Consecuencias negativas: si tiene consecuencias negativas para el interesado porque no da su consentimiento a un tratamiento concreto de datos personales.
También debe ser un consentimiento dado activamente, no solo voluntario
De acuerdo con las disposiciones actuales del RGPD, un consentimiento pasivo no es válido. En otras palabras, el interesado debe dar activamente su consentimiento para el tratamiento de datos personales. Por lo tanto, el consentimiento no es válido si un interesado no responde activamente a una solicitud de consentimiento.
Las empresas no pueden imponer ningún requisito al interesado en relación con la recopilación de su consentimiento. Esto se denomina «envasado» en virtud del RGPD y, en la mayoría de los casos, no está permitido. En resumen, el envasado significa que el interesado debe, directa o indirectamente, realizar una contraprestación por el servicio o producto. Ejemplos de contraprestación pueden ser aceptar términos de uso u otros términos comerciales. Por lo tanto, la empresa combina el consentimiento con otros compromisos. Si las condiciones no son necesarias, esto significa que el consentimiento no es voluntario. Como resultado, el consentimiento no es válido de acuerdo con el RGPD.
Sin embargo, existen otras bases legales que son más apropiadas de usar si el procesamiento es necesario para el uso de un servicio o producto. Por ejemplo, la base jurídica de los contratos de conformidad con el artículo 6, apartado 1, letra b), del RGPD puede ser aplicable en tales situaciones.
Más requisitos para que un consentimiento dado se considere válido
El interesado dará su consentimiento específico, voluntario, informado e inequívoco al tratamiento. Este es un requisito de conformidad con el artículo 7 del RGPD, para que el consentimiento sea válido.
●Consentimiento específico
La empresa facilitará información sobre la finalidad del tratamiento de los datos personales. A veces, la empresa puede querer procesar los mismos datos personales para diferentes fines. En estos casos, la empresa dará al interesado la oportunidad de dar su consentimiento a los fines por separado. La empresa no debe agrupar diferentes propósitos para el procesamiento bajo el mismo consentimiento, ya que resultará en un consentimiento no válido.
● Consentimiento voluntario
Cuando se da a un interesado la oportunidad de dar su consentimiento para un determinado tratamiento de datos personales, no debe haber consecuencias negativas si no desea darlo. En otras palabras, la persona debe tener la oportunidad de decir no al procesamiento. Y, por lo tanto, no dar su consentimiento para el procesamiento de sus datos personales sobre la base del consentimiento como base legal.
En algunos casos, puede haber una relación de poder desigual entre el interesado y el responsable del tratamiento. Si este es el caso, el interesado no habrá dado su consentimiento voluntario de acuerdo con el RGPD.
Por ejemplo, existe una relación de poder desigual entre un empleador y un empleado. En tales casos, el empleado se encuentra en una posición más débil que el empleador. Por lo tanto, el consentimiento no es, en la mayoría de los casos, una base jurídica adecuada para su uso.
● Consentimiento informado
Las empresas deben proporcionar información sobre el procesamiento de datos personales antes de que una persona dé su consentimiento para el procesamiento en cuestión. Además, la información debe ser suficiente y clara. Por ejemplo, la información debe especificar qué datos personales procesará la empresa y cómo el interesado puede retirar el consentimiento. La información también debe indicar si la empresa transferirá los datos personales a un tercer país (es decir, un país fuera del área de la UE / EEE).
● Consentimiento inequívoco
Una persona no puede dar su consentimiento siendo silenciosa o pasiva. Un ejemplo de un consentimiento no válido es si una empresa tiene una casilla de consentimiento marcada previamente. Otro ejemplo es si una empresa declara que utiliza cookies en su sitio web si el visitante continúa navegando allí.
Retirada del consentimiento
Lo siguiente también es muy importante tener en cuenta. Debería ser tan fácil retirar el consentimiento como darlo. Si es demasiado difícil para el interesado retirar el consentimiento, el consentimiento no es válido. El consentimiento del interesado debe ser tanto voluntario como activo y revocarse fácilmente. Cuando un interesado retira su consentimiento, tampoco debe costarle nada. Por lo tanto, la revocación del consentimiento será gratuita.
Además, la empresa debe cesar el tratamiento de los datos personales que se basaron en el consentimiento. Sin embargo, el tratamiento que la empresa había realizado previamente sobre la base del consentimiento sigue siendo válido. Solo significa que el procesamiento puede no continuar.
Otra base jurídica adecuada de conformidad con el RGPD
Tenga en cuenta que el consentimiento no siempre es una base legal adecuada para utilizar para ciertos tipos de procesos de datos personales. Por lo tanto, puede ser útil analizar si existe alguna otra base jurídica que sea más adecuada.
