Hay cierta información específica que debe proporcionarse al obtener el consentimiento de una persona. La información se proporcionará antes de que la empresa procese sus datos personales. Las empresas deben, entre otras cosas, informar sobre la finalidad del tratamiento de los datos personales. La empresa facilitará la información cuando obtenga el consentimiento del interesado. Los requisitos se establecen en los artículos 7 y 13-14 del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD).
La empresa no procesará más datos personales de los necesarios, con respecto a la finalidad para la que se recopilaron los datos personales. Además, un propósito no debe ser poco claro o inespecífico. En algunos casos, la Compañía puede desear utilizar los datos personales para otros fines en el futuro. En tales casos, la empresa solicitará un nuevo consentimiento para el nuevo tratamiento.
Una empresa debe cumplir con el principio de rendición de cuentas regulado en el artículo 5, apartado 2, del RGPD. Este principio requiere que la empresa demuestre su cumplimiento con la regulación de protección de datos y explique los métodos que utiliza para lograr el cumplimiento.
Por lo tanto, la empresa no debe procesar datos personales sobre la base del consentimiento oral, ya que son difíciles de probar después. Cuando una empresa obtenga el consentimiento oral, la empresa también debe asegurarse de obtener un consentimiento por escrito para el tratamiento con el fin de preservarlo como prueba. Además, hay algunas situaciones en las que una empresa no debe utilizar el consentimiento como base jurídica. Por ejemplo, cuando existe una relación de poder desigual entre el controlador y el interesado, donde el controlador tiene la posición más fuerte.
El responsable del tratamiento debe facilitar determinada información al obtener el consentimiento de los interesados
La información que debe facilitar el responsable del tratamiento al obtener el consentimiento es, como mínimo, la siguiente:
● Quién: La identificación del responsable del tratamiento de datos personales. Y, en su caso, el encargado del tratamiento de datos personales y el delegado de protección de datos. Si hay varios responsables o corresponsables del tratamiento, esto también se indicará en la información;
● Objeto: La finalidad del tratamiento de los datos personales a los que se refiere el consentimiento;
● Qué: Los tipos de datos personales que la empresa procesa sobre la base del consentimiento como base legal para el procesamiento. Por ejemplo, el nombre, el número de seguro social y la dirección de correo electrónico son tres tipos de datos personales. Estos entran en la categoría de «datos personales ordinarios». No son «categorías especiales de datos personales» con arreglo al artículo 9 del RGPD.
● Retirada: El interesado tiene derecho a retirar su consentimiento en cualquier momento. Además, el interesado debe obtener información de la empresa sobre las mangueras que debe proceder en la práctica en tales casos. Por ejemplo, si tienen que enviar el retiro a una dirección de correo electrónico específica, haga clic en un botón específico o similar.
● Toma de decisiones individual automatizada: Si los datos personales se utilizarán para tomar cualquier tipo de decisiones individuales automatizadas. Esto se aplica con o sin elaboración de perfiles. Si esto sucede, la empresa también debe informar que el interesado tiene derecho a impugnar la decisión automatizada en cuestión.
● Tercer país: Si la empresa transferirá datos personales a terceros países. Un tercer país es un país fuera de la zona UE/EEE. En la información también se indicarán los riesgos que entraña dicha transferencia. Tenga en cuenta que el interesado debe dar su consentimiento explícito en tales casos.
Consentimiento separado de otra información
Recuerde separar la información que la empresa proporciona a los interesados cuando obtienen el consentimiento de otra información. Por ejemplo, los términos y condiciones generales de la empresa. Además, una empresa puede querer procesar datos personales sobre la base del consentimiento para diferentes fines. En tales casos, la empresa brindará al interesado la oportunidad de dar su consentimiento específicamente para cada propósito.
Sea más claro cuando los interesados sean niños
Si una empresa obtiene el consentimiento de un niño, las reglas son más estrictas. Por ejemplo, la empresa debe informar al niño utilizando un lenguaje simple. Esto es importante, para que el niño entienda el significado de la información proporcionada. Además, la empresa debe evitar el uso de frases largas o demasiada información compleja, ya que puede ser más difícil de entender para los niños.
Asimismo, la información se facilitará en la lengua del país nacional. Si una aplicación móvil en Finlandia tiene niños como usuarios, la información sobre el tratamiento de los datos personales de los niños debe estar en finés. Una empresa que ejecuta una aplicación móvil con muchos niños como usuarios de diferentes países tuvo que pagar una multa en los Países Bajos. La razón fue que la información para los niños registrados estaba en inglés en lugar de holandés.
Información que deben documentar las empresas en relación con los consentimientos obtenidos de los interesados:
● Cómo: Cómo la empresa obtuvo el consentimiento del interesado;
● Cuando: Cuando la empresa obtuvo el consentimiento del interesado;
● Que: Qué información obtuvo el interesado de la empresa cuando el interesado dio su consentimiento.
