GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

OBTENCIÓN Y RETIRADA DEL CONSENTIMIENTO

Procedimientos para obtener y retirar el consentimiento

Es bueno contar con procedimientos para obtener y retirar el consentimiento, si la empresa utiliza el consentimiento como base legal para el procesamiento de datos personales. 

Retirar el consentimiento debe ser tan fácil como darlo

Es importante no dificultar que los interesados retiren su consentimiento, ya que el consentimiento es inválido en tales casos. Por regla general, debe ser tan fácil retirar el consentimiento como darlo en virtud del artículo 7, apartado 3, del RGPD.

Por lo tanto, es importante adaptar la interfaz de usuario, para que sea posible y fácil retirar el consentimiento. Por ejemplo, implementando un botón que sea fácil de encontrar para gestionar el consentimiento en el sitio web, o en una aplicación móvil o similar.

What breaches of the GDPR can lead to an administrative fine?

El consentimiento debe ser dado activa y libremente

    • Consentimiento activo: El consentimiento activo significa que el propio interesado lo otorga a través de un acto activo. Por ejemplo, marcando una casilla de consentimiento. Si una casilla de consentimiento está marcada previamente, constituye un consentimiento pasivo, que no es válido en virtud del RGPD.
    • Consentimiento voluntario: No está permitido someter a un sujeto de datos a influencia con la intención de obtener el consentimiento del sujeto de datos. Además, está prohibido hacer que los interesados sufran consecuencias negativas si se abstienen de dar su consentimiento a un tratamiento específico. Tenga en cuenta que tampoco está permitido incluir el consentimiento como parte obligatoria de una cláusula contractual. 

El derecho a retirar el consentimiento es un derecho explícito en virtud del RGPD

Hay ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD. Sin embargo, hay incluso más derechos que eso, incluido el derecho a retirar el consentimiento en virtud del artículo 7, apartado 3, del RGPD.

Tenga en cuenta que el consentimiento no siempre es una base jurídica adecuada

El consentimiento no siempre es una base legal adecuada para apoyar el procesamiento de datos personales. No suele ser apropiado cuando la relación de poder entre las partes es desigual, como entre un empleador y un empleado. Lo mismo se aplica entre una autoridad pública y un ciudadano. 

Qué procedimientos para obtener y retirar el consentimiento pueden incluir:

Procedimiento para obtener el consentimiento

Cuando el consentimiento deba utilizarse como base jurídica

Aclarar en los procedimientos qué tratamiento debe tener lugar sobre la base del consentimiento como base jurídica. Además, es bueno aclarar cuándo el consentimiento no es apropiado para usar.

Información que debe facilitarse a los interesados antes de obtener el consentimiento

Es importante que la información relativa al tratamiento se facilite y sea fácil de entender para los interesados. Además, la información se facilitará por separado de cualquier otra cláusula contractual.

Garantizar que se trata de un consentimiento voluntario y activo

Las casillas de consentimiento marcadas previamente están prohibidas, ya que no constituyen un consentimiento activo. El consentimiento también debe darse voluntariamente, lo que significa, entre otras cosas, que no debe ser un requisito en términos contractuales. Si el consentimiento no se da libremente y activamente, no es válido.

Cómo debe documentar la empresa el consentimiento

Las empresas deben poder demostrar que han obtenido un consentimiento válido para un procesamiento. Por lo tanto, es bueno documentar cómo y cuándo se ha hecho. Por ejemplo, en un sistema CRM o sistema de RRHH.

Procedimiento para tramitar la retirada del consentimiento

Sensitive personal data according to GDPR

Los canales a través de los cuales puede tener lugar la retirada

Es importante aclarar los canales de comunicación a través de los cuales puede tener lugar la retirada del consentimiento. De esta manera, hay menos posibilidades de que los empleados que manejan estos casos pierdan un retiro. Tenga en cuenta que no está permitido rechazar la retirada del consentimiento.

What is the definition of anonymised data?

Qué hay que hacer cuando se recibe la retirada

La empresa cesará inmediatamente el tratamiento de los datos personales sobre la base del consentimiento, cuando el interesado los retire. Además, los datos personales se eliminarán, a menos que exista otra base legal para el procesamiento. También es bueno documentar el retiro, para demostrar el cumplimiento con RGPD.

Subjektivt integritetskänsliga personuppgifter

Informar a los servicios pertinentes

La comunicación interna dentro de una empresa es importante por muchas razones. Es posible que algunos departamentos necesiten ser informados de una retirada del consentimiento y, por lo tanto, esto debería regularse más en los procedimientos. Además, es posible que algunos sistemas deban actualizarse para respetar la retirada.

Measures that companies need to take to comply with GDPR

Documentar la retirada

Las empresas deben poder demostrar que cumplen con RGPD y, por lo tanto, es bueno documentar el manejo de la recepción de retiros de consentimientos otorgados. Por ejemplo, incluya la fecha, el procesamiento al que se refiere la retirada, qué medidas ha tomado la empresa para respetar la retirada, etc.

¿La empresa tiene que borrar los datos personales en los archivos de copia de seguridad en caso de retirada del consentimiento?

Sí, incluso los archivos de copia de seguridad deben borrarse a intervalos regulares. Sin embargo, los datos personales contenidos en los archivos de copia de seguridad no necesitan ser eliminados inmediatamente, si están técnicamente aislados de otros datos, no se utilizan en el trabajo diario y se borran de acuerdo con los intervalos establecidos. Los archivos de copia de seguridad a menudo se consideran un almacenamiento temporal necesario en forma de una medida de seguridad técnica implementada y, por lo tanto, no como un procesamiento continuo en violación del RGPD.

APRENDE MÁS

Procedimientos para la gestión de redes sociales y la fotografía

Muchas empresas utilizan las redes sociales en sus operaciones y es común procesar datos personales cuando los utilizan. Puede ser fácil olvidar que la empresa puede tener una responsabilidad de datos personales de acuerdo con el RGPD, no solo el proveedor que opera la plataforma. Por ejemplo, es común que las empresas tengan algún tipo de servicio al cliente en sus redes sociales y publiquen imágenes de los empleados, que son dos formas de procesamiento de datos personales en las redes sociales.

¿Quieres saber más?

Leer más
Scroll al inicio