Directrices del Grupo de trabajo del artículo 29 (CEPD)
Introducción
Las presentes Directrices proporcionan un análisis exhaustivo de la noción de consentimiento que figura en el RGPD UE. El RGPD aclara y especifica los requisitos recesarios para obtener y demostrar un consentimiento válido.
El consentimiento sigue siendo una de las seis bases jurídicas para el tratamiento de datos personales, tal y como se enumeran en el artículo 6 del RGPD.
En general, el consentimiento solo puede ser una base jurídica adecuada si se ofrece al interesado control y una capacidad real de elección con respecto a si desea aceptar o rechazar las condiciones ofrecidas o rechazarlas sin sufrir perjuicio alguno.
Cuando solicita el consentimiento, el responsable del tratamiento tiene la obligación de evaluar si dicho consentimiento cumplirá todos los requisitos para la obtención de un consentimiento válido. Si se obtiene en pleno cumplimiento del RGPD, el consentimiento es una herramienta que otorga a los interesados el control sobre si los datos personales que les conciernen van a ser tratados o no.
Si no es así, el control del interesado será meramente ilusorio y el consentimiento no será una base jurídica válida para el tratamiento, lo que convertirá dicha actividad de tratamiento en una actividad ilícita.
El papel fundamental del consentimiento está señalado en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. Asimismo, la obtención del consentimiento tampoco niega o disminuye en modo alguno la obligación del responsable del tratamiento de respetar los principios del tratamiento consagrados en el RGPD, en particular, en el artículo 5 de dicho Reglamento en lo que se refiere a la lealtad, necesidad y proporcionalidad, así como a la calidad de los datos.
Aunque el tratamiento de los datos personales se base en el consentimiento del interesado, ello no legitima una recogida de datos que no sean necesarios para un fin concreto de tratamiento, y la misma sería esencialmente injusta.
La noción de consentimiento en el proyecto del Reglamento sobre la privacidad y las comunicaciones electrónicas sigue vinculada a la noción de consentimiento del RGPD.
El GT29 señala que los requisitos relativos al consentimiento en virtud del RGPD no se consideran como una «obligación adicional», sino más bien como condiciones previas para un tratamiento lícito de los datos.
El consentimiento en el artículo 4, apartado 11, del RGPD
El artículo 4, apartado 11, del RGPD define el consentimiento como: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Finalmente, la inclusión de disposiciones y considerandos específicos sobre la retirada del consentimiento confirma que el consentimiento debe ser una decisión reversible y que el interesado sigue manteniendo un cierto grado de control.
Manifestación de voluntad libre
El término «libre» implica elección y control reales por parte de los interesados. Como norma general, el RGPD establece que, si el sujeto no es realmente libre para elegir, se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido.
En consecuencia, no se considerará que el consentimiento se ha prestado libremente si el interesado no puede negar o retirar su consentimiento sin perjuicio. La noción de desequilibrio entre el responsable del tratamiento y el interesado también se tiene en cuenta en el RGPD.
En términos generales, el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado (que puede manifestarse de formas muy distintas) que impida que este ejerza su libre voluntad.
Desequilibrio de poder
El considerando 43 indica claramente que no es probable que las autoridades públicas puedan basarse en el consentimiento para realizar el tratamiento de datos ya que cuando el responsable del tratamiento es una autoridad pública, siempre hay un claro desequilibrio de poder en la relación entre el responsable del tratamiento y el interesado.
También en el contexto del empleo se produce un desequilibrio de poder. Dada la dependencia que resulta de la relación entre el empleador y el empleado, no es probable que el interesado pueda negar a su empleador el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales.
El GT29 considera problemático que los empleadores realicen el tratamiento de datos personales de empleados actuales o futuros sobre la base del consentimiento, ya que no es probable que este se otorgue libremente. En el caso de la mayoría de estos tratamientos de datos en el trabajo, la base jurídica no puede y no debe ser el consentimiento de los trabajadores [artículo 6, apartado 1, letra a)] debido a la naturaleza de la relación entre empleador y empleado.
Dado el desequilibrio de poder entre un empleador y los miembros de su personal, los trabajadores únicamente pueden dar su libre consentimiento en circunstancias excepcionales, cuando el hecho de que otorguen o no dicho consentimiento no tenga consecuencias adversas.
Los desequilibrios de poder no se limitan a las autoridades públicas y a los empleadores, sino que también pueden producirse en otras situaciones.
El consentimiento no será libre en aquellos casos en los que exista un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad.
Condicionalidad
El artículo 7, apartado 4, indica que, entre otras cosas, vincular el consentimiento a la aceptación de los términos y condiciones o supeditar el cumplimiento de un contrato o la prestación de un servicio a una solicitud de consentimiento para el tratamiento de datos personales que no son necesarios para la realización de dicho contrato o servicio, resulta muy inapropiado. Si el consentimiento se ha dado en estas circunstancias, se presume que no se ha dado libremente (considerando 43).
Perjuicio
El responsable del tratamiento debe demostrar que es posible negar o retirar el consentimiento sin sufrir perjuicio alguno (considerando 42). Por ejemplo, el responsable del tratamiento debe demostrar que la retirada del consentimiento no conllevará ningún coste para el interesado y, por tanto, ninguna clara desventaja para quienes retiren el consentimiento.
Otros ejemplos de perjuicio son el engaño, la intimidación, la coerción o consecuencias negativas importantes si un interesado no da su consentimiento. El responsable del tratamiento debe ser capaz de demostrar que el interesado pudo ejercer una elección libre o real a la hora de dar su consentimiento y que le era posible retirarlo sin sufrir ningún perjuicio.
Manifestación de voluntad específica
El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para el tratamiento de sus datos debe darse «para uno o varios fines específicos» y que un interesado puede elegir con respecto a cada uno de dichos fines. El requisito de que el consentimiento deba ser «específico» tiene por objeto garantizar un nivel de control y transparencia para el interesado.
Manifestación de voluntad informada
El RGPD refuerza el requisito de que el consentimiento debe ser informado. De conformidad con el artículo 5 del RGPD, el requisito de transparencia es uno de los principios fundamentales, estrechamente relacionado con los principios de lealtad y licitud.
Manifestación de voluntad inequívoca
El RGPD establece claramente que el consentimiento requiere una declaración del interesado o una clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción o declaración. Debe resultar evidente que el interesado ha dado su consentimiento a una operación concreta de tratamiento de datos.
El uso de casillas de aceptación ya marcadas no es válido con arreglo al RGPD. El silencio o la inactividad del interesado, o simplemente continuar con un servicio, no pueden considerarse como una indicación activa de haber realizado una elección.
Obtención del consentimiento explícito
El consentimiento explícito se requiere en determinadas situaciones en las que existe un grave riesgo en relación con la protección de los datos y en las que se considera adecuado que exista un elevado nivel de control sobre los datos personales.
El RGPD estipula que el requisito previo de un consentimiento «normal» es «una declaración o una clara acción afirmativa».
Dado que el requisito de consentimiento «normal» en el RGPD ya se ha elevado a un nivel superior en comparación con el requisito de consentimiento contemplado en la Directiva 95/46/CE, deben aclararse qué esfuerzos adicionales debería realizar el responsable del tratamiento con el fin de obtener el consentimiento explícito del interesado en consonancia con el RGPD.
El término explícito se refiere a la manera en que el interesado expresa el consentimiento. Significa que el interesado debe realizar una declaración expresa de consentimiento.
Una manera evidente de garantizar que el consentimiento es explícito sería confirmar de manera expresa dicho consentimiento en una declaración escrita.
Cuando proceda, el responsable podría asegurarse de que el interesado firma la declaración escrita, con el fin de eliminar cualquier posible duda o falta de prueba en el futuro.
No obstante, dicha declaración firmada no es el único modo de obtener el consentimiento explícito y no puede decirse que el RGPD prescriba declaraciones escritas y firmadas en todas las circunstancias que requieran un consentimiento explícito válido.
Condiciones adicionales para obtener un consentimiento válido
El RGPD introduce requisitos para que los responsables tomen medidas adicionales para garantizar que obtienen, mantienen y pueden demostrar el consentimiento válido. El artículo 7 de RGPD establece estas condiciones adicionales para el consentimiento válido, con disposiciones específicas sobre el mantenimiento de registros de consentimiento y el derecho a retirar fácilmente el consentimiento.
Demostración del consentimiento
El artículo 7, apartado 1, del RGPD indica claramente la obligación explícita del responsable del tratamiento de demostrar el consentimiento del interesado.
El RGPD no establece un límite de duración para el consentimiento. La duración del consentimiento dependerá del contexto, del alcance del consentimiento original y de las expectativas del interesado. Si las operaciones de tratamiento cambian o evolucionan de manera considerable, el consentimiento original dejará de tener validez. En este caso, deberá obtenerse un nuevo consentimiento.
Retirada del consentimiento
El artículo 7, apartado 3), del RGPD establece que el responsable del tratamiento debe garantizar que el interesado pueda retirar su consentimiento en cualquier momento y que será tan fácil retirarlo como lo fue darlo. El RGPD no especifica que la acción necesaria para dar y retirar el consentimiento deba ser siempre la misma.
El requisito de que la retirada del consentimiento sea sencilla se describe en el RGPD como un aspecto necesario para un consentimiento válido. Si el derecho de retirada no cumple los requisitos del RGPD, entonces el mecanismo del responsable del tratamiento no cumple con el RGPD.
El responsable del tratamiento debe informar al interesado del derecho a retirar el consentimiento antes de que preste dicho consentimiento.
En aquellos casos en los que el interesado retire su consentimiento y el responsable desee continuar el tratamiento de los datos personales con otra base jurídica, no podrán migrar del consentimiento (que ha sido retirado) a esta otra base jurídica sin comunicarlo. Cualquier cambio en la base jurídica para realizar el tratamiento de datos debe notificarse al interesado de conformidad con los requisitos de información que figuran en los artículos 13 y 14 y en virtud del principio general de transparencia.
Fuente: Directrices del CEPD sobre el consentimiento en el sentido del Reglamento UE 2016/679.