Un consentimiento reforzado en el RGPD

El nuevo reglamento europeo de protección de datos nos impone un cambio de paradigmas y fundamentalmente, un cambio de visión.

Entre los cambios de visión que introduce el RGPD se encuentra el relativo al Consentimiento.

Sabemos el consentimiento es la muestra de voluntad y conformidad del ciudadano con un determinado tratamiento de su información personal.

Hasta ahora, estábamos bastante acostumbrados a la mecanización del consentimiento, y pocos valientes se atrevían a leerse farragosas cláusulas informativas o textos legales, tan incomprensibles como interminables y esto propiciaba que muchas empresas y plataformas obtuvieran y trataran nuestra información a discreción. Nadie se preocupaba en conocer el destino de sus datos, era mucho más sencillo aceptar y continuar.

Un cambio de cultura en la protección de datos

Ya hemos hablado del cambio de foco que introduce el RGPD, concretamente, se trata de reforzar la cultura de protección de datos para que los usuarios comiencen a asumir el valor de su información personal y confíen sus datos solo aquellos que puedan comprometerse activamente con su protección. Es aquí cuando el consentimiento gana terrero y adquiere relevancia: ya no vale con dar por supuesto el consentimiento, hay que obtenerlo de modo que no queden dudas de la voluntad del usuario.

¿Esto qué significa?

Básicamente se refuerza la necesidad del consentimiento inequívoco por parte del afectado relativo al tratamiento de sus datos personales.

El nuevo consentimiento: inequívoco y afirmativo

¿Qué significa inequívoco? Que se ha obtenido mediante una manifestación del interesado o una clara acción afirmativa.

Aquí es donde radica la principal diferencia con la LOPD ya que en el RGPD no se admiten formas de consentimiento tácito o por omisión, es decir, basados en la inacción del ciudadano, de forma que quedan descartados los tipos de consentimiento por defecto: el silencio y las casillas ya marcadas no pueden constituir formas de consentimiento.

Un ejemplo de esto es el del formulario de suscripción tipo de algunos blogs:

Este formulario debería ser remplazado por este otro:

Y mucho mejor si el texto informativo está expuesto de forma clara y transparente a pie de formulario.

Cómo obtener un consentimiento válido

El nuevo Reglamento en su punto 32 señala: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”. Esto puede obtenerse mediante una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

En el caso de los datos que se obtienen de forma online, será válido insertar una casilla o “check box” para marcar en un formulario web o cualquier otra declaración que permita acreditar que el afectado consiente la propuesta de tratamiento de sus datos personales y como ya hemos visto, esta casilla de ninguna forma puede estar pre marcada.

¿Qué pasa con los consentimientos previos?

Es importante recordar que los consentimientos obtenidos con carácter previo a la entrada en vigor del nuevo reglamento, sólo serán válidos cuando hayan sido recabados respetando los principios exigidos por el mismo, es decir, que sean consentimientos expresos, pero también verificables.

En caso de los consentimientos no cumplieran con estos requisitos y hayan sido obtenidos por ejemplo, por omisión, huelga decir que habría que suspender esa práctica y sustituirla por otros procedimientos que permitan obtener el consentimiento de forma expresa. Lo mismo ocurre si no podemos acreditar la forma en los que hemos obtenido.

Para concluir, se trata de convertir los consentimientos tácitos en expresos y además, poder acreditarlo, lo que sin duda será otro de los retos que los grandes recolectores de información personal como los pequeños tendrán que asumir y que ya deberían estar haciendo todos los que quieran seguir utilizando sus registros para mayo del 2018.

Referencias: