El consentimiento en los tiempos de GDPR
El consentimiento en los tiempos de GDPR
Existen
muchas similitudes entre el Reglamento General de Protección de Datos Europeo
que recientemente entró en vigor y la Ley Federal de Protección de Datos
personales en Posesión de los Particulares (LFPDPP) en México, de forma que un
responsable que hoy cumple con la LFPDPP tiene un nivel de cumplimiento
bastante alto con respecto del GDPR; sin embargo, una de las principales
diferencias entre ellos es el tema del consentimiento, la forma en la que debe
ser obtenido y los mecanismos aceptables para solicitarlo. Este artículo busca
explicar los detalles de cómo debe ser obtenido el consentimiento en los
términos establecidos por GDPR.
Consentimiento válido, otorgado
libremente, específico, informado y activo
El Reglamento General de Protección de Datos (GDPR
por sus siglas en inglés) es el nuevo marco legal de la Unión Europea para la
privacidad y la protección de datos personales. Se pone al día con la realidad
digital, se adapta a un mundo global de datos (porque es importante para los
responsables y encargados del tratamiento de datos en todo el mundo), crea un
marco común para todas las organizaciones y, básicamente, pone el control de
los datos personales en manos de los titulares.
El
consentimiento es una de las partes más delicadas del GDPR y es complicado por
varias razones, principalmente por el alcance del GDRP y la naturaleza del
consentimiento, ya que si GDPR otorga a los titulares de los datos personales
control sobre sus datos, el consentimiento en GDPR les da aun más control. El
consentimiento bajo el GDPR no es fácil, especialmente en la práctica, pues
desde la perspectiva de actividades específicas de tratamiento de datos
personales el consentimiento resulta ser la única base legal o la más adecuada
para el tratamiento legítimo de datos personales; esto significa que las
organizaciones deben reflexionar y analizar cómo tratan los datos personales y
establecer acciones para su adecuado tratamiento.
|
Cuando el consentimiento es la base para
el tratamiento legal, los titulares deben estar claramente informados sobre
sus derechos para retirar el consentimiento y deben poder hacerlo fácilmente
si así lo desean.
|
GDPR y
las reglas de consentimiento también se aplican a las empresas fuera de la
Unión Europea que procesan o tratan datos personales de ciudadanos de la Unión
(el tratamiento se refiere a cualquier cosa que puedan imaginar que se hace con
respecto a los datos personales del titular), por lo tanto el consentimiento en
los términos que explicaremos en este artículo aplican a muchas empresas aunque
no operen directamente en Europa.
El
consentimiento es uno de los seis fundamentos legales para el tratamiento
legítimo, por lo que para cada actividad de tratamiento de datos debe existir
al menos uno de estos seis:
Desde
el punto de vista de las organizaciones, esto significa que los titulares
tienen nuevos derechos y que las organizaciones necesitan habilitar mecanismos
para dar cumplimiento con el ejercicio de esos derechos.
En
algunos casos pueden usarse otras opciones para legitimar el tratamiento y así
no es necesario solicitar consentimiento, pero para ello deberá realizarse un
análisis sobre las otras bases legales para el tratamiento legítimo. De
cualquier forma siempre habrá actividades de tratamiento de datos personales
para las cuales el consentimiento es la mejor opción.
Consentimiento y gestión de consentimiento
La
gestión del consentimiento cubre esencialmente el ciclo de vida del
consentimiento de principio a fin: desde la recopilación de datos y permitir a
los titulares de datos cambiar o retirar el consentimiento, hasta eliminar los
datos personales siempre que la finalidad que consintió el titular, el tiempo
de resguardo o el tratamiento legítimo de datos hayan finalizado.
Según
el GDPR, el consentimiento requiere una acción clara y afirmativa; la carga
probatoria del consentimiento debe ser demostrada por el responsable.
Existen
varias herramientas que permiten llevar una gestión del consentimiento, sin
embargo no todas son fáciles de implementar, configurar o administrar, además
de que su costo puede ser elevado y poco asequible para empresas pequeñas.
Antes de comenzar a pensar en soluciones y herramientas, es importante contar
con mecanismos para recabar el consentimiento, lo que también significa
identificar en qué casos, tratamientos y formas se necesita el consentimiento,
cuáles son los principios, deberes y obligaciones relacionados, así como las
consecuencias de su incumplimiento.
La
definición de consentimiento establecida en GDPR (en el Artículo 4):
“El consentimiento es toda manifestación
de voluntad libre, específica, informada e inequívoca por la que el titular
acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen”.
El
consentimiento debe darse de forma clara, para ello el Artículo 7 de GDPR
resume las condiciones esenciales con respecto al consentimiento para ser
válido. En resumen, el consentimiento debe ser:
·
otorgado libremente
·
específico, por cada finalidad de
tratamiento
·
informado
·
una indicación inequívoca
·
un acto: debe darse por una declaración o
por un acto claro de parte del titular
·
distinguible de otros asuntos como
términos y condiciones de servicio
La
solicitud de consentimiento debe ser en un lenguaje claro, entendible y de
fácil acceso.
A
continuación explicaremos cada una de estas condiciones.
Consentimiento libremente otorgado bajo
GDPR
El
hecho de que el consentimiento necesite ser otorgado libremente necesita ser analizado
desde varias perspectivas para entender qué significa “otorgado libremente” en
cada contexto.
El
Considerando 43 del GDPR menciona ejemplos de cuándo el consentimiento no se
considera otorgado libremente.
“Para garantizar que el consentimiento se
haya dado libremente, este no debe constituir un fundamento jurídico válido
para el tratamiento de datos de carácter personal en un caso concreto en el que
exista un desequilibro claro entre el titular y el responsable del tratamiento,
en particular cuando dicho responsable sea una autoridad pública y sea por lo
tanto improbable que el consentimiento se haya dado libremente en todas las
circunstancias de dicha situación particular. Se presume que el consentimiento
no se ha dado libremente cuando no permita autorizar por separado las distintas
operaciones de tratamiento de datos personales pese a ser adecuado en el caso
concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un
servicio, sea dependiente del consentimiento, aún cuando este no sea necesario
para dicho cumplimiento.”
Lo
anterior puede resumirse en que debe evitarse caer en un desequilibrio de poder
entre el titular y el responsable de datos (es decir la organización que decide
la finalidad y el alcance de los datos personales que trata o desea tratar)
donde sea poco probable que el consentimiento se haya otorgado libremente y se
haya caído en una condición de coacción.
|
El consentimiento libremente otorgado
implica una elección real y es especialmente difícil o imposible cuando
existe un desequilibrio entre el responsable y el titular de los datos cuando
el consentimiento es condicional. Cuando se agrupan varias finalidades de
tratamiento, es necesario separarlas para solicitar el consentimiento para
cada finalidad o en su caso su negación.
|
Un
segundo ejemplo de lo establecido en el Considerando 43 del GDPR es una
situación en la que no es posible dar consentimiento por separado a diferentes
finalidades de tratamiento de datos, incluso si el consentimiento es apropiado
para cada uno de ellos. Tampoco es libre si se pide para la aceptación de un
contrato o si la prestación de servicios depende del consentimiento, pero el
tratamiento de los datos no es necesario para la ejecución del contrato o la
prestación del servicio.
Lo
anterior se considera condicionalidad y debe evitarse teniendo en cuenta:
1.
que se eligen los fundamentos adecuados de
tratamiento legítimo para cumplimiento de un contrato
2.
no mezclar distintos fundamentos de
tratamiento legítimo
3.
identificar los datos y tratamientos que
sean estrictamente necesarios para el cumplimiento y ejecución del contrato
Muchas
organizaciones aún asocian el requisito de otorgar consentimiento con el hecho
de que el consumidor obtiene algo (o no), lo que obviamente significa que el
consentimiento no se da libremente. A modo de ejemplo: una asociación de
conductores de automóviles que ofrece la posibilidad a sus miembros de obtener
un vehículo de reemplazo bajo la cobertura de asistencia de averías sólo si los
conductores que desean obtener el vehículo de reemplazo aceptan que se rastree
el vehículo como parte de su consentimiento en la aceptación de la membresía.
Consentimiento específico, por cada
finalidad de tratamiento
La
granularidad, la agrupación de consentimientos y las finalidades son elementos
esenciales; aunque no se mencionan explícitamente en el texto, el GDPR enfatiza
la importancia del consentimiento realmente otorgado libremente.
El
Artículo 7 del GDPR además se asegura de proteger algunos de los puntos
establecidos en el Considerando 43:
“Condiciones para el consentimiento
1. Cuando el tratamiento se base en el
consentimiento del titular, el responsable deberá ser capaz de demostrar que
aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del titular se da
en el contexto de una declaración escrita que también se refiera a otros
asuntos, la solicitud de consentimiento se presentará de tal forma que se
distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna
parte de la declaración que constituya infracción del presente Reglamento.
3. El titular tendrá derecho a retirar su
consentimiento en cualquier momento. La retirada del consentimiento no afectará
a la licitud del tratamiento basada en el consentimiento previo a su retirada.
Antes de dar su consentimiento, el titular será informado de ello. Será tan
fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha
dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si,
entre otras cosas, la ejecución de un contrato, incluida la prestación de un
servicio, se supedita al consentimiento al tratamiento de datos personales que
no son necesarios para la ejecución de dicho contrato.”
Aunque
de nuevo no menciona específicamente 'libremente dado', en su segundo párrafo
el Artículo 7 menciona que el consentimiento debe darse de manera que sea
claramente distinguible de estos otros asuntos y con lenguaje muy claro. En
otras palabras: el consentimiento no puede considerarse otorgado libremente si,
cuando es necesario está oculto en la declaración, contrato o términos y
condiciones, no es claro y, sobre todo cuando no se puede distinguir.
El
consentimiento se otorga para una o más finalidades específicas y esa noción de
finalidad es la clave para entender el Artículo 6 del GDPR referente a la
licitud del tratamiento, máxime en consideración de que el consentimiento no
puede ser 'agrupado' en uno solo. Es ahí donde la noción de granularidad
realmente juega un rol relevante: no se otorga consentimiento para un conjunto
de finalidades de tratamiento; en cambio, deben separase las finalidades y
solicitar el consentimiento por cada una de ellas.
El GDPR
en el Considerando 32 menciona que:
"El consentimiento debe darse para
todas las actividades de tratamiento realizadas con el mismo o los mismos
fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento
para todos ellos. ".
|
El consentimiento es relevante cuando no
hay una mejor base para el tratamiento legítimo de los datos personales,
brindarle al titular más control y elección sobre la forma en que de tratan
sus datos personales con respecto de lo que señala GDPR brinda mayores
niveles de confianza.
|
El WP29
(Working Party 29 del European Data Protection Board, dedicado a establecer
lineamientos sobre el consentimiento) ha hecho este comentario sobre la
granularidad y el consentimiento otorgado libremente:
"Si el responsable ha combinado
varias finalidades para el tratamiento y no ha intentado buscar un
consentimiento por separado para cada finalidad, existe una falta de libertad.
Esta granularidad está estrechamente relacionada con la necesidad de que el
consentimiento sea específico ... cuando el tratamiento de datos se realiza
para varias finalidades, la solución para cumplir con las condiciones para el
consentimiento válido radica en la granularidad, es decir, la separación de
estas finalidades y la obtención del consentimiento para cada una".
Lineamientos y ejemplos sobre el
consentimiento libremente otorgado
Las
aclaraciones adicionales en el texto del GDPR y en los lineamientos sobre
consentimiento del WP29 son claras.
El
control de los datos personales está en manos del titular, por lo tanto, cuando
se solicite el consentimiento no debe ejercerse ningún poder o presión para
obligar al titular (no sólo entre las autoridades públicas y los titulares,
sino también, por ejemplo, entre empleadores y empleados u otras relaciones en
donde hay un desequilibrio claro y uno puede sentirse forzado), no deben
esconderse cosas en los contratos y hay que asegurarse de que el titular de los
datos tiene una opción real para decir 'sí' o 'no'.
En los
lineamientos sobre consentimiento del WP29, el elemento "libre"
implica una verdadera elección y control para los titulares. Como regla
general, el GDPR establece que si el titular no tiene una opción real, se
siente obligado a consentir o sufrirá consecuencias negativas si no consiente,
entonces el consentimiento no será válido.
Las
directrices del WP29 sobre el consentimiento presentan un ejemplo que lo hace
más tangible y ayuda a entender casos similares. El ejemplo se refiere a una
aplicación móvil que permite a los usuarios editar fotos; sin embargo, también
quiere saber la localización de los usuarios diciendo que la aplicación
necesita activar las funciones de GPS para poder utilizar los servicios
ofrecidos por la aplicación y para ofrecer anuncios de comportamiento. Debido a
que ni los anuncios ni la geolocalización son necesarios para el funcionamiento
de la aplicación (finalidad, es decir, edición de fotos), el consentimiento de
los usuarios no se considera otorgado libremente ya que no es necesario para la
prestación del servicio. Nota importante: este ejemplo está dado por el WP29 en
sus lineamientos y en el alcance del consentimiento como base legal para el
tratamiento.
“Si el consentimiento es parte de las
condiciones no negociables de los términos y condiciones para la prestación de
un servicio, puede presumirse que no fue otorgado libremente. Asimismo no se
considera que el consentimiento se dio libremente si el titular no tienen la
posibilidad de negarlo o revocarlo sin detrimento".
Los
datos personales requeridos para firmar o ejecutar un contrato deben estar en
los términos y dentro del alcance del contrato y los servicios ofrecidos, por
lo tanto esta base para el tratamiento legítimo no debe extralimitarse.
Consentimiento libre y detrimento
Los
lineamientos y ejemplos mencionados cubren los elementos del consentimiento
otorgado libremente, agregando otro elemento sobre el consentimiento: el de
"detrimento".
El
elemento de detrimento primero debe verse en el contexto del Considerando 42
del GDPR, que no sólo menciona el deber del responsable de poder demostrar que
se otorgó el consentimiento (uno de esos deberes adicionales cuando el
consentimiento es la base legal para el tratamiento), sino también declara al
final que "El consentimiento no debe
considerarse libremente prestado cuando el titular no goza de verdadera o libre
elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio
alguno."
En
otras palabras, como está estipulado en el primer párrafo del Artículo 7 del
GDPR sobre las condiciones para el consentimiento: corresponde al responsable
demostrar que los titulares han otorgado su consentimiento; además, no permitir
el rechazo o la revocación del consentimiento significa que el consentimiento
no ha sido otorgado libremente.
Las
directrices del WP29 también mencionan el engaño, la intimidación, la coacción
o las consecuencias negativas significativas como ejemplos de detrimento.
Consentimiento específico, finalidades
específicas y limitación de finalidad
El
consentimiento debe ser específico. Esto tiene todo que ver con la noción
crucial antes mencionada de las finalidades del tratamiento de datos
personales.
Además
de ser legítima, la finalidad del tratamiento debe ser específica. Esto se
relaciona con los elementos que mencionamos en el alcance del consentimiento
otorgado libremente. Por ejemplo la noción de granularidad y cómo si la
finalidad del tratamiento no es lo suficientemente específica, el titular de
los datos puede dar su consentimiento para finalidades que él o ella no habrían
aceptado si las finalidades fueran más específicas.
El
Artículo 6 del GDPR sobre la legalidad del tratamiento de datos personales
enfatiza el hecho de que el tratamiento sólo puede ser lícito, cuando se ha
elegido el consentimiento como la base legal, si el consentimiento se refiere a
una o más finalidades específicas.
|
Cuando
la finalidad de la actividad de tratamiento de datos para el que se ha
otorgado el consentimiento ha cambiado, se requiere de un nuevo
consentimiento. Cuando varias operaciones cumplen exactamente la misma
finalidad, el consentimiento debe abarcar todas las actividades de
tratamiento llevadas a cabo con la misma finalidad o finalidades.
|
El
primer párrafo del Artículo 5 del GDPR sobre los principios relacionados con el
tratamiento de datos personales, también enfatiza el concepto de limitación de
finalidades.
Aunque
esto no se relaciona estrictamente con el consentimiento como el fundamento
legal para el tratamiento lícito sino con todo el tratamiento de datos
personales, definitivamente existe la necesidad de ser específico al respecto
del consentimiento. La limitación de finalidad en esencia significa: la
finalidad debe ser limitada y claramente conocida cuando se solicita el
consentimiento del titular y no puede ser cambiada posteriormente de forma
unilateral por el responsable. Finalmente, el tratamiento en sí debe ocurrir de
una manera que sea proporcional con la(s) finalidad(es) específica(s).
Esto
también significa que, cuando varias actividades de tratamiento de datos
cumplen exactamente la misma finalidad, se puede obtener un solo consentimiento
para estas actividades. El WP29 enfatiza en referencia al Artículo 5 que los
datos personales deben ser recolectados para fines específicos, explícitos y
legítimos; deben ser tratados de forma proporcional con cada una de esas
finalidades y tomando en cuenta el considerando 32 del GDPR: "El consentimiento debe darse para
todas las actividades de tratamiento realizadas con el mismo o los mismos
fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento
para todos ellos ".
Existen
dos excepciones con respecto a la limitación de finalidades:
1.
Cuando el tratamiento se lleva a cabo para
un fin distinto de aquel para el que se han recabado los datos personales y no
se basa en el consentimiento del titular (se utiliza alguna de las otras
opciones de tratamiento lícito establecidas en el Artículo 6 del GDPR)
2.
Cuando el tratamiento de datos personales
para fines científicos, históricos, estadísticos o de archivo en cumplimiento
con lo establecido por el Artículo 89 del GDPR
Uno de
los conceptos relevantes al respecto de la limitación de finalidades es el
término 'explícito', que se refiere la finalidad del tratamiento de datos. No
es lo mismo que el consentimiento explícito; sin embargo, es una vez más uno de
los conceptos que están divididos por una línea muy delgada.
Para el
WP29, el consentimiento específico necesita ser visto en el contexto de una
finalidad específica, la elección que los titulares han hecho con respecto de
cada finalidad y la garantía de que el titular tiene el grado de control y
transparencia sobre sus datos (otro concepto importante como veremos más
adelante).
El
consentimiento específico también está estrechamente relacionado con el
concepto de consentimiento informado, el requisito de consentimiento libre y
con granularidad.
El
vínculo con el consentimiento informado es claro: si el titular no está
informado de manera clara y específica sobre las finalidades, entonces no puede
considerarse como consentimiento explícito.
El
vínculo con el consentimiento otorgado libremente también queda claro, igual
que la granularidad para cada finalidad específica requiere de un
consentimiento específico.
Es
importante recalcar que si se tiene consentimiento para una finalidad
específica y se desea tratar los datos con una nueva finalidad, debe
solicitarse nuevamente el consentimiento ya que el consentimiento explícito ya
no aplica para esa nueva finalidad.
Consentimiento informado
El
deber de informar al titular de parte del responsable y el derecho de ser
informado de parte del titular están ligados al consentimiento y al principio
de transparencia, en particular al consentimiento otorgado libremente.
Consentimiento informado y principios
relacionados con la información
El GDPR
establece los principios de transparencia, imparcialidad, licitud, integridad y
precisión. En el caso del consentimiento informado, todos esos principios tiene
pertinencia, principalmente la transparencia.
Si el
consentimiento necesita ser otorgado libremente, relacionado con una finalidad
específica y en línea con todos los demás elementos del consentimiento que
hemos mencionado, es relativamente fácil ver que el titular de los datos debe
ser informado de manera clara y transparente antes de dar su consentimiento.
Esto no
solo se aplica a la información que permite el consentimiento sobre las
finalidades del tratamiento, sino también a la información sobre los derechos
que tienen los titulares de los datos en el contexto de consentimiento,
principalmente la revocación del consentimiento y los derechos de acceso,
rectificación, borrado, restricción de tratamiento, objeción al tratamiento y
portabilidad de datos.
|
Proporcionar información a los titulares
antes de obtener su consentimiento es esencial para permitirles tomar
decisiones informadas, comprender lo que están aceptando y conocer la forma
en la que pueden revocar su consentimiento.
|
El
considerando 42 del GDPR señala el requisito de que el responsable del
tratamiento demuestre que el titular ha dado su consentimiento. Debe asegurarse
de que el titular sea claramente consciente del hecho de que se otorga el
consentimiento y en qué medida se otorga. Esto se menciona particularmente en
el "contexto de una declaración escrita sobre otro asunto". El
artículo 7 del GDPR ahonda más a este respecto.
Es
obligación del responsable de datos que la declaración de consentimiento deba
ser pre-formulada por él o ella en una forma inteligible y de fácil acceso,
utilizando un lenguaje claro y conciso (y que no debe contener términos
injustos). Y eso incluye con requisitos de información específicos que como
mínimo deben estar presentes y deben ser comunicados.
El GDPR
en el Considerando 42 menciona:
"Para que el consentimiento sea
informado, el interesado debe conocer como mínimo la identidad del responsable
del tratamiento y los fines del tratamiento a los cuales están destinados los
datos personales".
El
considerando 78 del GDPR menciona claramente la transparencia con respecto a
las funciones y el tratamiento de datos personales como uno de los ejemplos de
medidas técnicas y administrativas que el responsable debe implementar para
demostrar cumplimiento (junto con otras como la seudo-anonimización, la
realización de un análisis de impacto, adherirse a un código de conducta
aprobado, etcétera).
La
transparencia también se menciona en el Artículo 12 del GDPR en el ámbito de
los derechos de los titulares de los datos: "El responsable del
tratamiento tomará las medidas oportunas para facilitar al interesado toda la
información indicada en los artículos 13 y 14, así como cualquier comunicación
con apego a los artículos 15 a 22 y 34 relativa al tratamiento, en forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y
sencillo".
¿Qué información debería proporcionarse?
El
Artículo 13 del GDPR profundiza en la información que debe proporcionarse
cuando se recaben los datos personales del titular, independientemente de los
motivos legales para el tratamiento lícito. Esta información debe ser
proporcionada cuando se obtienen los datos personales y debe, entre otros,
mencionar al menos:
·
Identidad y detalles de contacto del
responsable o representante del responsable,
·
Los datos de contacto del DPO (Oficial de
Protección de Datos), cuando corresponda,
·
La base legal para tratamiento y las
finalidades del tratamiento,
·
Los destinatarios o tipos de destinatarios
de los datos personales,
·
La duración del almacenamiento de datos
personales o cómo se determina esa duración,
·
Información sobre el derecho de acceso,
rectificación, borrado, restricción de tratamiento, objeción al tratamiento y
portabilidad de datos,
·
Si el consentimiento es el fundamento
legal, el hecho de que existe el derecho de retirarlo en cualquier momento;
incluido el hecho de que cuando hay un retiro del consentimiento, esto no
afecta la legalidad del tratamiento anterior,
·
El derecho y medios para presentar quejas
·
Y más, que pueden consultarse en el
Artículo 13 del GDPR.
|
Si el
consentimiento es otorgado por medios electrónicos, la solicitud debe ser
clara y concisa. La información en capas y granular puede ser una forma
adecuada de lidiar con la doble obligación de ser preciso y completo por un
lado, y comprensible por otro lado (directrices de consentimiento del WP29).
|
La
mayoría de los deberes relacionados con el principio de información mencionan
claramente el consentimiento y son aplicables cuando el consentimiento es el
fundamento legal. Además, algunos se mencionan claramente en el alcance del
tratamiento justo y transparente.
Sin
embargo, los lineamientos WP29 sobre consentimiento hacen énfasis en que es
necesario proporcionar la siguiente información al obtener el consentimiento
válido e informado:
·
Identidad del responsable,
·
Finalidad de cada actividad de tratamiento
donde el consentimiento es el fundamento legal,
·
Datos y tipo de datos que se recopilarán y
usarán a través del consentimiento,
·
El hecho de que existe el derecho de
retirar o revocar el consentimiento,
·
Información sobre el uso de datos para
procesamiento automatizado de datos (incluido el perfilamiento), que es otro de
los mencionados en el Artículo 13 del GDPR,
·
Los casos en que existe posibilidad de
transferencia de datos a otros países (también mencionado en el artículo 13).
Si bien
esta lista es menos exhaustiva que la del Artículo 13 del GDPR esto no quiere
decir que los demás elementos mencionados por ese artículo no deban ser
informados, además de que esa información puede proporcionarse en otro lugar,
como lo menciona el WP29 en sus directrices sobre transparencia.
Para
mayor referencia pueden consultarse los lineamientos sobre consentimiento
informado del WP29, que contiene directrices y ejemplos sobre la forma y
mecanismos en que debe proporcionarse la información al titular.
Evidencia inequívoca de consentimiento
En esta
última parte nos concentraremos en la obligación de que el consentimiento sea
inequívoco y se dé por medio de una declaración o una acción clara y afirmativa
por parte del titular.
Entre
los elementos que mencionamos que deben considerarse sobre la forma en que se
da el consentimiento mencionamos "una indicación inequívoca",
haciendo énfasis en el elemento de acción (recuadros previamente marcados,
silencio o inactividad de titular no son aceptables).
Las
directrices del WP29 sobre el consentimiento profundizan al respecto, señalando
que la actividad de tratamiento para la que se ha otorgado el consentimiento
debe ser evidente. Por definición, esto es casi lo mismo que decir que el
sujeto de los datos debe haber tomado una acción libre, informada, específica y
sin ambigüedades por la cual no hay ninguna duda posible.
Estas
directrices sobre consentimiento del WP29 hacen referencia al predecesor de
GDPR (La Directiva 95/46 / CE) que describía el consentimiento como una
"indicación de deseos por la cual el titular manifiesta que acepta el
tratamiento de los datos personales relacionados con su persona". No es
difícil imaginar cómo esto no siempre se interpretaba de la misma manera en
varios Estados miembros de la Unión Europea y daba lugar a algunas confusiones
y “puertas traseras”, por decir lo menos.
Considerando
que existen muchas autoridades responsables de supervisar y aplicar estas
directrices y que cada una tiene capacidades y presupuestos muy distintos (y
por lo que se vislumbra, esta situación no va a cambiar en el corto plazo para
la aplicación y supervisión del GDPR) era muy ambiguo referir a una “indicación
de deseos”.
De esta
forma el GDPR agrega explícitamente el elemento de una indicación inequívoca,
mencionando la necesidad de una declaración o acto afirmativo y claro. Por otro
lado establece explícitamente que las casillas opt-in pre-marcadas o pre llenadas, así como silencio o inactividad
por parte del titular de datos NO son indicaciones activas e inequívocas de
elección.
En este
sentido el WP29 en sus directrices menciona el deslizar una barra en sobre la
pantalla, declarar frente a una cámara, girar un teléfono inteligente en el
sentido de las agujas del reloj o en un movimiento de figura ocho como opciones
para indicar acuerdo, siempre y cuando se proporcione información clara y esté
claro que el movimiento del equipo en cuestión significa acuerdo con una
solicitud específica de consentimiento (por ejemplo, si desliza esta barra
hacia la izquierda, acepta el uso de la información X para el propósito Y.
Repita el movimiento para confirmar). El responsable debe ser capaz de
demostrar que el consentimiento se obtuvo de esta manera y los titulares deben
poder retirar o revocar el consentimiento tan
fácilmente como lo otorgaron.
Consentimiento distinguible de otros
asuntos
El
consentimiento también necesita ser distinguible de otros asuntos como se
especifica en la segunda parte del Artículo 7 del GDPR. Por ejemplo: una
empresa organiza una campaña de mercadotecnia para actualizar un consentimiento
previamente obtenido. Manda una invitación a los titulares y los dirige a una
página para confirmar su asistencia, agregando una casilla para reconfirmar el
consentimiento agregando una nueva finalidad para fines de promoción y publicidad.
Esto no está permitido como un medio legítimo y claro para buscar el
consentimiento, en particular un nuevo consentimiento para la comercialización
o promoción de productos, pues desde la perspectiva del titular no se distingue
la aceptación de ese tratamiento del objetivo de la campaña que es la
invitación a un evento.
De esta
manera se pueden imaginar fácilmente varios escenarios similares en los que la
búsqueda de consentimiento podría vincularse a otro asunto no distinguible de
la solicitud de aceptación de parte del titular, prestándose al engaño y no
proporcionando información clara y precisa sobre qué significa la acción de
parte del titular.
El
Artículo 7 fracción 2 del GDPR dice:
"Si el consentimiento del interesado
se da en el contexto de una declaración escrita que también se refiera a otros
asuntos, la solicitud de consentimiento se presentará de tal forma que se
distinga claramente de los demás asuntos, de forma inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna
parte de la declaración que constituya infracción del presente
Reglamento."
En
resumen, el consentimiento debe:
·
Ser otorgado de manera libre, específica y
de forma inequívoca
·
Ser otorgado a través de una declaración o
una acción afirmativa de parte del titular
·
Ser obtenido de forma que el responsable
cuente con elementos probatorios para demostrarlo
·
Ser retirado o revocado tan fácilmente
como se otorgó
El
consentimiento no debe:
·
Ser tomado de la inactividad o silencio
por parte del titular ni derivado de casillas prellenadas
·
Ser condicionado a la prestación de un
servicio de forma innecesaria
·
Usar leguaje confuso o engañoso
·
Estar agrupado dentro de la aceptación de
otros términos y condiciones
Nota del autor:
Varios
de los términos mencionados en este artículo fueron adaptados al contexto de la
regulación mexicana, de forma que pudieran ser entendidos al mismo tiempo que
los requisitos establecidos por la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares y de la Ley General de Datos
Personales en Posesión de Sujetos Obligados, sin embargo, para adecuada
referencia se pueden sustituir los siguientes términos por sus equivalentes en
la traducción europea:
Procesamiento
-> Tratamiento
Operación
de procesamiento - > Actividad de tratamiento
Interesado
o sujeto de datos - > Titular
Controlador
- > Responsable
Procesador
-> Encargado
Propósito
-> Finalidad
Referencias:
Texto
en español del GDPR
Lineamientos
sobre consentimiento del WP29
Comentarios
Publicar un comentario