CONSENTIMIENTO: ¿ES SIEMPRE NECESARIO?
Como ya hemos explicado en otras ocasiones en nuestro blog, no se puede tratar un dato de carácter personal “porque sí” o porque “nos lo han dado ellos”. Para poder tratarlo debemos tener un “porqué”, lo que la ley denomina “base de legitimación”.
Las bases de legitimación que contiene el Reglamento Europeo de Protección de Datos (en adelante RGPD) son las siguientes:
- El consentimiento
- La ejecución de un contrato
- El cumplimiento de una obligación legal
- Tratamiento basado en el cumplimiento de un interés público
- Tratamiento basado en el cumplimiento de un interés legítimo
- Tratamiento necesario para proteger un interés vital
Hoy vamos a centrarnos en la primera de las bases, el consentimiento. Un consentimiento es una declaración de voluntad libre, específica, informada e inequívoca mediante la cual el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa el tratamiento de sus datos.
Si nos podemos apoyar en otra base de legitimación, no sería necesario recabar el consentimiento, como cuando tratamos un dato porque nos lo obliga o permite una ley. Otra forma que podemos utilizar para saber si debemos recoger el consentimiento o, por el contrario, acudir a una base de legitimación distinta, es preguntarnos qué pasaría no quisiéramos darlo o quisiéramos retirarlo. Por ejemplo, si una empresa quiere colocar unas cámaras de videovigilancia, no parece lógico que tenga que pedir permiso a los trabajadores puesto que podría haber personas que se nieguen. Sin embargo, para publicar la imagen de una persona, enviarle una newsletter o instalar cookies en sus dispositivos sí deberemos recabarlo, ya que es algo totalmente voluntario y que no tiene consecuencias si no acepta o si quiere retirarlo.
Las características que debe reunir el consentimiento son:
- Informado: La organización debe informar al propietario de los datos antes de obtener el consentimiento de los aspectos que indica el RGPD (identidad del Responsable, finalidad del tratamiento, derechos de los interesados, destinatarios de sus datos…)
- Expreso: necesidad de una acción positiva. No vale el consentimiento tácito, la inacción, es decir, no valen las casillas premarcadas, seremos nosotros quienes debamos marcar esas casillas ni el hecho de decir que “si el interesado no se opone, utilizaremos sus datos”.
- Específico: para cada caso concreto. Por ejemplo, si el colegio nos pide el consentimiento para utilizar la foto de nuestros hijos, deberá señalizar por separado cuáles son los distintos destinatarios de esas fotos (publicar en redes sociales, publicar en web, etc.) y los padres y madres podremos decidir que la foto utilizada para fines internos del colegio, pero no para redes sociales, por ejemplo.
- Registro: La organización deberá ser capaz de demostrar que ha cumplido con su obligación, por lo que se aconseja recabarlo por escrito o mediante medios telemáticos.
- Revocable: una vez hayamos dado el consentimiento tendremos derecho a retirarlo en cualquier momento sin que afecte a la validez del consentimiento otorgado previamente (sin efectos retroactivos).
Cuando el consentimiento se refiera a menores de entre 14 a 18 años de edad, este podrá ser otorgado por ellos mismos, salvo que una norma exija la asistencia de los padres o tutores.
Si no tienes claro si tienes que recabar el consentimiento o cómo debes hacerlo, ponte en contacto con nosotras.