1 ¿Qué es el consentimiento?
El consentimiento es una de las bases legitimadoras que recoge el Reglamento General de Protección de Datos (RGPD / GDPR) en su artículo 6. Como se puede observar en dicho artículo, se trata de una base legitimadora más, sin que se promulgue como la regla general o requisito indispensable para el tratamiento de datos. A este respecto, es importante tener en cuenta que la legislación previa en España viene partiendo de un concepto diferente, pues tanto el artículo 6 de nuestra anterior LOPD de 1999, así como el mismo artículo de la LORTAD de 1992, establecían que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”.
Esto, sin embargo, difería del enfoque de la Directiva europea de 1995, que incluía un contenido muy similar al actual artículo 6 del RGPD. Por tanto, es importante tener en cuenta que, en el caso de España, hemos realizado un cambio de paradigma en cuanto a la habilitación del tratamiento de datos. Antes existían también otras bases legitimadoras, pero no eran llamadas como tal ni su aplicación era tan clara, por lo que es importante remarcar este cambio y tener presente que el consentimiento, habiendo sido protagonista en el pasado, pasa ahora a ser una base legitimadora más (muy importante, pero una más, al fin y al cabo).
Por su parte, la definición del consentimiento se recoge en el artículo 4.11 del RGPD como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Sin embargo, además de esta definición, el RGPD hace referencia a numerosos requisitos y características concretas de esta figura que suponen importantes novedades. De esta forma, a través de este artículo se analizarán estas características para intentar clarificar (i) qué debe cumplirse para obtener el consentimiento adecuadamente, y (ii) qué dificultades entraña con respecto a otras bases legitimadoras.
2 Requisitos del consentimiento
Los elementos que debe reunir el consentimiento para considerarse válidamente obtenido son los siguientes:
– Libre. Este es probablemente el requisito que más dificultades entraña en la práctica. Que el consentimiento deba ser libre implica que si el interesado se siente obligado a dar su consentimiento o puede sufrir consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido (así lo determina el Grupo de Trabajo del Artículo 29 tanto en su Dictamen 15/2011 sobre la definición del consentimiento, como en las Directrices sobre el consentimiento según el RGPD de 2017). Esto, por ejemplo, supone que diversas autoridades de protección de datos en la Unión Europea no aceptan el consentimiento prestado por parte de un trabajador a su empresa al considerarse que nunca puede ser considerado “libre”.
– Específico. El consentimiento debe ser específico en cuanto a la finalidad o finalidades concretas para las que se van a utilizar los datos del interesado. De hecho, el considerando 32 del RGPD establece que cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Esto significa que no sería válido obtener un “consentimiento general” que cubriese todos los tratamientos de datos, sino que deben separarse por finalidades, aunque sí que podrían agruparse aquellos con la misma finalidad.
– Informado. Es necesario proporcionar una cierta información al interesado en el momento de recabar su consentimiento para que este sea válido. Concretamente, el Grupo de Trabajo del Artículo 29 establece que debería informarse sobre (i) la identidad del responsable, (ii) finalidades, (iii) tipo de datos tratados, (iv) existencia del derecho a retirar el consentimiento, (v) existencia de decisiones automatizadas y, (vi) si aplica, riesgos de transferencias sin decisiones de adecuación ni garantías adecuadas (págs. 14 y 15 de las Directrices sobre el consentimiento). Esta información sería sin perjuicio del deber general de informar ya contenido en los artículos 13 y 14 del RGPD.
– Inequívoco. Si bien el término inequívoco ya se incluía en el texto de la Directiva de 1995, el concepto se ve ampliado con el RGPD. Esto conlleva que el consentimiento debe prestarse mediante una declaración (oral o escrita) o una clara acción afirmativa. Según el considerando 32 del RGPD esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Asimismo, según el mencionado considerando 32, el silencio, las casillas ya marcadas o la inacción no son fórmulas válidas para obtener el consentimiento.
¿Significa lo anterior que el consentimiento según el GDPR debe ser siempre explícito? No son pocos los que afirman que el Reglamento General de Protección de Datos establece una regla general de “consentimiento explícito”, pero esto no es cierto, a excepción de en el caso de las categorías especiales de datos (y transferencias internacionales de datos), como veremos más adelante. No obstante, sí que es cierto que, al exigirse una clara acción afirmativa, no es sencillo encontrar fórmulas diferentes para obtenerlo, lo cual no significa que no existan.
3 Consentimiento explícito para categorías especiales de datos
Los datos especialmente protegidos (recogidos en el art. 9 del RGPD como categorías especiales de datos) son los siguientes: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud y datos relativos a la vida u orientación sexual de una persona física. En este caso, las bases legitimadoras recogidas en el artículo 6 no serían aplicables, estableciendo el propio artículo 9 RGPD unos nuevos supuestos en los que sería lícito este tratamiento.
Pues bien, en este caso, el artículo 9 RGPD recoge como primera posibilidad para poder tratar datos especialmente protegidos el “consentimiento explícito”. Y en este caso, tal y como se puede observar, indica la palabra “explícito”, la cual no es mencionada en el artículo 6 ni en ninguno de los considerandos relativos al consentimiento. Lo anterior denota que existen dos distintos tipos de consentimiento en el RGPD: el consentimiento general de los arts. 6.1 y 7 y el consentimiento explícito del art. 9.2.a) necesario para el tratamiento de datos especialmente protegidos.
¿Cuál sería la diferencia entonces entre el consentimiento general y este consentimiento explícito del artículo 9? Para mí la respuesta es clara. Como he comentado, no considero que el consentimiento “normal” deje mucho lugar a ser creativo, pero directamente el artículo 9 no deja ninguno. Una declaración expresa por parte del interesado sería prácticamente la única forma de obtenerlo, si bien podría ser tanto escrita como verbal (aunque en este segundo caso es más difícil de obtener correctamente).
4 Conclusión: ¿es el consentimiento la mejor base legitimadora?
El consentimiento es sin duda la base legitimadora que ofrece más garantías al interesado, pero no necesariamente es la que aporta mayor seguridad jurídica al responsable del tratamiento en la práctica. Algunos de los problemas con los que cuenta el consentimiento serían:
-Es difícil de obtener. El hecho de que se solicite una clara acción afirmativa da lugar a que no existan excesivas posibilidades fuera del ámbito del consentimiento explícito (correspondiente casilla con el “acepto el tratamiento de mis datos para…”). Asimismo, recordemos que en enero de este año 2019 la CNIL (autoridad de protección de datos de Francia) impuso una multa a Google por, entre otras cuestiones, entender que no había obtenido el consentimiento adecuadamente (lo que refleja que, precisamente por ser difícil de obtener, es sencillo igualmente incurrir involuntariamente en una infracción por ello).
-Siempre puede ser retirado. Como hemos comentado, el consentimiento debe ser libre y esto conlleva que el interesado tenga el derecho a retirar el consentimiento en cualquier momento y sin que esto suponga un perjuicio. Esto supone que el responsable estaría expuesto a perder la base legitimadora para el tratamiento de datos e cualquier momento y que, por tanto, no se pudiera seguir llevando a cabo.
-Es necesario conservar prueba. El artículo 7 del RGPD establece que el responsable deberá de poder probar que obtuvo el consentimiento del interesado. Por tanto, cuando nos basamos en esta base legitimadora nos vemos obligados a conservar evidencias de la obtención del consentimiento, con las correspondientes complicaciones que esto podría conllevar en la práctica.
En conclusión, obtener el consentimiento es una buena práctica y nunca diré que no se deba realizar. No obstante, recomendaría a cualquier organización que realizara un análisis exhaustivo acerca de si un tratamiento pudiera estar amparado en cualquiera de las otras bases legitimadoras antes de aplicar el consentimiento. Existen supuestos en los que es imposible encajar ciertos tratamientos en ninguna de las otras y, cuando se den estos casos, nada se puede hacer. Sin embargo, mi experiencia en la práctica es que poder fundamentar el mayor número de tratamientos posible en otras bases legitimadoras es más ventajoso para el responsable a largo plazo.
