Seguro que tú también te has hecho estas preguntas. Por eso te dejo esta guía donde respondo a esas y otras cuestiones sobre el consentimiento expreso para el tratamiento de datos de carácter personal.
¿Es necesario siempre un consentimiento para tratar los datos personales? ¿Cómo puedo solicitar ese consentimiento a mis clientes? ¿Qué ocurre si no tengo ese consentimiento?
El nuevo Reglamento europeo de Protección de datos, más conocido como RGPD, introdujo cambios en el consentimiento para tratar los datos personales de nuestros clientes.
¿Qué es el Consentimiento Expreso?
El consentimiento expreso podemos definirlo como el consentimiento como la manifestación de voluntad de una persona por la que acepta algo, pero al hablar de protección de datos, el consentimiento es la aceptación de la persona de que un tercero pueda tratar sus datos personales.
Normativa
Antes de la entrada en vigor de esta normativa europea, se permitía un consentimiento tácito o presunto para poder tratar los datos personales.
¿Y eso qué significa?
Pues que cuando el afectado no manifestaba su deseo de que no se recogieran o trataran sus datos personales, estaba permitido hacerlo.
El RGPD, en su artículo 4, recoge el consentimiento como unos de los principios de la protección de datos y prohíbe expresamente los consentimientos tácitos o presuntos. El consentimiento debe ser expreso.
La Ley Orgánica de Protección de Datos y garantía de Derechos Digitales (en adelante, LOPDGDD), aprobada en diciembre de 2018 para adaptar la norma europea a nuestro derecho, también hace referencia al consentimiento expreso como único consentimiento válido.
Uno de los principales objetivos del RGPD es otorgar a las personas un mayor control sobre sus datos personales. Por eso se exige que esos datos solo puedan ser gestionados si su titular así lo quiere.
Características
Para considerar válido el consentimiento, éste debe cumplir una serie de requisitos:
- Afirmativo y evidente: es obligatorio que exista una conducta activa. Por tanto, las casillas premarcadas no se consideran válidas como medio para obtener el consentimiento. Tampoco incluir frases como “Si en un mes no se opone al tratamiento de sus datos, entendemos que está conforme”.
- Independiente: es necesario obtener el consentimiento para cada una de las finalidades para las que vamos a tratar los datos (por ejemplo, emitir una factura o enviar publicidad).
- Nominativo: al solicitar el consentimiento debe informarse al afectado sobre quién es responsable de ese tratamiento y todos los terceros a los que van a cederse esos datos.
- Comprobable: el responsable del tratamiento debe poder demostrar documentalmente que el afectado otorgó su consentimiento, cuándo lo hizo y qué información le facilitó.
- Revocable: para el afectado debe ser igual de sencillo dar que quitar ese consentimiento.
Excepciones
Se establecen una serie de supuestos en los que no es necesario el consentimiento del titular para poder tratar sus datos personales:
- En el caso de que los datos personales se recojan por las Administraciones públicas para el ejercicio de sus competencias.
- Si esos datos son necesarios para el cumplimiento de una relación laboral, negocial o administrativa.
- Cuando los datos procedan de fuentes de acceso público y su gestión esté justificada en un interés legítimo del responsable del tratamiento pero, siempre que no se pongan en peligro los derechos fundamentales de ese titular.
Solo en estos supuestos no necesitarás el consentimiento de tus clientes para poder tratar sus datos. En cualquier otro caso es obligatorio cumplir con esa obligación de solicitar el consentimiento.
Obligaciones de la empresa
Como empresa o autónomo debes realizar las siguientes actuaciones para cumplir el deber de obtener el consentimiento expreso de tus clientes:
- Solicita a cada uno de tus clientes su consentimiento para cada uno de los fines para los que vas a tratar sus datos personales.
- Comprueba todos los tratamientos de datos personales que estés realizando para que no exista un consentimiento tácito.
- Comprueba que no estés utilizando un consentimiento presunto o solicitado de forma negativa.
- Elimina todas las casillas premarcadas tanto en la web como en los documentos de solicitud de consentimiento.
- Guarda todos los consentimientos de tus clientes ya que en algún momento puedes necesitarlos para justificar ese tratamiento.
Métodos para obtener el consentimiento
Necesitas utilizar un método que te permita justificar que esa persona te dió su autorización para poder tratar sus datos personales para ese fin concreto.
Algunos ejemplos de mecanismos para obtener el consentimiento son:
- Firmar una declaración de consentimiento en un formulario en papel o electrónicamente.
- Marcar una casilla en papel o electrónicamente.
- Hacer clic en un botón de suscripción o enlace en línea.
- Seleccionar entre las opciones Sí / No
- Elegir la configuración técnica o la configuración del panel de preferencias.
- Responder a un correo electrónico donde se solicita el consentimiento.
- Dar voluntariamente información opcional para un fin específico, por ejemplo, rellenando campos opcionales en un formulario.
¿Durante cuánto tiempo es válido el consentimiento?
La respuesta no es sencilla.
No existe un plazo específico de validez del consentimiento ya que depende del contexto en el que se ha prestado y del tipo de tratamiento que se ha consentido.
Por ejemplo, si el consentimiento se ha prestado en nombre de un menor por sus padres, dejará de ser válido en el momento que el titular de esos datos alcance la mayoría de edad. En ese momento podrá decidir por sí mismo y tendrá que renovarse ese consentimiento.
Lo que sí está claro es que existe la opción de eliminar el consentimiento otorgado en cualquier momento.
Supuestos específicos
Es necesario aclarar determinados supuestos específicos de obtención del consentimiento.
Menores
El tratamiento de datos personales de los menores de edad de regula de manera específica ya que los niños merecen una especial protección.
La LOPDGDD establece como edad mínima para que los menores puedan otorgar su consentimiento los 13 años. Por debajo de esa edad deben ser sus padres o tutores quienes consientan esos tratamientos.
Pero, aunque sean mayores de 13 años y puedan otorgar el consentimiento por sí mismos, se exige que esa solicitud reúna unos requisitos específicos:
- La información proporcionada sobre quién, cómo y para qué van a tratarse sus datos personales debes facilitársela en un lenguaje sencillo y adaptado a sus conocimientos.
- Intenta conservar esos datos durante un plazo menor que en el caso de datos de adultos.
- Debes darle la opción de revocar ese consentimiento cuando pase a ser mayor de edad.
- Y tienes que informarle y pedir el consentimiento por separado para cualquier finalidad con la que vayas a tratar sus datos: publicar fotografías en Internet o en escaparates, gestión escolar o médica.
Páginas web
En las páginas web el consentimiento debe solicitarse a través de una casilla que el usuario debe marcar o mediante la configuración del almacenamiento de cookies en el dispositivo.
En estos casos la información que debe facilitarse al usuario debe ser clara y precisa sobre el uso que van a darse a esos datos. También debe reconocerse el derecho que tiene el usuario a la portabilidad de sus datos y la empresa no puede negarse a ceder esos datos a un tercero si el usuario lo solicita.
El consentimiento debe solicitarse en cualquier página web que incluya formularios de contacto, de suscripción o de solicitud de presupuesto donde se recojan datos personales.
La manera más sencilla de solicitar el consentimiento en las páginas web es incluir una casilla desmarcada indicando “Acepto la política de privacidad” o “Acepto la configuración de cookies” con un enlace a esos textos.
Redes sociales
El principal problema que surge respecto a las redes sociales es la publicación de fotografías de terceras personas. En ese caso, necesitamos igualmente su consentimiento expreso para poder publicarlas.
La imagen es considerada un dato personal ya que sirve para identificar de forma inequívoca a una persona. Por eso, para tratar esas imágenes necesitamos autorización de su titular.
El frecuente sobre todo en el ámbito educativo, que se suban fotografías de actos escolares a las redes sociales. Siempre debe existir un consentimiento del afectado o de sus padres o tutores, si es menor de 13 años.
Empleados
Para tratar los datos personales de nuestros empleados también debemos solicitar su consentimiento.
Aunque hay tratamientos que se infieren de la relación laboral, como la elaboración de nóminas o la videovigilancia. En esos casos, debemos informarles al firmar el contrato sobre esos tratamientos, pero no sería necesario su consentimiento.
Sin embargo, si vamos a realizar otros tratamiento que no son necesarios para el cumplimiento de las obligaciones derivadas de la relación laboral, como publicar fotografías de esos trabajadores, necesitamos su consentimiento expreso.
Igualmente debemos solicitar el consentimiento del empleado para publicar en los tablones de anuncios de la empresa sus datos personales en turnos, vacaciones, etc.
Sanidad
Los datos de salud son considerados como especialmente protegidos, por lo que el consentimiento en sanidad merece una consideración especial.
Se exige el consentimiento expreso del titular para poder tratar sus datos de salud, salvo en una serie de supuestos:
- Si la finalidad del tratamiento es proteger un interés vital del interesado.
- Ese tratamiento sea imprescindible para reconocer o diagnosticar enfermedades o para prestar servicios sanitarios. Pero siempre debe realizarse por un profesional sometido al deber de secreto.
- Comunicación de datos de salud entre diferentes centros médicos.
- Cuando lo prevea una ley por motivos de interés público.
Para informar a los familiares sobre datos de salud del paciente también es necesario su consentimiento.
Modelo de consentimiento expreso LOPD
Aquí te dejo los modelos de consentimiento que puedes descargar para cumplir con la obligación prevista en la normativa de Protección de datos.
- Clientes
- Menores
- Pacientes
- Publicación de fotografías
- Datos biométricos
- Curriculum
- Geolocalización
- Uso de WhatsApp
Preguntas frecuentes
¿Debo volver a solicitar el consentimiento a todos mis clientes?
Depende.
Si esos clientes ya te habían dado su consentimiento expreso para tratar sus datos para los fines previstos, no es necesario volver a pedírselo.
Pero si no tenías el consentimiento o este era tácito, sí debes solicitarlo para que lo otorguen de manera expresa.
¿Puedo enviar comunicaciones comerciales sin consentimiento?
Rotundamente no.
Solo es posible enviar publicidad sobre tus productos o servicios a usuarios que previamente lo hayan autorizado. Salvo que sean clientes con los que exista una relación contractual previa, en cuyo caso puedes enviarles información comercial sobre productos o servicios similares a los que ese cliente hubiera contratado.
¿Es posible recopilar datos de usuarios de las guías telefónicas?
Sí, se puede hacer.
Las guías telefónicas son consideradas fuentes de acceso público por lo que, en la normativa, se permite recoger datos que figuren en ellas sin necesidad de solicitar el consentimiento a su titular.
Pero, si esos datos van a usarse para enviar comunicaciones comerciales, debemos pedir ese consentimiento informando al afectado sobre el origen de esos datos, quién es el responsable del tratamiento y los derechos que tiene y cómo puede ejercerlos.
¿Puedo utilizar WhatsApp para comunicar datos personales?
Sí, pero con consentimiento del afectado.
Para usar sistemas de mensajería instantánea para comunicarte con tus clientes debes solicitar su autorización, ya que son sistemas considerados poco seguros. Por ejemplo, WhatsApp comparte la información con Facebook.