¿Cómo debe ser el consentimiento en materia de protección de datos personales?

Complementando nuestro artículo ¿Cómo afecta el nuevo RGPD al consentimiento en el tratamiento de datos personales? queremos profundizar hoy en el término consentimiento.

Cuando las empresas necesitan tratar datos personales, deben encontrar una base jurídica que les autorice a hacerlo. Estas bases legales, que legitiman el tratamiento de datos personales, aparecen recogidas en el Artículo 6 del Reglamento general de protección de datos (RGPD) y ya las analizamos en detalle en el artículo ¿Cuándo podemos tratar datos personales?.

En resumen, se permite el tratamiento de datos personales en alguno de los siguientes casos:

  1. cuando el interesado dió su consentimiento
  2. cuando el tratamiento es necesario para la ejecución de un contrato
  3. cuando es necesario para el cumplimiento de una obligación legal
  4. en el caso de que sea necesario para proteger intereses vitales del interesado
  5. para el cumplimiento de una misión realizada en interés público o,
  6. para la satisfacción de un interés legítimo

Los responsables del tratamiento de datos deben tener claro desde el principio qué base jurídica aplicarán y la finalidad con la que tratan datos personales.”

En la práctica, sin embargo, las empresas realizan estos tratamientos de datos personales en base a una o varias de las antes mencionadas bases legales (por ejemplo los datos de un usuario pueden basarse en la necesidad de celebrar/ejecutar un contrato y en su consentimiento) y para diversos fines.

En este artículo nos vamos a centrar en el primer supuesto: cuando el tratamiento se basa en el consentimiento del interesado.

El Reglamento establece de forma clara que el consentimiento debe ser libre, específico, informado y explícito, pues debe consistir en una clara acción/declaración positiva de voluntad por parte del interesado (“data subject”), pero hay determinadas situaciones en las que para que se cumplan estos requisitos es necesario analizar el consentimiento y su contexto.

A continuación nos referiremos a una serie de factores que deben tenerse en cuenta si queremos basar el tratamiento de datos personales en su consentimiento:
1. desequilibrio de poder

Una cuestión a considerar para garantizar que el consentimiento pueda ser prestado libremente es la igualdad de condiciones de las partes involucradas.

En principio, no deberíamos recurrir al consentimiento de los interesados para tratar sus datos personales cuando exista un claro desequilibrio de poder entre el responsable y el interesado, pues éste invalidaría la posibilidad de prestar un consentimiento libre en los términos del Reglamento.

Especial consideración merecen en este sentido los tratamientos de datos personales realizados por autoridades públicas o en el ámbito laboral.

Recuerda, cuando exista un desequilibrio de poder, trata de buscar otra base legal para el tratamiento de datos.
2. condicionalidad

Otro de los supuestos a tener en cuenta es cuando se vincula el consentimiento a la aceptación de los términos y condiciones, al cumplimiento de un contrato o la prestación de un servicio. Se trata de una situación en la que de nuevo es muy cuestionable que el consentimiento pueda darse libremente y por lo tanto se considera inapropiado.

En estos supuestos, es posible distinguir:

  • por un lado, el contrato, prestación de servicios y términos y condiciones que deberán basarse en la correspondiente base legal, por ejemplo Artículo 6.b
  • por otro, cualquier dato personal adicional no necesario para la realización de dicho contrato o servicio que sí podrá basarse en el consentimiento.

3. disociación de los fines del tratamiento de datos

En los supuestos de un tratamiento de datos que sirva para más de un fin, los interesados deberían tener libertad para elegir qué fines aceptan, en vez de tener que dar su consentimiento a un conjunto de fines. En estos casos, serán necesarios tantos consentimientos como finalidades distintas existan, siempre que éstas no sean compatibles entre ellas.
Recuerda, el consentimiento debe ser específico para cada fin.

Cualquier cambio en la base jurídica para realizar el tratamiento de datos debe notificarse al interesado

Para más información:

Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 – Grupo de trabajo del artículo 29 adoptadas el 28 de noviembre de 2017 revisadas por el Comité europeo de protección de datos.

¿Cuándo podemos tratar datos personales?

¿Cómo afecta el nuevo RGPD al consentimiento en el tratamiento de datos personales?

2 comentarios sobre “¿Cómo debe ser el consentimiento en materia de protección de datos personales?

Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: