Una de las nociones que nos trajo el Reglamento General de Protección de Datos es el consentimiento explícito, necesario para recoger los datos personales de los usuarios. Pero ¿qué significa consentimiento explícito y en qué se diferencia del consentimiento común?
Esta diferencia fue uno de los grandes quebraderos de cabeza en 2018 (cuando el RGPD se volvió de obligada aplicación) para muchas empresas. ¿Cómo podían obtener el consentimiento explícito de sus usuarios, si ya contaban con su consentimiento?
El Reglamento General de Protección de datos recoge que el consentimiento informado debe ser recogido de manera clara y precisa, y que no debe dejarse a la libre interpretación los datos que se recogerán ni con qué finalidad.
La manera más simple de obtener el consentimiento explícito sería en una declaración escrita. Sin embargo, en los entornos digitales podría valer el cumplimentar un formulario, enviar un correo electrónico, escanear un documento firmado o usando la firma electrónica.
En teoría, también podríamos obtener el consentimiento explícito de forma verbal, como en una llamada telefónica, aunque podría ser difícil probar que se han cumplido todas las condiciones necesarias para el consentimiento explícito.
¿Hace falta obtener siempre el consentimiento explícito?
De acuerdo con el RGPD, el consentimiento tendrá que ser explícito cuando se traten categorías especiales de datos personales, cuando los datos sean susceptibles de transferirse a terceros países sin una garantía de protección de datos adecuada, en el caso de que se vayan a adoptar decisiones individuales automatizadas, incluyendo la elaboración de perfiles y cuando vayan a ser utilizados para marketing directo.
No obstante, no será necesario obtener el consentimiento explícito en casos como un contrato individual, el cumplimiento de obligaciones legales, intereses legítimos o en tareas públicas.
¿Qué características tiene que tener el consentimiento explícito?
Además de ser recogido de forma clara y precisa, y sin dar lugar a libre interpretación, el consentimiento explícito debe cumplir las características del consentimiento general.
En primer lugar, debe ser único: separado de otros términos y condiciones. Además, no debe ser condicionante previo a la hora de firmar un servicio (a no ser que sea necesario para el mismo). El consentimiento explícito también tiene que ser definido y nominativo, esto es, debe quedar claro para qué se necesitan los datos personales y cuál será su tratamiento, identificando a la organización responsable y los terceros cesionarios de los datos.
La empresa, además, tendrá que conservar la documentación necesaria para demostrar que el usuario consintió en el tratamiento de sus datos, incluyendo los datos de qué dijo, cuándo y sobre qué se le informó. Por otra parte, el usuario debe poder revocar su consentimiento con la misma facilidad con la que lo otorgó.
Finalmente, el consentimiento explícito debe ser equilibrado, de modo que no se produzcan desequilibrios entre individuo y controlador.
¿Qué dice del consentimiento explícito la LOPDGDD?
La ley española en materia de protección de datos (Ley Orgánica 3/2018 de 5 de diciembre) afirma que el tratamiento de datos, de categorías especiales de datos y de datos de naturaleza penal solo podrán recogerse con el consentimiento explícito del usuario cuando su finalidad searealizar estadísticas públicas.
Además, para acceder a datos sensibles también se deberá contar con el consentimiento explícito, a no ser que sean datos públicos o el acceso esté amparado por la ley. Asimismo, las Administraciones no requerirá la presentación de documentación original o datos no exigidos por la normativa.
Para el resto de consideraciones respecto al consentimiento explícito, la LOPDGDD nos remite al Reglamento General de Protección de Datos, expuesto anteriormente.
