Comentario a las directices sobre el consentimiento regulado en el Reglamento General de Protección de Datos

Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19 Adoptadas el 21 de abril de 2020 

El 4 de mayo, el Comité Europeo de Protección de Datos publicó sus Directrices sobre el consentimiento, y afectó el contenido de la última “Guía sobre el uso de las cookies” publicada por la Agencia Española de Protección de Datos (AEPD).

El consentimiento es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El consentimiento debe ser una decisión reversible y que el interesado pueda tener un grado de control sobre el mismo.

1.- REQUISITOS PARA OTORGAR VÁLIDAMENTE EL CONSENTIMIENTO EN MATERIA DE TRATAMIENTO DE INFORMACIÓN SOBRE PERSONAS FÍSICAS IDENTIFICADAS O IDENTIFICABLES.

Consentimiento ha de ser libre o prestado libremente: No se considera válido el consentimiento prestado si el interesado no tiene poder de decisión, se siente obligado a consentir, o soporta consecuencias negativas en caso de no prestarlo. Igualmente, no se considera prestado libremente si el interesado es incapaz de rechazar o de retirar su consentimiento cuando lo precise. Esto implica que cualquier elemento de presión o influencia inapropiada sobre el interesado, hará que el consentimiento no se considere válidamente otorgado.  

Capacidad y posibilidad efectiva de elegir libremente la finalidad del tratamiento: se considera que el consentimiento se ha prestado válidamente si el interesado es capaz de ejercer una elección real, en la que no haya riesgo de engaño, intimidación, coacción o aplicación de consecuencias negativas en caso de que no lo preste.

Condicionalidad: el consentimiento ha de prestarse de forma que no pueda convertirse en la contraprestación de un contrato.

Granularidad: los interesados deben tener la libertad de elegir qué finalidad aceptan, en lugar de tener que consentir un paquete de finalidades de tratamiento. En este sentido, el Considerando 43 del RGPD aclara que se presume que el consentimiento no se da de forma libre si el proceso para obtenerlo no permite a los interesados dar su consentimiento por separado. A su vez, el considerando 32 establece que el consentimiento debe abarcar todas las actividades de tratamiento realizadas con la misma finalidad. Si el consentimiento se tiene que dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara y concisa de modo que no perturbe innecesariamente el uso del servicio para el que se presta.

Sin perjuicios para el interesado: el responsable del tratamiento debe demostrar que el interesado puede denegar o retirar el consentimiento prestado y que lo puede hacer sin perjuicio ni coste alguno para él, así como acreditar que retirar el consentimiento no supone una desventaja para el interesado.

Específico: Para garantizar un mayor grado de control al usuario y transparencia, debe otorgarse el consentimiento en relación con “uno o más fines específicos” y el interesado debe poder elegir cada uno de ellos por separado. 

Informado: para que el consentimiento sea informado, se debe aportar la siguiente información:

  1. La identidad del responsable del tratamiento.
  1. La finalidad de cada uno de los tratamientos para los que se solicita el consentimiento.
  1. Qué datos se recogen y se prevé que ser van a utilizar.
  1. El reconocimiento del derecho a retirar el consentimiento y el modo de hacerlo.
  1. Cuando proceda, información precisa sobre la utilización de los datos para adoptar decisiones automatizadas.
  1. Posibles riesgos sobre las transferencias internacionales de datos previstas y las garantías de seguridad ofrecidas para realizar esas transferencias.

Obtención del consentimiento explícito: el consentimiento debe ser una “declaración o una clara acción afirmativa”. El interesado debe realizar una expresa declaración de consentimiento. El artículo 7.1 del RGPD dispone: “el responsable del tratamiento tiene la obligación de demostrar el consentimiento que ha prestado el interesado. El consentimiento debe darse antes de realizar el tratamiento” (la carga de la prueba recae sobre el responsable).

Posibilidad de retirar el consentimiento: el responsable del tratamiento debe facilitar que el interesado pueda retirar su consentimiento con la misma facilidad con la que lo dio, así como que pueda hacerlo cuando lo considere oportuno.

2.- ¿EN QUÉ AFECTA A LAS COOKIES?

En el ámbito de la tecnología digital, los interesados reciben múltiples solicitudes de consentimiento que requieren respuestas mediante “clic” y movimientos de ratón muy frecuentemente, lo que hace que disminuya el efecto de advertencia real de los mecanismos de obtención del consentimiento.

El Comité concluye que “para que el consentimiento se otorgue libremente, el acceso a los servicios no debe condicionarse al consentimiento del usuario para almacenar información, o acceder a información ya almacenada, en el terminal del usuario”. Esta situación se suele encontrar en las denominadas “Cookie walls” que son ventanas que bloquean el contenido del sitio web al que se intenta acceder y que no desaparecen hasta que el usuario no marca “Aceptar”. En estos casos no puede considerarse que se haya otorgado válidamente el consentimiento porque no se ha dado libremente. 

El consentimiento no es válido porque no se le ha facilitado al interesado una forma de retirar el consentimiento análoga a la que se ha utilizado para otorgarlo.

Hacer “scroll” o la modalidad de “seguir navegando” por la web no se considera acción afirmativa clara. Este punto contradice los argumentos esgrimidos por la AEPD en su “Guía sobre el uso de cookies” en los que argumentaba que “determinados movimientos del ratón o la pulsación de teclas concretas, previa información al usuario, también pueden considerarse acciones afirmativas válidas para la obtención del consentimiento”

El Comité aclara, sobre la base del considerando 32 del RGPD que, “acciones tales como el desplazamiento o la navegación por una página web o una actividad similar de los usuarios no satisfarán en ninguna circunstancia el requisito de una acción afirmativa clara: esas acciones pueden ser difíciles de distinguir de otra actividad o interacción de un usuario y, por lo tanto, tampoco será posible determinar que se ha obtenido un consentimiento inequívoco.”

Mataró, 25 de septiembre de 2020.

Antonio Ruiz Carrillo

DIRECTOR DE CIPDI

Recommended Posts

No comment yet, add your voice below!


Add a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *