El Reglamento general de protección de datos (RGPD) derogará a partir del 25 de mayo de este año la actual normativa vigente en materia de protección de datos en España: la Directiva 95/46 y la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Entre sus novedades, el Reglamento pone especial atención en la obtención del consentimiento de los interesados o «data subjects» para que el tratamiento de datos personales sea considerado lícito.
El consentimiento ha de presentar una serie de requisitos expresamente contemplados en la nueva regulación europea. Ésta exige que debe ser una declaración o una clara acción afirmativa de voluntad libre, específica, informada e inequívoca.
Analicemos cada uno de los requisitos que exige el nuevo Reglamento:
1. una clara acción/declaración de voluntad positiva
Debe tratarse de una acción o una declaración afirmativa. Ya no se admiten las casillas pre-marcadas, las formulaciones en negativo, la falta de acción y el silencio por pate del interesado para entendder que está prestando su consentimiento.
2. libre
La voluntad no debe estar sujeta a ningún tipo de condición. La negativa a prestar consentimiento no puede perjudicar al interesado o «data subject» de ninguna forma.
3. específica
El consentimiento debe prestarse para cada uno de los tratamientos que se realicen, siendo obligatorio para el responsable indicar la finalidad del mismo.
Cuando el tratamiento tenga varios propósitos, el consentimiento deberá ser otorgado para todos y cada uno de los fines que son objeto de tratamiento.
4. informada
La solicitud del consentimiento debe realizarse de forma inteligible y utilizando un
lenguaje claro y sencillo. Debe informarse a los interesados de sus derechos, de las finalidades para las que se ceden el uso de sus datos personales y el tiempo de retención de los mismos. También debe facilitarse al interesado el nombre y contacto del DPO y del responsable del tratamiento.
El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
Una persona puede retirar su consentimiento en cualquier momento. Será tan fácil retirar el consentimiento como darlo.
5. inequívoca
A diferencia de lo que ocurre en el actual marco legal, el RGPD introduce el carácter inequívoco de la voluntad. No se admiten fórmulas vagas o confusas por lo que se requiere que el lenguaje empleado sea fácil y claro.
Debe ser clara tanto la solicitud del consentimiento como la prestación del mismo.
Cuando la solicitud del consentimiento se haga al tiempo que se disponen otras materias, la solicitud debe ser claramente distinguible de los otros asuntos, de forma inteligible y de fácil acceso.
Como bien indica la Agencia Española de Protección de Datos (AEPD) hasta el 25 de mayo de 2018 las organizaciones deberían adaptarse progresivamente a la nueva legislación.
Debe revisarse que la obtención de los consentimientos a través de sitios web se están recogiendo mediante acciones afirmativas. Es aconsejable llevar un registro de los diferentes avisos legales que la empresa tenga. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación.
Una importante novedad a partir del 25 de mayo es que cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
El responsable del tratamiento ha de ser capaz de demostrar que el consentimiento se ha prestado cumpliendo todos los requisitos legales
ProteCción de DaToS personaLeS 