Guías sobre el consentimiento y el principio de transparencia del grupo de trabajo europeo de protección de datos WP29

El WP29 es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea cuya finalidades son, entre otras, estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales en materia de protección de datos y formular recomendaciones.

En este sentido, el WP29 ha publicado sendas guías sobre el consentimiento (“Guidelines on Consent under Regulation 2016/679”) y sobre transparencia (“Guidelines on transparency under Regulation 2016/679”).

1. Guía sobre el Consentimiento válido

El WP29, basándose en las directrices del RGPD, define los elementos que deben darse para que el consentimiento sea válido: otorgado libremente, específico, informado e inequívoco.

– Consentimiento otorgado libremente: Si el afectado no puede optar por una verdadera elección, si se siente obligado a prestar el consentimiento o prevé que no prestarlo tendrá consecuencias negativas, entonces el consentimiento no será válido. Asimismo, si el consentimiento se ofrece como una parte no negociable dentro de los términos y condiciones generales, se presume no otorgado libremente. Tampoco se considerará como tal, si el afectado no puede negarse a prestarlo sin detrimento.

– Consentimiento específico: El consentimiento debe ser otorgado para uno o varios fines específicos y el afectado debe tener elección en cada uno de ellos. Para cumplir con este elemento del consentimiento válido, el responsable deberá llevar a cabo las siguientes actuaciones: (i) especificar los fines para evitar la ampliación gradual de los fines del tratamiento, después de que el afectado prestara su consentimiento para la recogida original de los datos; (ii) separar las solicitudes de consentimiento; (iii) separar claramente la información sobre la obtención del consentimiento para actividades de tratamiento de la información sobre otros elementos.

– Consentimiento informado:  Si el responsable no proporciona información accesible, el control del afectado se vuelve ilusorio y el consentimiento se convertirá en una base legitimadora inválida para las actividades de tratamiento.

Para obtener un consentimiento válido, se tiene que informar, como mínimo, de:

  • la identidad del responsable;
  • el fin para cada actividad de tratamiento para la que se recaba el consentimiento;
  • los tipos de datos que serán recabados y tratados;
  • la existencia del derecho a retirar el consentimiento;
  • información sobre el tratamiento de los datos para tomar decisiones basadas únicamente en el tratamiento automatizado de datos, incluyendo la elaboración de perfiles; y
  • si el consentimiento tiene que ver con las transferencias de datos, se debe informar al interesado sobre los posibles riesgos para él de dichas transferencias y la existencia o ausencia de una decisión de adecuación y de garantías adecuadas.

– Consentimiento inequívoco: El consentimiento válido requiere una manifestación inequívoca, ya sea mediante una declaración o una clara acción afirmativa. En este sentido, el WP29 considera que “una clara acción afirmativa” implica que el afectado ha realizado una acción deliberada para consentir el tratamiento particular. El consentimiento puede ser manifestado de distintas formas, pero la utilización de casillas pre-marcadas otorgando el consentimiento son inválidas bajo el RGPD.

– Consentimiento explícito: Por otro lado, y en relación a la necesidad de obtener el consentimiento explícito, requerido en ciertas ocasiones, como por ejemplo, para el tratamiento de categorías especiales de datos, el WP29 señala que el término explícito hace referencia a que el afectado debe proporcionar una declaración expresa de consentimiento.

Existen diversas formas de conseguir este consentimiento explícito: a través de una declaración por escrito, el envío de un email, descargar un documento escaneado con la firma del afectado, mediante firma electrónica, etc. Otro modo de hacer que el consentimiento explícito sea válido es la verificación mediante dos etapas, como, por ejemplo, cuando el afectado presta su consentimiento en un email y posteriormente debe clicar un enlace de verificación.

En relación a la obligación del responsable de demostrar que ha obtenido el consentimiento del afectado, el RGPD no establece un método específico para cumplir con dicha obligación ni un límite temporal sobre cuánto debe durar dicho consentimiento. Esta duración dependerá del contexto, del enfoque del consentimiento original y las expectativas del afectado. En cualquier caso, después de que la actividad de tratamiento haya finalizado, se debe mantener la prueba del consentimiento durante el tiempo que sea estrictamente necesario para cumplir con obligaciones legales o reclamaciones.

El responsable debe ser capaz de demostrar, a su vez, que el afectado fue informado y que cumplió con todos los requisitos para la obtención de un consentimiento válido. Si el tratamiento de los datos cambia, o evoluciona de manera considerable, se requerirá obtener nuevo consentimiento. En este sentido, el WP29 recomienda, como práctica adecuada, que el consentimiento sea recabado cada cierto intervalo, ofreciendo toda la información de nuevo.

En relación con el derecho del afectado de retirar el consentimiento, conforme al RGPD, el responsable debe garantizar que el consentimiento pueda ser retirado con la misma facilidad con la que se prestó y sin detrimento alguno. Ahora bien, el RGPD no obliga a que sea exactamente de la misma forma, simplemente requiere la misma facilidad.

Por último, el WP29 también hace una mención específica a otras áreas concretas del RGPD en relación al consentimiento:

  • El tratamiento de datos personales de menores de 16 años sólo será válido si el consentimiento es prestado o autorizado por los responsables del menor, aunque los Estados Miembros pueden establecer una edad inferior por ley siempre que esa edad no sea inferior a 13 años. A efectos de obtener el consentimiento informado de un menor, el responsable debe explicar cómo se van a tratar los datos en un lenguaje claro y adecuado al menor.
  • Cuando se traten categorías especiales de datos para fines científicos, los proyectos de investigación científica o médica sólo pueden incluir datos personales si se ha recabado el consentimiento previamente y siempre que se haya descrito de manera correcta las finalidades del tratamiento. En dichos casos, el responsable podrá aplicar mayores garantías, tales como minimización de los datos, anonimización y seguridad de los datos.
  • Derechos de los afectados: Cuando el tratamiento de los datos esté basado en el consentimiento, el derecho de oposición no es aplicable, aunque sí que se mantiene el derecho de retirar el consentimiento, que tiene efectos similares.
  • Por último, señala el WP29 que los consentimientos obtenidos hasta la fecha son válidos siempre que sean acordes a lo establecido en el RGPD. Si el responsable descubre que el consentimiento previamente obtenido bajo la antigua normativa no cumple con los estándares de consentimiento del RGPD, deberá evaluar si debe basar el tratamiento en otra base legitimadora. Si el responsable no es capaz de renovar el consentimiento de acuerdo al RGPD, la actividad de tratamiento debe finalizar.

2. Guía sobre Transparencia

Los elementos clave en relación con el principio de transparencia en el GDPR son, principalmente, el suministro de información a los interesados, las comunicaciones con los interesados sobre el ejercicio de sus derechos y las comunicaciones en relación con violaciones de datos.

En particular, la información que se facilite a los interesados debe cumplir con los siguientes requisitos:

  • Debe ser concisa, transparente, inteligible y de fácil acceso.
  • Se debe utilizar un lenguaje claro y sencillo, especialmente cuando se proporcione información a los niños.
  • Debe ser por escrito «o por otros medios, incluido, cuando corresponda, por medios electrónicos».
  • Cuando lo solicite el interesado, puede proporcionarse oralmente.
  • Debe ser proporcionada de manera gratuita

En relación al contenido de la información facilitada a los interesados, señala el WP29 que dicha información deberá incluir todos los elementos del artículo 13 RGPD (cuando la información se recaba directamente del usuario) y del artículo 14 RGPD (cuando se obtiene de un tercero).

En relación al formato en el que dicha información debe ser proporcionada, el RGPD no especifica nada al respecto, por lo que el responsable deberá, atendiendo a las circunstancias del recabo de datos y del tratamiento, utilizar los “medios adecuados” para proporcionar la información.

Asimismo, la información deberá ser proporcionada al interesado en el momento en que se obtengan los datos, en aquellos casos en que los datos se obtengan directamente del interesado. En caso de datos obtenidos indirectamente, el interesado deberá ser informado en un “plazo razonable” después de obtener los datos y, a más tardar, en un plazo de un mes.

Si los datos personales han de utilizarse para comunicación con el interesado, deberá informarse a más tardar en el momento de la primera comunicación a dicho interesado y, si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez. En cualquier caso, el plazo máximo para informar al interesado será de un mes.

La información exigida por los artículos 13 y 14 RGPD debe ser proporcionada o facilitada al interesado de manera que éste no tenga que buscar proactivamente dicha información.

En este sentido, el WP29 recomienda utilizar cláusulas de privacidad “en capas” para enlazar las diferentes categorías de información que deben proporcionarse, en lugar de facilitar dicha información en una única cláusula o aviso.

El diseño de la primera capa de la cláusula o aviso de privacidad debe ser tal que el interesado tenga una descripción clara de la información disponible sobre el tratamiento de sus datos personales y dónde/cómo pueden encontrar esa información detallada dentro de las distintas capas de la cláusula o aviso de privacidad.

En este mismo sentido, el WP29 propone otras maneras de proporcionar información a los interesados, tales como la copia impresa/en papel, por vía telefónica o a través de tecnologías inteligentes sin pantalla.

En relación al ejercicio de derechos por parte de los interesados, el principio de transparencia impone una triple obligación para el responsable:

  • Proporcionar información a los interesados sobre sus derechos.
  • Cumplir con el principio de transparencia cuando se comunique con el interesado en relación al ejercicio de sus derechos.
  • Facilitar el ejercicio de los derechos de los interesados.

Por último, y en lo que se refiere a las violaciones de seguridad, señala el WP29 que las obligaciones del responsable en relación a la comunicación de las violaciones de seguridad a los interesados deberá cumplir con los mismos requisitos de transparencia exigidos para cualquier tipo de comunicación o información proporcionada a los interesados.

Periscopio: