GDPR: ¿qué debes acreditar del consentimiento?

Escrito por: media el 3/05/18 9:00

GDPR_acreditar_consentimiento

El nuevo Reglamento Europeo de Protección de Datos (GDPR) introduce muchos cambios en la forma de recoger y tratar datos personales de los usuarios, pero uno de los más significativos lo encontramos en el concepto del consentimiento.

Esta nueva normativa refuerza la voluntad del usuario para que su determinación no arroje dudas ni se preste a ambigüedades, además de ser acreditable gracias al principio de responsabilidad proactiva.

En el siguiente post analizamos este concepto y qué deben los responsables acreditar para cumplir con el GDPR en relación a él.

Este post también está disponible en inglés.

    Índice

  • GDPR ¿qué es el consentimiento?

    + ¿Qué significa “Una clara acción afirmativa”?

    + Menores de edad

  • ¿Qué se debe acreditar del consentimiento?

      1. ¿Quién otorgó su consentimiento?

2. ¿Cuándo y cómo se otorgó el consentimiento?

3. ¿Qué información recibió el interesado?

  • Signaturit, 4 soluciones rápidas y efectivas para obtener el consentimiento inequívoco y/o expreso de tus clientes

  • Conclusión

    Índice

  • GDPR ¿qué es el consentimiento?

    + ¿Qué significa “Una clara acción afirmativa”?

    + Menores de edad

  • ¿Qué se debe acreditar del consentimiento?

      1. ¿Quién otorgó su consentimiento?

2. ¿Cuándo y cómo se otorgó el consentimiento?

3. ¿Qué información recibió el interesado?

  • Signaturit, 4 soluciones rápidas y efectivas para obtener el consentimiento inequívoco y/o expreso de tus clientes

  • Conclusión

 

GDPR: ¿qué es el consentimiento?

El consentimiento es el acto por el cual el interesado acepta el tratamiento de sus datos personales. El consentimiento no es más por tanto que la manifestación de voluntad del usuario.

La nueva RGPD mantiene esta definición respecto de la Directiva anterior, pero modifica las circunstancias necesarias en las que se debe producir este consentimiento.

El artículo 4.11 dice así: “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”


¿Qué significa “Una clara acción afirmativa”?

Este cambio quiere decir que lo que se conocía anteriormente como consentimiento tácito ya no es válido. De hecho así lo especifica claramente: “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.

El consentimiento debe darse mediante un acto afirmativo claro que refleje su aceptación al tratamiento de los datos personales que le conciernen.

Esto podría incluir marcar una casilla de un sitio web en internet, con una declaración por escrito por ejemplo, inclusive por medios electrónicos, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.

 

Menores de edad

Aquí se produce otra novedad en el nuevo reglamento de protección de datos en
relación con la oferta directa a los menores de edad.

Para que el tratamiento de los datos personales de un niño se considere lícito este debe tener como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si lo autoriza el titular de la patria potestad o tutela sobre el niño, y solo en la justa medida en que se autoriza.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

 

GDPR_Menores_de_edad


¿Qué se debe acreditar del consentimiento?

Además de cumplir con todos los requisitos anteriores, también hay que ser capaz de verificar varios detalles a posteriori, ya que se exige que el consentimiento sea acreditable.

Gracias al principio de “accountability” o “responsabilidad proactiva”, es necesario establecer mecanismos efectivos que permitan acreditar la voluntad de todas las personas que prestan su consentimiento. Se trata fundamentalmente de dejar evidencias.


 “Cuando el tratamiento se base en el consentimiento del interesado,
el responsable deberá ser capaz de demostrar que aquel consintió
el tratamiento de sus datos personales.”

                                                                                                                Artículo 7  GDPR


Para poder decir que el consentimiento es acreditable, las empresas deben de poder documentar lo siguiente:

1. ¿Quién otorgó su consentimiento?

Se debe poder identificar al titular de los datos por su nombre completo otros elementos que puedan identificarle. Además, se debe poder demostrar si se
ha revocado o no el consentimiento. En caso de que se revoque, se debe
poder demostrar cuándo fue revocado.
 

2. ¿Cuándo y cómo se otorgó el consentimiento?

Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo.

En el Reglamento eIDAS, un sello de tiempo electrónico se define como los “datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante.”

En el caso de que se obtenga el consentimiento por escrito de forma offline, hay que aportar una copia -con fecha y firma del interesado- del documento (consentimiento) con sus cláusulas informativas.

Sellado_de_Tiempo_Signaturit

 

3. ¿Qué información recibió el interesado?

El RGPD pone mucho énfasis en la transparencia: se debe proporcionar la información establecida en los Artículos 13 y 14 y los avisos deben ser claros, correctos e informativos.

El GDPR plantea ofrecer esta información en un sistema por capas:

  • Una primera capa donde presentar la información de forma clara, visible, resumida y con los aspectos más relevantes relativos al tratamiento de esa información.
  • Una segunda capa donde se recoge la información de manera más detallada a la que se accedería a través de un enlace.

En la primera capa se debe informar en todo caso de los siguientes aspectos:

  • Responsable del tratamiento: incluyendo su razón social.
  • Finalidad del tratamiento: gestión de la suscripción por ejemplo.
  • Legitimación del tratamiento: la base jurídica en la que se basa el tratamiento, la cual viene regulada en el art.7 RGPD, siendo en este caso concreto el consentimiento del interesado.
  • Destinatarios: encargados del Tratamiento, dentro y  fuera de la UE.
  • Derechos: puede hacerse una breve alusión a la existencia de los derechos más habituales y una referencia al correspondiente epígrafe en la información adicional.
  • Información adicional: finalmente, debe incluirse claramente una indicación sobre dónde o cómo puede accederse a la información adicional en la segunda capa. Por ejemplo con la siguiente fórmula: “Puedes consultar la información adicional y detallada sobre Protección de Datos en el siguiente enlace...”.

   Más información > Guía para el cumplimiento del deber de informar 


Signaturit, 4 soluciones rápidas y efectivas para obtener el consentimiento inequívoco y/o expreso de tus clientes

Para transformar los consentimientos tácitos en inequívocos y/o expresos Signaturit presenta 4 soluciones especialmente diseñadas para la ocasión que permitirán automatizar esta exigencia legal según las necesidades particulares de cada empresa como ya explicamos en este anterior post.

 

Conclusión

El consentimiento de los interesados se presenta como “el bastión de la voluntad legítima de los afectados” y ya no se conciben atajos para obtenerlo ni hay escapatorias a la hora de acreditarlo.

Las empresas deben tomar conciencia a día de hoy, a menos de un mes de la aplicación del GDPR, de las implicaciones legales y prácticas de esta transformación para sus operaciones diarias.

Deberían revisar la forma en la que obtienen y registran este consentimiento, eliminar aquellas prácticas que se encuadran en el llamado consentimiento tácito y adoptar los mecanismos necesarios para acreditar el consentimiento lícito de los usuario.

Este post también está disponible en inglés.


New Call-to-action

Etiquetas: GDPR

Subscríbete al blog

Últimos posts