GDPR: ¿qué soluciones ofrecemos para obtener el consentimiento de forma lícita?

Posted by media on 5/04/18 9:00

GDPR_soluciones_obtener_consentimiento_lícita

La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (GDPR) el próximo 25 de mayo de 2018, obliga a empresas, autónomos e instituciones a actualizarse en esta materia si quieren cumplir con sus exigencias.

Una de las novedades más importantes que introduce versa en torno al modo en el que los responsables deben obtener el consentimiento de los interesado (los titulares) para el tratamiento de sus datos personales, y sobre todo, cómo demostrar que lo han conseguido de forma lícita.  

En este post, haremos un breve resumen sobre los elementos del consentimiento y qué soluciones ofrece Signaturit para ayudar a cumplir con esta regulación en este punto concreto.

Este post también está disponible en inglés.

    Índice

  • El concepto de consentimiento en el GDPR

  • Consentimiento explícito, una garantía adicional

  • Además de obtener el consentimiento lícito hay que demostrarlo

  1. ¿Y los consentimientos obtenidos antes del 25 de mayo de 2018?

  • La firma electrónica de Signaturit, solución rápida y coste-efectiva para obtener el consentimiento inequívoco y/o expreso

    • Nivel 1 - Consentimiento básico

    • Nivel 2 - Consentimiento básico+

    • Nivel 3 - Consentimiento avanzado

    • Nivel 4 - Consentimiento reforzado

  • Conclusión

 

El concepto de consentimiento en el GDPR

Cumplir con el tratamiento lícito de datos personales implica, en primer lugar, que los datos se traten gracias al consentimiento del interesado, o bien en conformidad con alguna otra base legítima que establece el mismo GDPR en su art. 6 como hemos explicado en otro post anterior.

Pues bien, si la base de licitud del tratamiento es el consentimiento del interesado, el responsable del tratamiento deberá cumplir con las exigencias que el Reglamento establece para obtener y demostrar dicho consentimiento conforme a él.

Para facilitar este cumplimiento, el Grupo de Trabajo del Artículo 29 (en adelante GT29), que reúne a las autoridades de protección de datos de todos los Estados miembros, ha publicado una Guía donde se detalla de forma muy exhaustiva el concepto de consentimiento a la luz del Reglamento y sus requisitos.

grupo 29


El artículo 4 del GDPR define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Así a raíz de esta definición, la Guía define una serie de elementos fundamentales a la hora de valorar si el consentimiento de cualquier interesado es válido según el RGPD:

  • Inequívoco: el consentimiento requiere de una manifestación inequívoca por parte del interesado, o lo que es lo mismo, un acto claramente afirmativo. El silencio, la inactividad o el uso de casillas pre marcadas serán inválidas a partir del próximo 25 de mayo. Debe ser “obvio” que las personas han dado su consentimiento al tratamiento.

  • Libre: el consentimiento no será válido cuando se dé un desequilibrio de poder (por ejemplo, entre el empleado y el empleador), o cuando esté supeditado a la ejecución de un contrato.

  • Específico: el consentimiento debe únicamente recabarse para el tratamiento de datos personales que se realice con una finalidad en particular. Es decir, los responsables necesitan obtener permisos por separado para cada finalidad específica.

  • Revocable: los interesados tienen derecho a revocar su consentimiento en cualquier momento.

  • Informado: se entenderá que el interesado ha emitido su consentimiento de manera plenamente informada, cuando se le haya proporcionado como mínimo la siguiente información: (1) la identidad del responsable;(2) la finalidad de cada una de las operaciones de tratamiento;(3) el tipo de datos que se recopilarán;(4) el derecho a retirar el consentimiento; (5) detalles de cualquier tratamiento automatizado propuesto, incluido la creación de perfiles; (6) los posibles riesgos de las transferencias de datos a países no pertenecientes a la UE a falta de una decisión de adecuación de la Comisión Europea y las salvaguardas apropiadas, cuando corresponda.

  • Claro y distinguible: es imprescindible que se utilice un lenguaje claro y sencillo, fácilmente comprensible para el usuario medio. Además debe distinguirse de otros asuntos, por ejemplo no es admisible la obtención del consentimiento en la mitad de un párrafo de unos términos y condiciones.

 concepto_consentimiento_GDPR


Consentimiento explícito, una garantía adicional

Los interesados deben dar su consentimiento mediante una declaración explícita en las siguientes ocasiones:

  • Al tratar datos especiales (origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el objetivo de identificar de manera exclusiva a un individuo, datos relativos a la salud o la vida sexual y/o la orientación sexual).
  • Para transferencias de datos a países no pertenecientes a la UE; y

(3) Para la toma de decisiones automatizada, incluida la elaboración de perfiles.

Si para el tratamiento de los datos “normales” el GDPR requiere un “clara acción afirmativa”, para el consentimiento explícito se requiere un estándar más alto para su obtención.

En el contexto electrónico, una declaración explícita del consentimiento del interesado puede darse mediante el envío de un correo electrónico, completando un formulario, proporcionando un documento escaneado o usando la firma electrónica, como bien recomiendo el GP29.

Sanciones en el nuevo Reglamento Europeo de Protección de Datos

El tratamiento de datos sin contar con el consentimiento explícito del interesado.

  • Actualmente: sanciones de 300K € como máximo.
  • Con el GDPR: 20M de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.

    icon-info-27

 

Además de obtener el consentimiento lícito hay que demostrarlo

En virtud del RGPD, los responsables deben demostrar que han obtenido un consentimiento válido. También deben asegurarse de mantenerlo ya que sobre ellos recae la carga de la prueba llegado el momento.

Además, el responsable también deberá demostrar que el interesado fue informado y que cumplió con todos los criterios relevantes para un consentimiento válido. El fundamento de esta obligación es la rendición de cuentas por lo que se deben almacenar las mejores evidencias de cumplimiento para poder hacer frente a cualquier reclamación por parte de los ciudadanos europeos o de las autoridades competentes.

 

  • ¿Y los consentimientos obtenidos antes del 25 de mayo de 2018?

Es importante que los responsables revisen los procesos y registros con los que cuentan actualmente en detalle, para asegurarse de que los consentimientos obtenidos antes del 25 de mayo cumplen con los nuevos requisitos.

Esto supone en la práctica que si los tratamientos realizados con anterioridad al GDPR se basan en el consentimiento y este no cumple con los nuevos requisitos de la normativa europea, los responsables deben evaluar si pueden basar esos tratamientos en otra base legal diferente, teniendo en cuenta las condiciones establecidas por el RGPD, o tendrán que obtener de nuevo el consentimiento de los interesados cumpliendo con los requisitos actuales.

 

La firma electrónica de Signaturit, solución rápida y coste-efectiva para obtener el consentimiento inequívoco y/o expreso

Recabar el consentimiento informado, inequívoco y/o explícito del GDPR de forma manual, ya sea en un entorno de papel o utilizando herramientas ofimáticas básicas, resulta del todo inapropiado para cualquier empresa innovadora que se preocupe por la eficacia y legalidad de sus procesos internos.   

Por ello, a continuación y de forma sencilla, explicaremos las distintas opciones especialmente diseñadas para la ocasión que permitirán automatizar esta exigencia legal según las necesidades particulares de cada empresa:

  • Nivel 1 - Consentimiento básico

    Como nivel más básico para demostrar que se da consentimiento hemos desarrollado un “script” que puede integrarse en cualquier página web o aplicación.

    Cuando una persona rellene el formulario para dar su consentimiento sobre el tratamiento de sus datos personales, Signaturit se encargará de guardar ese registro, así como los términos y condiciones aceptados por el usuario en el momento de hacer click en el botón “Aceptar”.

    Algunos ejemplos de uso de esta solución serían la aceptación de cookies, o la aceptación de las condiciones generales de una empresa, si ello es necesario para proceder con una transacción.

  • Nivel 2 - Consentimiento básico+

    En este caso, además de capturar las evidencias electrónicas del contexto, añadimos un segundo factor de autenticación, mediante la validación del consentimiento a través de un OTP (one time password), código de validación temporal que entregamos a través de un SMS y/o correo electrónico.

    En ambos casos, además de recoger los mismos datos que en la solución de nivel 1 - dirección IP, el browser y la fecha y la hora de la acción - también tenemos el email y/o el número del móvil del interesado.

    Estos dos últimos datos ofrecen un nivel de confianza superior a la hora de identificar al titular respecto a la primera solución propuesta.

     Un ejemplo de uso perfecto para esta solución sería en caso de tener que renovar de consentimientos ya otorgados.

icon-info-29

 

  • Nivel 3 - Consentimiento avanzado

    El consentimiento avanzado es capaz de identificar de forma única a la persona que acepta el consentimiento. Esta solución está pensada para aquellos casos en los que el consentimiento del interesado deba ser explícito (además de inequívoco).

    Para ello, se invita al interesado a firmar digitalmente de forma manuscrita el contenido del consentimiento en su smartphone, tablet u ordenador, realizando su firma con el dedo (en el caso de un smartphone o tablet) o con el mouse (en el caso de un laptop u ordenador de sobremesa).

    Se trata de nuestra
    firma electrónica avanzada, con la que recogemos una serie de datos que nos permite identificar al firmante de forma única y explícita.

      Información relacionada > La legalidad de la firma electrónica


Puede utilizarse en aquellos casos en los que los datos personales a tratar sean sensibles, para aceptar condiciones que incluyan transferencia de datos fuera de la UE o en el caso de decisiones individuales automatizadas, incluida la elaboración de perfiles.

Signing_with_a_smartphone_Signaturit

  • Nivel 4 - Consentimiento reforzado

    La solución de nivel 4 se elabora a partir de la solución de nivel 3, a la que se añade
    un paso adicional, que es el de adjuntar la fotografía del documento de identidad (DNI o Pasaporte) de la persona que otorga su consentimiento.

    Este paso debe completarse una vez se haya firmado el contenido del consentimiento para poder finalizar el proceso.


    Esta opción es recomendable para aquellos procedimientos en los que la exigencia de demostrar la identidad de la persona que da su consentimiento sea más elevada.

Conclusión

Adaptar los mecanismos de recolección y tratamiento de datos para respetar la nueva visión del Reglamento es uno de los retos más importantes que los responsables o encargados del tratamiento tendrán que asumir.

Para todas ellos Signaturit ha desarrollado estas 4 soluciones que ayudarán a cumplir con la nueva normativa europea de forma práctica y con las máximas garantías jurídicas.

Estas herramientas, con plena validez jurídica, permitirán a las empresas certificar que el consentimiento de un interesado fue prestado en un momento exacto, y en qué condiciones éste fue otorgado, por lo que tendrán resuelto el problema de la carga de la prueba.

Si tienes preguntas respecto a cómo obtener el consentimiento con las soluciones que hemos expuesto en este post, puedes descargarte la guía que encontrarás a continuación donde explicamos más en profundida nuestros servicios, ponerte en contacto con nosotros a través del email info@signaturit.com o llámanos al 93 551 14 80.

Este post también está disponible en inglés.


New Call-to-action 

Topics: GDPR

Subscríbete al blog

Últimos posts