El consentimiento de protección de datos es uno de los elementos más importantes de la seguridad de la información. Cada vez más empresas realizan tratamientos de datos en su día a día, y contar con el consentimiento de sus usuarios es fundamental para ellas.
Desde WeOk, te ofrecemos un artículo donde exploraremos los aspectos más relevantes del consentimiento RGPD, incluyendo, sus condiciones, cuándo es necesario, y cuáles son las sanciones por no solicitarlo.
Qué es el consentimiento de protección de datos
De acuerdo con el artículo 4.11 del Reglamento General de Protección de Datos (RGPD), el consentimiento de protección de datos es toda manifestación de voluntad por la que el interesado acepta el tratamiento de sus datos personales. Es decir, el consentimiento es la acción que el titular de los datos lleva a cabo para permitir a las empresas y organizaciones realizar el tratamiento de sus datos.
El consentimiento RGPD tiene una serie de características:
- tiene que ser libre, es decir, no puede estar condicionado.
- debe ser específico, lo que significa que solo puede utilizarse para los fines para los que fueron recogidos.
- es necesario que sea informado, es decir, los interesados siempre deben conocer toda la información relativa al tratamiento.
- por último, el consentimiento debe ser inequívoco, lo que quiere decir que el interesado deber tener claro para qué está dando su consentimiento.
El consentimiento solo es válido si es un consentimiento explícito, porque requiere que el interesado de su consentimiento de forma activa, por lo que ni las casillas premarcadas ni el consentimiento tácito son válidos.
Dónde se regula el consentimiento RGPD
Como acabamos de ver, el consentimiento de protección de datos se define en el artículo 4.11 del RGPD, sin embargo, está regulado en otros artículos; los principales son:
- artículo 6.1 letra a), que establece que el consentimiento es uno de los motivos que hacen que un tratamiento sea lícito.
- artículo 7, que regula las condiciones para el consentimiento.
- artículo 8, que regula las condiciones aplicables al consentimiento de menores.
- artículo 9.2 letra a), que establece que el consentimiento explícito hace que el artículo 9.1 no sea de aplicación.
Condiciones para el consentimiento
El artículo 7 del RGPD establece las 4 condiciones para que el consentimiento sea válido y legítimo:
- cuando el tratamiento esté basado en el consentimiento, el responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento.
- si el consentimiento se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solitud de consentimiento se presentará de forma que se distinga claramente de los demás asuntos, se utilice un lenguaje claro y sencillo, y sea de forma inteligible y de fácil acceso.
- el interesado tiene derecho a retirar el consentimiento en cualquier momento, pero esta retirada no afecta a la licitud del tratamiento antes de la retirada.
- al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta si se le ha obligado a aceptar el uso de sus datos personales para cosas que no son necesarias, solo para poder firmar un contrato.
Cuándo es necesario el consentimiento de protección de datos
El consentimiento de protección de datos es necesario en los siguientes casos:
- cuando la licitud del tratamiento se base en el consentimiento.
- cuando se traten datos de categorías especiales, biométricos, o de menores de edad.
- cuando una página web recoge datos personales a través de formularios.
- cuando se recogen datos de empleados que no son necesarios para el cumplimiento de las obligaciones del contrato.
- cuando, en una comunidad de propietarios, el administrador ceda los datos de los propietarios a terceros.
Dónde almacenar el consentimiento de protección de datos
El consentimiento de protección de datos debe almacenarse, puesto que, como hemos visto, una de las condiciones es que el responsable debe ser capaz de demostrar que el interesado dio su consentimiento. No existe un procedimiento estándar para almacenar el consentimiento RGPD, pero es necesario generar un justificante al obtenerlo. Este justificante puede guardarse tanto en formato electrónico como de forma física.
Para almacenar el consentimiento, es recomendable contar con un software de gestión, que permite generar, registrar y archivar los formularios de consentimiento de forma organizada, lo que puede ser muy útil en caso de que lo solicite la Agencia Española de Protección de Datos (AEPD).
Sanciones por no solicitar el consentimiento de protección de datos
Utilizar datos personales sin el consentimiento de protección de datos o no solicitarlo de forma correcta puede suponer infracciones consideradas graves y muy graves. Las sanciones asociadas a estas infracciones pueden suponer multas de hasta 20 millones de euros o el 4% de la facturación anual de la empresa, la cantidad que resulte mayor.
Algunos ejemplos de infracciones graves son tratar datos de menores de 14 años sin el consentimiento de sus padres o tutores, o no acreditar el esfuerzo realizado para comprobar la validez del consentimiento dado por un menor de 14 años o por sus padres o tutores.
Algunos ejemplos de infracciones muy graves son no cumplir con las condiciones para el consentimiento, recogidos en el artículo 7 del RGPD, o utilizar los datos para una finalidad distinta para la que fueron recabados sin tener el consentimiento para ello.
Consentimiento de menores
Según el RGPD, cuando la base legitimadora del tratamiento sea el consentimiento, la edad mínima para que los menores den este consentimiento es de 16 años. Si el menor tiene menos de 16 años, serán sus padres o tutores los que deberán dar este consentimiento. Sin embargo, el RGPD establece que cada Estado miembro puede definir la edad para considerar válido el consentimiento de los menores, siempre que no sea menos de 13 años. En España, la edad mínima para el consentimiento de protección de datos es de 14 años, generalmente, salvo que otra ley exija la asistencia de los padres o tutores legales para celebrar un contrato con un menor.
El RGPD y la Ley Orgánica de Protección de Datos (LOPDGDD) también establece que el responsable del tratamiento está obligado a comprobar la edad del menor y, en caso de que el menor tenga menos edad de la necesaria para que su consentimiento sea válido, también está obligado a comprobar que el consentimiento fue dado por sus padres o tutores.
El consentimiento de menores, al igual que el consentimiento RGPD, tiene que ser informado, es decir, los menores, o los padres y tutores, deben estar informados de todo lo relativo al tratamiento a través de un lenguaje claro y fácil de entender.
Consentimiento del menor con padres divorciados
En el caso de padres divorciados, el consentimiento debe ser dado por los dos padres si ambos tienen la patria potestad del menor. Cuando uno de los dos no quiera dar el consentimiento, se debe acudir al juzgado donde un juez decidirá atendiendo al interés del menor.
Revocación del consentimiento de menores
Al igual que en el consentimiento de protección de datos, el consentimiento de menores se puede revocar en cualquier momento. Además, en el caso de que el consentimiento haya sido dado por los padres o tutores, cuando el menor cumpla la edad mínima para otorgar consentimiento, podrá solicitar la revocación del consentimiento.
Por supuesto, los menores (o los padres o tutores) también pueden ejercer el resto de sus derechos de protección de datos, como el derecho de supresión o el derecho al olvido.
Conoce el consentimiento de protección de datos con WeOk
El consentimiento de protección de datos es una forma de asegurarte de que sabes qué hacen con tus datos y de que tienes el control sobre ellos. Además, para las empresas, es una forma de demostrar que hacen las cosas bien y que cumplen con la normativa.
Desde WeOk, te ofrecemos nuestro asesoramiento experto y nuestras herramientas en protección de datos, para que puedas llevar tu empresa al siguiente nivel.
Si quieres más información sobre este tema, te recomendamos que visites nuestras entradas relacionadas como el delegado de protección de datos y el protocolo de protección de datos.
Si te has quedado con dudas, ¡consúltanos!
