Sobre el RGPD y el consentimiento de los interesados

Sobre el RGPD y el consentimiento de los interesados

Es bien sabido que todas las normativas de protección de datos existentes hasta la fecha han buscado garantizar la protección de los derechos de las personas afectadas y con ello la legitimidad de los tratamientos llevados a cabo. Hasta ahora, y salvo por determinadas excepciones, el responsable del tratamiento debía recoger siempre el consentimiento del interesado tanto para realizar un determinado tratamiento con una finalidad específica, como para realizar una cesión de datos a terceros. De esa forma obtenía la legitimidad para dicha actividad.

Queda claro entonces que por norma general la normativa aplicable obliga a capturar el consentimiento. Las excepciones se justifican por diversas causas, como el mantenimiento de una relación contractual, la disposición de alguna ley, o la recolección desde fuentes accesibles al público siempre que no vulneren los derechos y libertadas del afectado.

La LOPD ya definía el consentimiento del interesado como “Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.”. No obstante, es importante comentar que tanto la LOPD como la Agencia Española de Protección de Datos (AEPD) aceptaban el consentimiento tácito siempre que los datos tratados no tuvieran la categoría de sensibles.

El nuevo reglamento europeo sin embargo vuelve a darle una vuelta de tuerca e indica que el consentimiento debe otorgarse a través de una manifestación o acción afirmativa clara del afectado, y que además debe de mantenerse una evidencia para su acreditación. Por tanto, con carácter general no se permiten el silencio, las casillas pre configuradas o la inacción tras una comunicación al interesado. Según el RGPD, solo se exime la obligación si el tratamiento es necesario para el cumplimiento de obligaciones legales y/o contractuales del responsable de tratamiento.

En relación a la protección de datos de menores, el RGPD también refuerza la necesidad de tomar precauciones especiales, informando de manera clara y adaptada a la capacidad cognitiva de los interesados.

Las anteriores consideraciones aplican con carácter retroactivo, por lo que todos los tratamientos presentes desde la fecha de aplicación del RGPD deberán poderse justificar mediante evidencias de una manifestación o acción afirmativa de consentimiento del afectado. Por consiguiente, es recomendable que todos los responsables de tratamiento realicen un análisis de sus procesos de tratamiento y vayan adaptándose al nuevo reglamento desde el diseño de éstos.