Ciclo de vida del consentimiento RGPD: recogida, custodia y retirada (cancelación)

El consentimiento es un pilar fundamental en la gestión de datos personales, especialmente en el contexto del Reglamento General de Protección de Datos (RGPD), tal y como hemos comentado en artículos anteriores de esta serie.

El artículo 4.11 del RGPD lo define así: “consentimiento del interesado”: es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Es decir, el consentimiento otorgado debe ser libre, específico, informado e inequívoco.

A continuación, exploramos las tres fases clave del ciclo de vida del consentimiento: recogida, custodia y retirada.

La recogida del consentimiento, tal y como hemos indicado con anterioridad, debe ser una acción libre, específica, informada e inequívoca. Y será el responsable del tratamiento el que tenga que demostrar que el interesado consintió el tratamiento de los datos. Esto significa, entre otras cosas, que los responsables de tratamiento (es decir, tanto las personas físicas como las jurídicas) deben custodiar la recogida del consentimiento.

Respecto a la forma de obtención, las entidades responsables del tratamiento tendrán que ofrecer múltiples canales para que los usuarios otorguen su consentimiento. Es decir, se adaptarán, así, a las preferencias y necesidades de las personas interesadas. Algunos canales habituales son:

• Formularios web: permiten a los usuarios dar su consentimiento al completarlos en línea.
• Correo electrónico: a través de campañas de marketing por correo electrónico, donde se solicita el consentimiento explícito.
• SMS / WhatsApp: mensajes de texto que solicitan el consentimiento de los usuarios.
• Aplicaciones móviles: la solicitud se lleva a cabo desde una APP móvil.
• Presencial: mediante formularios físicos que los usuarios pueden firmar en persona.

La normativa establece como obligatorio que el consentimiento sea explícito, informado y otorgado libremente. Además, debe ser específico para cada propósito de tratamiento de datos. Esto significa que no es válida la recogida de un único consentimiento para una multitud de finalidades, sino que cada finalidad requiere de un consentimiento especifico.

Una vez obtenido, el consentimiento ha de ser custodiado de manera segura y accesible por parte del responsable del tratamiento. Esto implica:

• Almacenamiento seguro: los consentimientos se almacenarán en sistemas seguros que protejan la información contra accesos no autorizados y brechas de seguridad.
• Trazabilidad: es esencial mantener un registro detallado de cuándo, cómo y para qué se obtuvo el consentimiento. Esto incluye, como mínimo, la fecha, el canal utilizado y el propósito específico.
• Accesibilidad: los registros deben ser fácilmente consultables en revisiones posteriores o en auditorías. Esto es esencial para demostrar el cumplimiento con el RGPD en caso de inspecciones o litigios.

El artículo 7.3 del RGPD otorga a los individuos el derecho a retirar su consentimiento en cualquier momento, y exige que sea tan sencillo otorgarlo como cancelarlo. Las organizaciones tienen que construir este proceso de manera que sea cómodo y gratuito. El diseño incluirá:

• Varios canales de retirada: múltiples canales para que los usuarios puedan retirarsu consentimiento, como formularios web, correos electrónicos, SMS o aplicaciones móviles, entre otras posibilidades.
• Confirmación: tras la retirada, la organización tiene que emitir una confirmación y cesar cualquier tratamiento de datos basado en ese consentimiento.
• Actualización de registros: es fundamental que se actualicen los registros de consentimiento para reflejar la retirada y asegurar que los datos del usuario no se utilicen más para los fines previamente consentidos.

La retirada del consentimiento no afectará al tratamiento realizada basado en el consentimiento previo a su retirada.

Las cookies son archivos de texto que los sitios web envían al navegador para guardar información sobre la visita de un usuario. Esto permite que los sitios web recuerden las preferencias del usuario y le proporcionen una experiencia más personalizada. Para ser activadas el usuario tiene que otorgar su consentimiento.

La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) regula el uso de cookies en España.

Aunque no las menciona directamente, el artículo 22.2 de la LSSI dice: “Los prestadores de servicios pueden utilizar dispositivos de almacenamiento y recuperación de datos en los equipos terminales de los usuarios, siempre que hayan obtenido su consentimiento después de proporcionar información clara y completa sobre su uso”.

Estos son los puntos más importantes de la LSSI en lo que a la regulación de las cookies se refiere:

1. Deber de informar: las empresas tienen que informar de manera clara y comprensible sobre el uso de cookies: su finalidad, duración y quién es su titular, especialmente si son de terceros.
2. Obtención del consentimiento: antes de instalar cookies en el dispositivo del usuario, las empresas deben obtener su consentimiento explícito conforme a lo indicado en el artículo 7 del RGPD. Esto generalmente se hace mediante banners o ventanas emergentes que solicitan la aceptación.
3. Excepciones: algunas cookies como las técnicas, que son necesarias para la navegación o para proporcionar un servicio solicitado por el usuario, están exentas de la obligación de obtener consentimiento.

La mayoría de las páginas web, aplicaciones y plataformas online utilizan estos pequeños archivos de código para mejorar la experiencia de navegación y/o para recabar diferente tipo de información personal de los usuarios. Por ello es importante seguir los siguientes pasos para la gestión correcta del consentimiento:

1. Transparencia: información clara a los usuarios sobre qué son las cookies, cómo se utilizan y con qué propósito. Esto debe incluir una política de accesible y comprensible.
2. Consentimiento explícito: obtener el consentimiento explícito de los usuarios antes de utilizar cookies que no sean estrictamente necesarias para el funcionamiento del sitio web.
3. Opciones de configuración: proporcionar a los usuarios la opción de aceptar o rechazar diferentes tipos de cookies, como las de rendimiento, funcionales o de publicidad.
4. Registro del consentimiento: mantener un registro del consentimiento otorgado por los usuarios que incluya la fecha, hora y tipo de cookies aceptadas.
5. Revocación del consentimiento: permitir a los usuarios revocar su consentimiento en cualquier momento y ofrecer instrucciones claras sobre cómo hacerlo.
6. Actualización de la política de cookies: revisar y actualizar periódicamente la política de cookies para reflejar cualquier cambio sobre su uso o la normativa aplicable, entre otras cuestiones.

La Agencia Española de Protección de Datos (AEPD) publica guías y directrices adicionales sobre el uso de cookies para asegurar el cumplimiento de la normativa, e incluso utiliza algunos ejemplos de cómo deben realizarse alguno de los puntos anteriores.

Las listas de exclusión publicitaria son sistemas voluntarios en los que las personas pueden inscribirse para evitar recibir comunicaciones comerciales no deseadas con empresas con las que no exista una relación contractual.

Actualmente existen dos listados de exclusión publicitaria: la Lista Robinson y la Lista Stop Publicidad (de nueva creación).

Las empresas que realicen acciones comerciales tienen que excluir a aquellas personas que se hayan inscrito en alguno de los dos listados, es decir, en aquellos casos en los que la persona ha prestado su consentimiento a no recibir este tipo de comunicaciones. Si podrán contactar con aquellas que no estén inscritas. El consentimiento debe obtenerse conforme al artículo 7 del RGPD (libre, especifico, informado e inequívoco), además de realizarse por un canal que permita dejar constancia de su recogida.

No obstante, cualquier persona que se haya inscrito en una lista de exclusión publicitaria podría recibir publicidad de una empresa si es cliente o si ha prestado su consentimiento explícito previamente. Por ejemplo, al hacer una compra en una empresa y aceptar recibir información sobre productos similares, esta compañía puede enviar comunicaciones comerciales incluso si el usuario se ha dado de alta en una de estas listas de exclusión.

La gestión eficaz del ciclo de vida del consentimiento es esencial para cumplir con las normativas de protección de datos, evitar multas, riesgos reputacionales y mantener la confianza de los usuarios. El ciclo de vida del consentimiento incluye la recogida por varios canales, la custodia segura y su cancelación sencilla. Y en cada fase se tiene que garantizar la transparencia y el cumplimiento normativo.

Por todo ello, las empresas tienen que contar con unos procesos de gestión de consentimientos mejorados y maduros además de apoyarse en soluciones tecnológicas, como la de MailComms Group, que les ayuden a gestionar todo el proceso, garantizar el cumplimiento y evitar así sanciones.

Y para este cumplimiento es de gran ayuda contar con un prestador de servicios electrónicos de confianza cualificado, como es nuestro. Además, estamos certificados en las principales normativas de seguridad de la información y de privacidad, como son: ISO/IEC 27001 e ISO/IEC 27701, a las que sumamos nuestra acreditación en la categoría de nivel alto en el Esquema Nacional de Seguridad.

Si quieres conocer uno de los sistemas de gestión de consentimientos más robustos del mercado, te invitamos a que contactes con nosotros.