El consentimiento en el RGPD: bases, finalidades, principios y límites

En la entrada anterior, Ciclo de vida del consentimiento, abordábamos para ti la importancia de conceptos como recogida, custodia y retirada. Y en esta ocasión queremos profundizar en temas también muy importantes descritos en el reglamento europeo como son las bases, las finalidades y los límites. Si te quieres adelantar a lo que vas a leer, te recomendamos acudir a sus artículos 5, 6 y 7.

Uno de sus pilares fundamentales para el tratamiento de los datos es el consentimiento de la persona interesada. Pero, aunque actúa como base legítima para el tratamiento de datos en muchos contextos, no es el único.

La finalidad responde a una base legal para el tratamiento. Es decir, debe existir una finalidad válida (recogida por el RGPD o la LOPDGDD) que legitime el tratamiento de los datos personales. Dicho de otro modo, el principio de finalidad del tratamiento de los datos personales define por qué y para qué se recaban dichos datos. Es una cuestión fundamental para el cumplimiento.

La finalidad del tratamiento define las razones y los objetivos del tratamiento, además de determinar su legalidad. Estas razones se enumeran en el artículo 6 del RGPD:

• Consentimiento explícito del interesado para uno o varios fines específicos.
• Necesidad del tratamiento para la ejecución de un contrato.
• Cumplimiento de una obligación legal del responsable del tratamiento.
• Protección de intereses vitales de la persona interesada u otra persona física.
• Ejecución de una misión de interés público o ejercicio de poderes públicos.
• Interés legítimo del responsable o de un tercero, salvo que prevalezcan los derechos de la persona propietaria de los datos.

El consentimiento, por tanto, es solo una de las bases posibles, pero cuando se utiliza, debe cumplir requisitos estrictos. Y las empresas tienen que ser capaces de defender este cumplimento en todo momento.

Principios relacionados con el consentimiento (artículo 5 del RGPD)

• Licitud, lealtad y transparencia: el consentimiento debe ser informado, claro y otorgado libremente.
• Limitación de la finalidad: los datos solo pueden usarse para los fines específicos para los que se obtuvo el consentimiento.
• Minimización de datos: solo deben recopilarse los datos necesarios.
• Otros principios clave son también exactitud, limitación del plazo de conservación, integridad y confidencialidad y responsabilidad proactiva.

El artículo 7 del RGPD detalla las condiciones que debe cumplir el consentimiento para ser válido. Las encontrarás a continuación, acompañadas de una breve explicación.

• Demostrabilidad: el responsable debe poder demostrar que el interesado consintió. Es decir, le corresponde al responsable del tratamiento de los datos custodiar la evidencia que prueba que el interesado acepto o consintió el tratamiento de los datos para las finalidades planteadas.
• Claridad y granularidad: si el consentimiento forma parte de una declaración más amplia, debe estar claramente diferenciado. Es decir, no puede solicitarse un único consentimiento para una pluralidad de finalidades. El RGPD promueve que el consentimiento se otorgue por separado para cada finalidad, de tal forma que se permita a cada persona elegir libremente qué tratamientos acepta y cuáles no.Por ejemplo, un responsable solicita el consentimiento para dos finalidades, la primera es para la elaboración de perfiles, mientras que la segunda es para la participación en encuestas. En este caso, y para un correcto cumplimiento, deberá pedir de forma separada y explícita el consentimiento para las dos finalidades descritas con anterioridad. El usuario decidirá si acepta ambas, una de ellas o ninguna.
• Derecho a retirar el consentimiento: el interesado podrá retirar su consentimiento en cualquier momento, y debe ser tan fácil cancelarlo como otorgarlo. Además, también recaerá sobre el responsable del tratamiento probar que se ha retirado según lo ha exigido la persona interesada.
• Libre elección: el consentimiento será inválido si está condicionado a la ejecución de un contrato, cuando no sea necesario para ello.Por ejemplo, si un usuario quiere comprar un producto online, no se le puede exigir que consienta el tratamiento de sus datos para fines publicitarios como condición para completar la compra.Los consentimientos para fines adicionales (como marketing, análisis, etc.) han de ser opcionales e igualmente se tienen que solicitar y otorgar por separado.

El consentimiento es una herramienta poderosa pero no omnipotente. Sus límites también aparecen establecidos en el RGPD. Son:

• No puede ser forzado ni implícito.
• No es válido si hay un desequilibrio de poder (por ejemplo, en relaciones laborales).
• Debe renovarse si cambian las finalidades del tratamiento.
• No sustituye otras bases legales cuando estas son más apropiadas (por ejemplo, obligaciones legales).

Como ya adelantamos en la entrada sobre el ciclo de vida del consentimiento, la manera en la que se recaba es crucial a la hora de cumplir con las normativas de protección de datos y mantener la confianza de los usuarios. Y también es muy importante que el responsable del tratamiento conozca y respete los límites establecidos por el RGPD. Entre ellos destaca el hecho de que el consentimiento se tiene que volver a solicitar si cambian las finalidades iniciales. Es decir, en cada fase se tienen que garantizar la transparencia y el cumplimiento normativo.

Por todo ello, las empresas tienen que contar con unos procesos de gestión de consentimientos mejorados y maduros y apoyarse en soluciones, como la de MailComms Group, que les acompañen durante el proceso y les ayuden a evitar sanciones.

Para un cumplimiento normativo efectivo y confiable resulta de gran ayuda contar con un prestador de servicios electrónicos de confianza cualificado, como es el caso de Mailcomms Group, que además está certificado en las principales normativas de seguridad de la información y de privacidad, como son: ISO/IEC 27001 e ISO/IEC 27701. Además, a estas certificaciones les suma su acreditación en la categoría de nivel alto en el Esquema Nacional de Seguridad del Centro Criptológico Nacional.

Si quieres conocer uno de los sistemas de gestión de consentimientos más robustos del mercado, te invitamos a que explores este blog o contactes con nosotros.