Consentimientos RGPD: tipos y formas de obtenerlos en cumplimiento

En su acepción relativa a “Derecho”, la Real Academia Española define el consentimiento como una “manifestación de voluntad, expresa o tácita, por la que un sujeto se vincula jurídicamente”.

El concepto es preciso. Sin duda, el consentimiento es el requisito formal mediante el que se formalizan los contratos o, a nivel individual, aceptamos o no determinadas acciones relativas a nuestra persona.

Como no podía ser de otra manera, en el plano personal, y más concretamente sobre los datos que pudieran ser tratados por otra persona diferente a nosotros (o una organización), en la gran mayoría de las ocasiones se requiere que como interesado hayamos consentido el tratamiento de los datos. Así lo indica muy claramente, en el caso de la Unión Europea, el Reglamento General de Protección de Datos.

En los últimos tiempos, el concepto de “consentimiento” ha experimentado una evolución debido a los cambios recogidos en la legislación española influida, fundamentalmente, por la regulación europea.

Algo muy relevante de lo recogido en la normativa es la definición de los dos tipos de consentimiento existentes: el tácito y el expreso.

Es aquel que no queda reflejado expresamente de forma escrita o física, sino por una serie de acciones u omisiones indirectas. Es decir, que no surge por manifestaciones explícitas.

En todo caso, la existencia de manifestaciones explícitas no debe entenderse como consentimiento tácito.

Tal es así, que en la jurisprudencia del Tribunal Supremo en la sentencia de 257/1986, de 28 de abril se establece que para que exista consentimiento tácito deben existir circunstancias que revelen inequívocamente que la persona consiente. Destaca, además, como requisito importante, que el silencio no siempre es considerado como consentimiento tácito.

En otra sentencia del Tribunal Supremo, la Nº 483/2004 de 9 de junio, se establecen dos requisitos para que el silencio sea considerado consentimiento tácito.

El primero de ellos es el conocimiento y comprensión de los hechos. Esto quiere decir que la persona que guarda silencio comprende los hechos que requieren de su consentimiento.

El segundo de los requisitos es la exigencia de manifestar la disconformidad. En este caso, la situación debe permitir que la persona pueda manifestar de alguna manera su disconformidad si no quiere consentir o aprobar los hechos o las propuestas. El Tribunal entiende que guardar silencio es una forma de consentimiento tácito cuando existe una relación entre partes que tiene antecedentes basados en la buena fe.

Ejemplos de situaciones que aceptan o exigen el consentimiento tácito

En el día a día, las personas nos enfrentamos frecuentemente a solicitudes de consentimiento tácito, como, por ejemplo, cuando recibimos una notificación por parte de nuestra entidad bancaria donde se nos indica que nuestras nuevas condiciones entrarán en vigor en una fecha determinada y que “si no expresa lo contrario”, o bien “si no recibimos respuesta en X días”, se darán por aceptadas las referidas condiciones.

El consentimiento tácito es frecuente también en comunidades de propietarios. Un ejemplo es cuando un vecino de una comunidad de propietarios instala un toldo, una máquina de aire acondicionado o cualquier otro elemento que altere la fachada del edificio sin solicitar permiso. Si ningún otro vecino se opone, se entiende que existe consentimiento tácito por parte de la comunidad.

También constituye un consentimiento tácito en el uso de información cuando la persona entrega su tarjeta comercial, de empresa o de cualquier ámbito, con datos personales. Este consentimiento incluye que se está dispuesto a establecer comunicación con la otra parte.

En la actualidad el consentimiento tácito no es válido en cuanto a la protección de datos, aunque si lo fue en virtud de la normativa anterior a la Ley de 3/2018, la derogada LOPD de 1999. Hasta ese momento, por ejemplo, las cookies se entendían que eran aceptadas al navegar por la web, ya que no había una manifestación explicita contraria a su aceptación.

De hecho, el único consentimiento valido en protección de datos es el consentimiento expreso, el descrito en los artículos 4.11 RGPD y el 6.1 Ley de 3/2018, donde se define de la siguiente manera:

“Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Por tanto, el RGPD establece que el consentimiento sea «inequívoco» y lo excluye la utilización del llamado consentimiento tácito. No se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD la utilización de una declaración por escrito o activar casillas en un sitio web de internet.

La responsabilidad de recogida de este consentimiento le corresponde al responsable del tratamiento de los datos, conforme el artículo 7.1 del RGPD, tal y como veremos más adelante.

Es importante saber cuales son las condiciones y/o requisitos para el otorgamiento, prueba o retirada del consentimiento.

En primer lugar, es obligación del responsable del tratamiento demostrar que los afectados consintieron el tratamiento de sus datos personales, conforme lo dispuesto en el artículo 7.1 del RGPD:

“Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá de ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”.

En el caso de que la recogida del consentimiento se realice de forma escrita, y esta se pueda referir a otros asuntos, debe de aparecer la petición del consentimiento de forma diferenciada de las otras cuestiones, de tal manera que la persona tenga plenamente constancia sobre las finalidades de tratamiento de datos para las que presta el consentimiento.

Además, es importante que el responsable emplee un lenguaje claro y sencillo y utilice herramientas de fácil acceso. Es decir, deberá huir de estructuras gramaticales y terminología compleja y cumplir, de esta manera, con lo dispuesto en el artículo 12.1 del RGPD:

“El responsable de tratamiento deberá tomar las medidas oportunas para facilitar al interesado toda la información (…) en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.

Por último, debe de ser tan fácil otorgar el consentimiento como retirarlo. A partir del momento en el cual se retira el consentimiento ya no se podrán tratar los datos.

Si tenemos en cuenta que la recogida del consentimiento es una obligación del responsable del tratamiento, será igualmente importante custodiar esa recogida para ser evidenciada si fuera necesario y respetar lo dispuesto en el artículo 7.1 del RGPD.

Hoy en día es posible obtener el consentimiento expreso de dos formas: verbal y por escrito.

Respecto al otorgamiento verbal, que es el que se puede facilitar de forma telefónica, es cierto que, a pesar de admitirse su validez, se plantea un gran problema en lo relativo a la eficacia jurídica. En concreto, es difícil probar su existencia en caso de incumplimiento por parte del responsable, ya que necesitaría contar con sistemas técnicos que permitan la grabación, custodia y reproducción.

La otra vía de recogida del consentimiento expreso es la escrita, lo que incluye los medios electrónicos. Algunos ejemplos podrían ser mediante formularios, casillas en sitios web, registros de aplicaciones, etc.

En ningún caso sería válido el consentimiento “entendido” por el silencio de la persona, las casillas que estuvieran previamente marcadas o la inacción por parte del interesado. Esto pertenece a la categoría de consentimiento tácito, algo que la legislación actual no acepta como válido.

Con independencia del modo de recogida del consentimiento por parte del responsable, es importante que sea expreso y que quede registrado inequívocamente en cualquier sistema multimedia.

En este sentido, el Comité Europeo de Protección de Datos señala en sus directrices 5/2020 que una manera evidente de garantizar que el consentimiento es explicito sería confirmar que fue otorgado en una declaración escrita, con el fin de eliminar cualquier posible duda o la falta de prueba. Aunque también apunta a que las declaraciones firmadas no son el único modo de obtener el consentimiento. Por ejemplo, en el contexto digital, un interesado puede otorgar un consentimiento explicito mediante un impreso electrónico, el envío de un email, la carga de un documento escaneado con su firma o a través del uso de una firma electrónica.

Por todo ello, las empresas tienen que contar con unos procesos de gestión de consentimientos mejorados y maduros y apoyarse en soluciones, como la de MailComms Group, que les ayuden a gestionar todo el proceso garantizando el cumplimiento y evitando sanciones.

En este punto resulta de gran ayuda para el cumplimiento contar con un prestador de servicios electrónicos de confianza cualificado, como es el caso de Mailcomms Group, que además está certificado en las principales normativas de seguridad de la información y de privacidad, como son: ISO/IEC 27001 e ISO/IEC 27701, a las que suma su acreditación en la categoría de nivel alto en el Esquema Nacional de Seguridad.