¿El tratamiento de datos personales que hace tu empresa está basado en un consentimiento válido? Puede que no sea así. No es raro que suceda, generalmente, no hay una intención de infringir la ley, sino que se busca cumplir el RGPD, pero sin profundizar en los detalles.
Y esa es la cuestión del asunto, que el diablo está en los detalles, porque gracias a eso, podrías granjearte una multa de la AEPD de varios miles de euros. Para evitarlo, en este artículo te comentamos qué características tiene el consentimiento para ser considerado inválido ante la ley.
El tratamiento de datos basado en el consentimiento
El RGPD establece que un tratamiento de datos personales es lícito si se puede basar en distintos argumentos, uno de ellos es el consentimiento, pero debe tener las siguientes características:
- Expresar la voluntad del usuario de forma libre.
- Ser específico.
- Provenir de una decisión informada.
- Ser inequívoco, no debe haber dudas sobre lo que se acepta.
- Poder expresarse en una declaración o una clara acción afirmativa.
Además, debe tener las siguientes condiciones:
- Estar respaldado por pruebas.
- Estar separado de la aceptación de otros asuntos no relacionados con la privacidad (como los términos y condiciones de un contrato).
- El documento de consentimiento debe tener información inteligible, clara, sencilla y accesible sobre el tratamiento de datos personales.
- Debe poder ser retirado en cualquier momento, de la misma forma y con las mismas facilidades con las que se otorgó. Y el usuario debe saber que tiene esta facultad.
- No debe estar vinculado ni supeditarse a un contrato, si el fin del tratamiento no es necesario para la ejecución del mismo.
¿Cuándo el consentimiento es inválido?
Por lo tanto, aunque tengas el consentimiento firmado de una persona para tratar sus datos personales, si no cumple con las características y condiciones arriba citadas, no es válido.
Sin embargo, en la realidad, muchos de estos requisitos para el consentimiento son abstractos y difíciles de comprender en toda su magnitud. Y, por eso, es posible que, aun conociéndolos, no los apliques adecuadamente.
Para que no te pase, a continuación, te explicaremos con un poco más de detalle las situaciones en las que el consentimiento será considerado inválido.
El usuario no tiene la libertad de decidir
Quizá el problema principal para identificar si el consentimiento para el tratamiento de datos que nos entrega una persona es libre, es definir exactamente cuándo existe libertad o no. Y, según las Directrices 5/2020 sobre el consentimiento del Comité Europeo de Protección de Datos, hay que prestar atención a cuatro condiciones:
Cuando existe un desequilibrio de poder
Si le pides el consentimiento para tratar sus datos a una persona sobre la que tengas alguna clase de poder, que esté subordinada a ti o que pueda sufrir consecuencias negativas, difícilmente te lo negará. Entonces, el consentimiento no habrá sido dado de forma libre.
Esto pasa, por ejemplo, cuando una autoridad gubernamental te pide consentimiento para tratar tus datos personales, difícilmente te negarás. Lo mismo pasaría con tu empleador.
En estos casos, y solo cuando sea información estrictamente necesaria para la prestación del servicio, la base jurídica para el tratamiento de datos tendría que ser otra.
Cuando hay condicionalidad para aceptar el tratamiento
Supongamos que tienes una plataforma educativa en la que solicitas el consentimiento para tratar los datos de los estudiantes con fines publicitarios, de otro modo no podrá recibir clases. Aquí también el consentimiento sería inválido, porque estás condicionando la prestación del servicio educativo y no les das la opción de elegir lo mejor para ellos.
Tu plataforma solo podría condicionar la prestación del servicio educativo cuando se trate de datos estrictamente necesarios para poder educar. Por ejemplo, la información sobre el nombre o rendimiento académico de los alumnos. Y para ello, la mejor base del tratamiento tendría que ser diferente al consentimiento, como comentamos anteriormente.
Cuando no se separa el consentimiento para distintos fines
Pongamos que tienes una tienda online que solicita el tratamiento de datos para poder enviar una newsletter, pero también para compartir sus datos con Meta y sus socios. Algunos de tus clientes estarán de acuerdo con ambas cosas, otros podrían aceptar solo los correos electrónicos, o solo que Facebook trate sus datos. ¿Cómo podrían expresarlo si solo les muestras una casilla para aceptar o denegar ambas cosas?
Para que el consentimiento sea válido sería mejor habilitar casillas de consentimiento diferenciadas para que tu cliente pueda tener la opción de elegir lo que mejor le conviene. Incluso, desde el punto de vista comercial, esto también es beneficioso porque podrías perder la información para ambas cosas si no les permites elegir.
Cuando el cliente podría tener un perjuicio de no consentir el tratamiento de datos
Si los usuarios de tu tienda onlineno pueden retirar su consentimiento para instalar cookies publicitarias sin que les retires el acceso a algunos de tus productos estrella, por ejemplo, entonces su consentimiento es inválido. Es así porque los estás, de algún modo, coaccionando a mantener su aceptación del tratamiento solo para poder acceder a tus servicios, aunque esas cookies no sean esenciales para el servicio.
Un consentimiento válido requiere que el usuario no pueda sufrir ningún tipo de daño, perjuicio o consecuencia negativa de no aceptarlo o retirarlo.
El usuario no puede decidir sobre los detalles específicos del tratamiento de datos
Así como no entregarías tu dinero a cualquier persona sin saber específicamente para qué, tampoco los usuarios de tu app deberían consentir el tratamiento de datos personales sin conocer los detalles específicos de para qué serán usados.
La información específica que requieren es:
- Con qué fines se realizará el tratamiento.
- Los datos que se requerirán para cada uno de esos fines.
Si los usuarios no lo saben, entonces no pueden saber si les beneficia o no y, por lo tanto, no deciden libremente sobre si permitir el tratamiento de sus datos o no. Por lo tanto, el consentimiento es inválido.
Los usuarios también deben poder, como ya dijimos, expresar su consentimiento para cada uno de los fines. Esto además debe ir unido a la información mínima requerida para el consentimiento informado, como explicaremos más adelante.
El usuario no tiene información suficiente para aceptar el tratamiento de datos
En concordancia con ello, será necesario que tus clientes conozcan toda la información necesaria que les permita tomar una decisión acerca del tratamiento de datos. De no ser así, el consentimiento se considerará inválido.
Para evitarlo, informa al usuario como mínimo lo siguiente:
- Los datos personales que se tratarán.
- Por cuánto tiempo se conservarán sus datos.
- Por qué necesitas los datos y cómo los utilizarás.
- Quiénes son los responsables y encargados del tratamiento de los datos.
- Con quiénes se comparten sus datos, personas o empresas.
- Información sobre sus derechos de acceso, rectificación, cancelación, oposición, olvido, portabilidad y limitación del tratamiento
Pero al hacerlo, es importante que la información se muestre de modo amigable al usuario, sin usar palabras o frases muy técnicas o difíciles de entender. También debe ser accesible y adecuarse a sus características. Por ejemplo, si la audiencia de tu canal de YouTube son adolescentes mayores de 14 años, cuando se suscriban a tu newsletter deben encontrar la información en términos que puedan entender.
Una solución es presentar la información en dos capas informativas, que permita entender los datos básicos inicialmente, y de forma más detallada, luego, en otra capa.
Aturdir al usuario con mucha información, supondría una dark pattern y también está sancionada por la normativa de privacidad.
El usuario no ha expresado de forma inequívoca su consentimiento
Antes del RGPD, era posible considerar que un usuario había consentido el tratamiento de datos personales solo por continuar navegando en un sitio web. También era posible tener casillas pre marcadas de consentimiento y solo lo podía evitar quien hacía uso de botones de exclusión (como «Rechazo el uso de cookies”).
Pero desde que esta normativa europea entró en vigor, ya no es posible hacer eso. El usuario tiene que manifestar de forma que no dé lugar a dudas su consentimiento. Para ello, se necesitará que sea la persona quien actúe para acceder al tratamiento, ya sea seleccionando botones interactivos en un sitio web, mediante una declaración escrita o verbal. Esto último es sumamente necesario cuando se tratan datos especialmente sensibles, en transferencias internacionales o se toman decisiones automatizadas.
Tampoco puede prestarse a confusión con la aceptación de otras condiciones del servicio. Por ejemplo, no puede ponerse en el mismo espacio que en el de los términos y condiciones.
Mira este vídeo para conocer el caso de Nude Project, muy relacionado con este tema:
No hay pruebas que demuestren la validez del consentimiento
Un error común es no documentar los procesos de privacidad que se realizan al interior de las empresas. Y, aunque hayas cumplido con todos los requisitos previos para obtener el consentimiento, si no cuentas con pruebas que lo validen, la AEPD podría sancionarte.
Debes recordar, eso sí, que el consentimiento es específico, y si los fines de tu tratamiento cambian, debes volver a requerirlo. Por lo tanto, aún si tuvieras pruebas que demuestren que el usuario lo otorgó en determinado momento, si no se ha actualizado su consentimiento, no tendrá validez alguna.
No se permite al usuario ejercer sus derechos de privacidad
Volviendo a la posibilidad de retirar el consentimiento, debe estar garantizada para que este sea válido. Si a un usuario no se le posibilita la retirada, tal como la aceptación, entonces se le está limitando el control sobre sus datos personales. Lo mismo con los demás derechos de privacidad que se le adjudican:
- Acceso
- Rectificación
- Supresión
- Oposición
En específico, la retirada del consentimiento debe darse en los medios digitales con la misma facilidad que la aceptación. Y tras esto, tu empresa deberá eliminar todos los datos que se hayan obtenido mediante el consentimiento. No podrás cambiar de base jurídica para seguirlos tratando.
Cómo asegurar un consentimiento válido
Finalmente, sabemos que asegurar un consentimiento válido para el tratamiento puede ser difícil. Pero tenemos algunas recomendaciones que podrían facilitarte este procedimiento:
- Evalúa bien tus procesos para conocer qué datos tratas y con qué fines para poder informárselo de forma adecuada a los usuarios de los que tratar datos. Esto también puede facilitarte la demostración del cumplimiento de la normativa.
- Planifica la renovación del consentimiento en base a determinados periodos de tiempo que se adecúen a las necesidades de tu empresa.
- Utiliza focus groups, para validar que la información brindada a tus clientes es sencilla y adecuada a sus condiciones. También pueden ayudarte a evaluar los procesos desde el punto de vista del usuario, para identificar si encuentran alguna limitación a la libertad o a sus derechos.
- Busca la asesoría de un experto en privacidad, a fin de que evalúe tu cumplimiento de la normativa de privacidad y encuentre soluciones a las circunstancias particulares de tu empresa.
Te recordamos que en Talos Abogados somos expertos en protección de datos personales. Pide una cita para ayudarte a confirmar que el consentimiento que te dan tus usuarios es válido.
Foto de Steve Johnson en Unsplash
