El consentimiento debe ser “libre, específico, informado e inequívoco”, tal y como se describe en las Directrices sobre el consentimiento en el sentido del Reglamento 2016/679. Además, debe ofrecerse control al interesado sobre el mismo y darle la posibilidad de aceptar o rechazar los términos bajo los que se presta. El sujeto de datos debe conocer una información mínima, previa a la prestación del consentimiento, que resulta crucial para que pueda tomar una decisión válida y claramente informada. Esta información se establece en el artículo 13 del RGPD, entre la que se encuentra la identidad del responsable, el propósito de cada operación del tratamiento para la que consiente, el tipo de datos que se van a recoger y posteriormente utilizar, si se van tomar o no decisiones basadas únicamente en el tratamiento automatizado de los datos, posibles riesgos si se producen transferencias internacionales y la existencia del derecho a retirar el consentimiento prestado y de los mecanismos para hacerlo.
Esta información muchas veces se presta ‘escondida’ en largas políticas de privacidad asociadas a la aplicación o servicio prestado y que, acumuladas en el tiempo y vinculadas a diferentes tratamientos de distintos responsables, conducen al interesado a la pérdida de control de sus datos, quién los tiene y para qué finalidad, limitando, en consecuencia, ese derecho antes mencionado.
Por otro lado, de acuerdo con artículo 7 del Reglamento, cuando el tratamiento se realice amparado en el consentimiento, este debe poder ser verificable debiendo el responsable ser capaz de poder demostrar que el interesado lo prestó de manera válida. El RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, teniendo libertad para implementar la forma de obtención y registro que más se adapte a los procesos de la organización, pero, al menos, debe poder acreditar quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Esa obligación subsiste en tanto que se siga realizando el tratamiento de los datos personales bajo las condiciones iniciales en que los datos fueron recabados y debe ser verificable en caso de auditoría o inspección.
De ahí que resulte de interés la implementación de herramientas que ofrezcan garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar este en torno al tratamiento de los datos personales que se está realizando.
Puede ver más información en el siguiente enlace
Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva
Fuente: AEPD
