Uno de los cambios más importantes que ha supuesto la aplicación efectiva el pasado 25 de mayo del Reglamento General de Protección de Datos de la UE, es la gestión del consentimiento del usuario. Este nuevo escenario supone que el consentimiento otorgado por el usuario sea más directo, informado y activo que hasta la fecha.

El RGPD prevé una gestión del consentimiento más activa y personalizada.

Hasta ahora, la obtención del consentimiento, se basaba en lo previsto en el artículo 3 de la LOPD, en su apartado h:

1. h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Es decir, el usuario debía otorgar el consentimiento debidamente informado y siendo consciente de la información que iba a compartir con las empresas y/o profesionales.

Pero a pesar de que la definición quedaba suficientemente clara, este escenario podía dar pie a algunas interpretaciones en las que en base a la lectura estricta del articulado, bastaba con pulsar un simple botón para dar por asumidas y entendidas las condiciones de privacidad. Un ejemplo claro se podía encontrar en cualquier web donde, en el caso del alta de suscriptores en un boletín de noticias, se informaba que con el alta se aceptaban directamente las condiciones de uso y políticas de privacidad de la web.

A partir de la aplicación efectiva del RGPD, este tipo de avisos no es válido y no puede ser usado.

Ahora pues, el RGPD define el consentimiento de una forma distinta y más activa por parte del usuario, tal como indica su considerando 32:

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Es decir, que el consentimiento tiene que ser una acción positiva y activa por parte del usuario, quien mediante la selección de una casilla o cualquier otro medio técnico que pueda comprobarse (esto último es fundamental), tiene que aceptar el tratamiento de sus datos.

Es decir, ejemplos como el comentado anteriormente, ya no serán posibles. Tampoco se podrán usar formularios con casillas activadas por defecto y además, si se requiere el consentimiento para varios tratamientos, por ejemplo alta en un boletín de noticias y alta como usuario en una plataforma online, estos consentimientos tendrán que recogerse por separado.

Por tanto, un formulario de contacto adecuado al cumplimiento del RGPD, debería contar con los siguientes elementos:

– Información en primera capa de la política de privacidad, donde se resuman las finalidades del tratamiento y se identifique al responsable. Deberá también dirigir al texto completo de la política de privacidad.

– Checkbox para seleccionar cada una de las finalidades previstas, sin premarcar y guardando el estado de los mismos para poder demostrar, por parte del responsable, de la existencia del consentimiento.

También hemos de tener en cuenta, que cualquier consentimiento que se recoja debe garantizar que no supone un perjuicio de ningún tipo para el usuario. Es decir, si la no concesión de ese consentimiento impide al usuario acceder a algún tipo de servicios, ese consentimiento no será válido. Eso se recoge en el considerando 42 del RGPD,

“… El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. “

Como se puede ver, hay mucho trabajo por delante para la adecuación a los nuevos requisitos del RGPD, pero la revisión de las clausulas de consentimiento y la forma en que se recogen estos, deberían ser una tarea prioritaria para las empresas.