Requisitos del consentimiento a los efectos del RGPD

2020-11-17T07:42:00
España Otros países

En el ámbito de la protección de datos personales, una de las cuestiones que con mayor frecuencia se plantea es el modo de obtener de los afectados un consentimiento válido para que sirva de base jurídica para el posterior tratamiento de los correspondientes datos. De hecho, es muy frecuente que, en los procesos de contratación

Requisitos del consentimiento a los efectos del RGPD
17 de noviembre de 2020

En el ámbito de la protección de datos personales, una de las cuestiones que con mayor frecuencia se plantea es el modo de obtener de los afectados un consentimiento válido para que sirva de base jurídica para el posterior tratamiento de los correspondientes datos. De hecho, es muy frecuente que, en los procesos de contratación con clientes, exista la tentación las empresas se sientan tentadas a pre-marcar la casilla de consentimiento para el tratamiento de datos o establecer en las correspondientes condiciones generales una presunción de aceptación de dicho tratamiento.

El Tribunal de Justicia de la UE acaba de dictar una sentencia, en el caso C-61/19, en la que analiza las exigencias aplicables al consentimiento que se preste para un tratamiento de protección de datos, a fin de considerarlo válido desde el punto de vista del Reglamento General de Protección de Datos (RGPD).

En su respuesta a una cuestión prejudicial planteada por un tribunal de Bucarest (Rumanía), la corte comunitaria se centra en analizar la validez de la práctica de una empresa de telecomunicaciones consistente en configurar sus condiciones generales de tal manera que la casilla de consentimiento para tratamiento de sus datos (y, más en particular, para recoger y mantener en sus archivos una copia de la documentación de identidad del cliente) se presentaba como pre-aceptada. Asimismo, el TJUE analiza los requerimientos de claridad requerida por el RGPD a la hora de describir los tratamientos que se harían de los datos personales en cuestión, atendiendo a las dudas que plantea a este respecto el tribunal rumano.

En relación con la primera de las cuestiones planteadas, la sentencia del TJUE reitera la exigencia de que, a fin de que el consentimiento obtenido se considere válido desde el punto de vista del RGPD, dicho consentimiento debe ser genuinamente libre, específico, informado e inequívoco. A tal respecto, la alta corte comunitaria confirma que el consentimiento no se entenderá válidamente prestado en caso de silencio o de utilización de casillas ya marcadas o de inacción por parte del afectado.

Asimismo, la sentencia insiste en la necesidad de que la descripción de los tratamientos que se vayan a hacer en el marco del correspondiente contrato debe basarse en un lenguaje claro y sencillo. Ello debería requerir el uso de un texto de fácil comprensión, a fin de que los afectados puedan entender fácilmente los tratamientos que se darán como consecuencia de su aceptación del correspondiente contrato. En un sentido parecido, el uso de estipulaciones contractuales que, por su propia configuración, pudieran inducir a error a los afectados deberá considerarse como una base insuficiente para considerar que se ha obtenido un consentimiento válido.  

Por último, el TJUE insiste en su sentencia que la carga de demostrar la licitud del tratamiento de datos en cuestión corresponderá al responsable de dicho tratamiento. A tal efecto, si dicho responsable no cuenta con pruebas sólidas de un consentimiento válido -en los términos anteriormente descritos-, difícilmente podrá acreditar la adecuación de su conducta a la hora a la luz del RGPD.

Autor: Albert Agustinoy

17 de noviembre de 2020