Obtención del consentimiento del interesado con el nuevo RGPD

Mientras el Reglamento de Desarrollo de la LOPD ofrecía varias modalidades para la obtención del consentimiento, el RGPD limita esta situación a que el mismo deba prestarse mediante una declaración o una clara acción afirmativa para que el tratamiento se realice de forma legítima.

Por ello, ahora las empresas deben readecuarse a fin de obtener el consentimiento para el tratamiento de datos de carácter personal, de acuerdo con el nuevo reglamento de protección de datos.

Basándonos en las exigencias del nuevo RGPD, el consentimiento, a partir del 25 de mayo, deberá ser expreso. Si se ha prestado de forma tácita o por inacción del interesado, no se considerará válido. Asimismo, deberá ser inequívoco y otorgarse de forma implícita como, por ejemplo, cuando se deduce de una acción del interesado que decide seguir navegando por una página web y acepta así que se utilicen cookies para monitorizar su navegación.

Por su parte, el consentimiento deberá ser explícito en situaciones de tratamiento de categorías especiales de datos, adopción de decisiones automatizadas y transferencias internacionales. También tendrá que ser individualizado para cada finalidad y verificable y no podrá pedirse en sentido negativo, de forma que condicione al interesado.

Previo a la recogida de datos, deberá informarse al interesado de todos los extremos del tratamiento (finalidad, cesiones, transferencias internacionales, ejercicio de derechos, etc.).

Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, el responsable del tratamiento deberá poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.

En lo que respecta a la obtención del consentimiento, se tendrán que llevar a cabo las siguientes acciones:

– Obtención del consentimiento del interesado para cada una de las finalidades de tratamiento. Consulta los pasos para saber cómo recoger dicho consentimiento según la nueva normativa.

– Revisión de los tratamientos para no obtener el consentimiento por omisión (tácito).

– Revisión de los tratamientos para que no sea solicitado de forma negativa.

– Supresión de todas aquellas casillas pre-marcadas.

Si el consentimiento obtenido previo a la aplicación del RGPD es conforme a los requisitos establecidos en el mismo, no será necesario obtenerlo de nuevo. Tampoco será necesario obtener consentimiento del interesado cuando los tratamientos se apoyen en otra base legal como la ejecución de un contrato, o cuando el interés legítimo del responsable o del cesionario de los datos prevalezca sobre los derechos del interesado

Por otro lado, hay que saber que no irán de acuerdo con el nuevo reglamento algunas de las prácticas habituales. Exponemos algún ejemplo a continuación:

– ‘Si en 30 días no nos da su negativa al tratamiento de sus datos, entendemos que está de acuerdo…’

– ‘Si no autoriza el uso de su imagen para fines corporativos marque la siguiente casilla.’

– Utilización de casillas pre-marcadas.

Vistos los cambios, hay que estudiar caso por caso ya que, en algunos supuestos, puede que no sea necesaria la obtención del consentimiento del usuario si el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato.