Con el objetivo de aclarar importantes puntos del consentimiento en base al RGPD y para cumplir con la normativa de cookies, el Supervisor Europeo de Protección de Datos (EDPS) ha elaborado una Guía que recuerda y recalca que el consentimiento:
- Es una de las bases legales más importantes para el tratamiento de los datos personales que deberá permitir y asegurar al usuario un control total de sus datos con la opción clara, real e informada para que acepte o rechace los términos que se le ofrecen;
- Tendrá que ser una declaración libre, específica para cada una de las finalidades que requieran su tratamiento, informada y otorgada a través de una acción claramente afirmativa, siendo siempre una decisión reversible;
- Se solicitará en los datos que sean estrictamente necesarios para cumplir con la contratación del servicio o la compra del producto;
En esta línea el consentimiento deberá ser:
- Específico: precedido siempre de un propósito explícito y legítimo para cada actividad de procesamiento prevista, combinada con la limitación que protege al usuario de que se puedan almacenar datos para finalidades diferentes a las que lo otorgó y limitando la posibilidad de que se puedan ampliar de manera gradual para propósitos a los que no dio su consentimiento.
- Informado: para que conozca el tipo de tratamiento que se hará de sus datos, la existencia del derecho a retirar el consentimiento.
- Inequívoco: a través de una acción física que garantice una afirmación clara. De esta manera, las webs y plataformas digitales tendrán que diseñar mecanismos de consentimiento que eviten ambigüedades y que garanticen que el consentimiento pueda distinguirse de cualquier otro tipo de acciones. De esta manera, relacionado con las cookies, no se podrá considerar que el hecho de continuar navegando en el sitio web presupone su aceptación.
Para obtener dicho consentimiento explícito lo ideal sería obtener una declaración escrita y firmada, algo complejo en el mercado digital. Otras alternativas:
- A través de un formulario electrónico.
- Enviando un email.
- Cargando un documento escaneado con la firma del usuario.
- Mediante firma electrónica.
- Por llamada telefónica siempre que la información se aporte al usuario de manera suficiente, inteligible y clara, y que se recabe mediante una confirmación específica (por ejemplo, presionando un botón o proporcionando confirmación oral).
- La verificación en dos etapas. Por ejemplo, primero se envía un email para notificar qué datos se van a tratar indicando que el usuario debe responder, en el caso de que esté de acuerdo, con el término «acepto». Tras esa respuesta el usuario recibirá un enlace de verificación o SMS con un código de verificación para que confirme de manera explícita su consentimiento.
Tras analizar estos puntos clave garantizan que el consentimiento sea una verdadera elección del interesado, dejando de lado cualquier tipo de imposición. Esto implica que se considere como consentimiento no válido:
- El conocido como «consentimiento en bloque» que agrupa las finalidades dentro de los términos y condiciones como una parte no negociable de aceptación. No podrá ser por lo tanto un único párrafo en los términos y condiciones de la página en el que se mezclen las diferentes finalidades.
- La vinculación de la aceptación de las condiciones con la provisión de un servicio en ámbitos o condiciones que no son necesarias para la prestación del servicio o la entrega del producto. Por ejemplo, imaginemos una aplicación que ofrece el servicio de edición de imágenes, pero especifica en los términos legales que solo dará acceso al servicio si el usuario aporta la información sobre la geolocalización por GPS (datos que serán utilizados para el envío de publicidad personalizada). Aportar información sobre la ubicación no es un consentimiento necesario para poder editar imágenes, por lo que no será un consentimiento libre y por lo tanto no será válido.
- El bloqueo de contenido web en los avisos de cookies en los que el propietario de la página obliga su aceptación para otorgar el acceso a la web.
Como buenas prácticas el documento destaca:
- El concepto de «granularidad» para los casos en los que un único servicio conlleva diferentes tipos de tratamientos de datos permite seleccionar de manera diferenciada qué finales se aceptan.
- La necesidad de demostrar que la opción de rechazar o retirar el consentimiento previamente otorgado es una opción real, de fácil acceso y que no generará costes o planteará desventajas o algún tipo de detrimento para el usuario.
- Proporcionar información específica con cada solicitud de consentimiento por separado sobre los datos que se procesan para cada finalidad con el objetivo de que el usuario tome conciencia sobre el impacto de sus decisiones y las alternativas disponibles.