Este artículo forma parte de un Especial GDPR en el que te aclaramos, con preguntas y respuestas, algunos puntos críticos de la implantación de la directiva. Y, si lo necesitas, te ofrecemos una auditoría gratuita de tu negocio sobre esta directiva.
¿Cuándo es válido el consentimiento de tratamiento de datos?
Para que el consentimiento tenga validez legal tiene que cumplir las siguientes condiciones:
- Darse libremente
- Ser informado
- Darse para un fin específico
- Establecerse claramente todos los motivos para el tratamiento
- Ser explícito y haberse dado a través de un acto positivo (como una casilla de selección electrónica que el interesado debe marcar explícitamente en línea o la firma en un formulario)
- Utilizar un lenguaje claro y sencillo y ser fácilmente visible
- Explicarse y ofrecerse la oportunidad de retirar el consentimiento(por ejemplo, un enlace para darse de baja al final del correo de un boletín informativo electrónico)
¿Qué es eso de «darse libremente»?
La persona debe tener libre elección y poder denegar o retirar el consentimiento sin sufrir perjuicio alguno. Por ejemplo, no se habrá dado libremente si:
- Hay un desequilibrio claro entre la persona y la empresa u organización (por ejemplo, la relación empleador-empleado)
- Se exija el consentimiento para el tratamiento de datos innecesarios como una condición para cumplir un contrato o prestar un servicio.
Dos ejemplos sobre consentimiento:
- El consentimiento es libre: compras un billete de avión por internet y la declaración de confidencialidad de la empresa indica que los datos personales pueden tratase para un concurso organizado por la compañía aérea en el que se regala un billete gratis. Activa la casilla aceptando participar en el concurso, de modo que indicas claramente que deseas que tus datos personales sean tratados para el fin del concurso. Existe consentimiento para tratar los datos para el fin del concurso, pero no para otros fines.
- El consentimiento no es libre. Tu empresa presta servicios de películas por internet. Al recopilar los datos necesarios para este contrato también pide datos adicionales, como la orientación sexual o las creencias políticas de la persona. Esta persona puede creer que su consentimiento para el tratamiento de este tipo de datos es necesario para acceder a las películas que solicita. En este caso, el consentimiento no es libre, se trata de un «consentimiento vinculado».
¿Qué es eso de «informado»?
La persona que autoriza el utilizamiento de sus datos debe conocer, como mínimo:
- La identidad de la organización que trata los datos
- Los fines para los cuales se tratan los datos
- El tipo de datos que se tratarán
- La posibilidad de retirar su consentimiento (por ejemplo, un enlace para darse de baja al final de un correo electrónico)
- Cuando sea pertinente, el hecho de que los datos se utilizarán únicamente para la toma de decisiones automatizada, incluida la elaboración de perfiles
- Si el consentimiento guarda relación con una transferencia internacional, los posibles riesgos de la transferencia de datos a países terceros en ausencia de una decisión de adecuación y las garantías adecuadas
El consentimiento fue obtenido mediante un medio que no cumple con GDPR. Por ejemplo, una casilla pre-marcada en internet. Deberás volver a obtener el consentimiento si quieres continuar tratando los datos.
Te ayudamos
¿Todavía no has aplicado la GDPR a tu negocio? Aunque has dado los primeros pasos, ¿piensas que todavía necesitas ayuda para implantarlo correctamente? ¿Has tenido una mala experiencia y quieres confirmar que, efectivamente, cumples GDPR? Es importante valorar cada caso individualmente, por eso te ofrecemos una auditoría gratuita (y sin compromiso) en GDPR. Contacta con nosotros por mail o por teléfono.