Esta legislación histórica ha cambiado la forma en que las organizaciones abordan la privacidad de los datos y ha devuelto a los consumidores al asiento del conductor, dándoles un mayor control sobre cómo se almacenan y procesan sus datos.

Cuando el GDPR entró en vigor el 25 de mayo de 2018, supuso la mayor sacudida de las leyes de privacidad de datos en 20 años.

La legislación se introdujo para reflejar nuestro mundo cada vez más digitalizado y reconocer los derechos de las personas respecto al uso de sus datos personales.

Prácticamente todos los servicios que utilizamos, ya sea una plataforma de medios sociales, un minorista o un banco, recopilarán, analizarán y almacenarán nuestros datos personales. En virtud del RGPD, las organizaciones están ahora obligadas a demostrar que manejan estos datos de forma lícita, justa y transparente.

La UE define los «datos personales» como cualquier información que pueda utilizarse para identificar directa o indirectamente a una persona (sujeto de los datos). Esto puede incluir desde un nombre, una dirección de correo electrónico, una dirección IP hasta imágenes. También incluye los datos personales sensibles, como los datos biométricos o los datos genéticos, que podrían procesarse para identificar a un individuo.

En general, el tratamiento de datos personales está prohibido a menos que esté permitido por la legislación aplicable o que el interesado haya dado su consentimiento al tratamiento. Sin embargo, el consentimiento es sólo uno de los seis fines legítimos que se exigen para todo tratamiento de datos personales.

Consentimiento GDPR válido

Según el GDPR, el «tratamiento lícito» sólo es posible cuando:

  • Existe consentimiento del interesado
  • El tratamiento es necesario para la ejecución de un contrato con el interesado
  • El tratamiento es necesario para cumplir una obligación legal
  • El tratamiento es necesario para proteger los intereses vitales de un interesado o de otra persona
  • El tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
  • El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que prevalezcan los intereses, derechos o libertades del interesado.

¿Qué es el consentimiento?

qué es el consentimiento según el GDPR

El consentimiento es una forma de generar confianza entre un usuario y una organización. Tal y como lo define el GDPR: «El consentimiento es una indicación libre, específica, informada e inequívoca de los deseos del interesado por la que éste, mediante una declaración o una clara acción afirmativa, manifiesta su acuerdo con el tratamiento de los datos que le conciernen.»

El consentimiento se define como bastante limitado desde la perspectiva del GDPR. Por ejemplo, si un usuario da su consentimiento para que sus datos se utilicen con fines de detección de un fraude cibernético y más tarde sus datos se utilizan con fines de marketing sin su conocimiento ni su elección, se trata de una violación de la intimidad personal del interesado.

Asimismo, los formularios de consentimiento no pueden estar incrustados en acuerdos de condiciones de servicio de larga duración. Para garantizar la transparencia, los formularios de consentimiento deben ser independientes, específicos y explícitos por naturaleza.      

¿Qué hace que el consentimiento sea válido?

Consentimiento válido GDPR

Cuando se requiera el consentimiento para tratar datos personales, deberán cumplirse las siguientes condiciones para que dicho consentimiento sea válido:

1. El consentimiento debe darse libremente

Para que el consentimiento se dé libremente, el individuo debe poder elegir si quiere o no que se procesen sus datos. Si el individuo no tiene ninguna opción en el procesamiento si estos datos, entonces el consentimiento no se da libremente y se considerará inválido. El individuo también debe poder rechazar el consentimiento sin repercusiones negativas y tener la posibilidad de retirarlo en cualquier momento. En la medida de lo posible, el consentimiento debe estar disociado de otras condiciones.

2. El consentimiento debe ser específico

El consentimiento debe ser específico para los fines reales para los que se utilizarán los datos. Como especifica el GDPR: «la obtención de un consentimiento válido sólo puede hacerse después de que el responsable del tratamiento haya determinado un fin específico, explícito y legítimo para la actividad de tratamiento prevista.» Cuando el tratamiento tiene múltiples finalidades, el consentimiento sólo debe darse para las finalidades basadas en el consentimiento.

3. El consentimiento debe ser informado

Para que el consentimiento se considere válido, la persona debe saberlo:

  • La identidad de la organización que procesa los datos
  • Los fines para los que se tratan los datos
  • El tipo de datos que se procesarán
  • La opción de retirar el consentimiento

4. El consentimiento debe ser inequívoco

El consentimiento debe darse mediante un acto afirmativo claro para que los deseos del individuo queden claros. La solicitud de consentimiento debe hacerse en un lenguaje claro y sencillo, inteligible y de fácil acceso. Puede ser mediante una declaración escrita u oral. El silencio, las casillas marcadas previamente o la inactividad no constituyen un consentimiento válido.

¿Cuáles son las normas sobre el consentimiento de los niños?

Por lo general, se requiere el consentimiento paterno para los menores de 16 años, aunque las edades requeridas para el consentimiento varían según el país participante en la UE. Además, es necesario realizar esfuerzos razonables para verificar la identidad de la persona que proporciona el consentimiento en nombre del menor.

El proceso de consentimiento puede ser más estricto bajo el GDPR, pero ofrece a las organizaciones la oportunidad de desarrollar mayores niveles de confianza y transparencia con sus clientes.

MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.

Lecturas complementarias:

Cómo afectará el GDPR al derecho a ser olvidado

Los 5 principales mitos del GDPR

Cinco formas en que su empresa puede beneficiarse del GDPR

DESCARGO DE RESPONSABILIDAD: El contenido y las opiniones de este blog tienen únicamente fines informativos. No pretenden constituir un asesoramiento legal o profesional de otro tipo y no deben ser invocados o tratados como sustitutos de un asesoramiento específico relevante para circunstancias particulares, la Ley de Protección de Datos o cualquier otra legislación actual o futura. MetaCompliance no aceptará ninguna responsabilidad por errores, omisiones o declaraciones engañosas, o por cualquier pérdida que pueda derivarse de la confianza en los materiales contenidos en este blog.