¿Cómo acreditar el consentimiento? Aterrizando el RGPD


Ya hemos comentado anteriormente que uno de los cambios más significativos que introduce el nuevo reglamento está en la transformación del consentimiento. Una nueva visión que refuerza la voluntad del usuario para que su determinación no arroje dudas ni se preste a ambigüedades, no se sobreentienda ni se pueda abusar de ella haciéndola extensiva a otros aspectos no informados.

También se pide que el consentimiento sea acreditable, y esto gracias al principio de “accountability” o “responsabilidad proactiva”.

El consentimiento por tanto se presenta como “el bastión de la voluntad legítima de los afectados” y ya no se conciben atajos para obtenerlo ni hay escapatorias a la hora de acreditarlo. Creo que no son muchas empresas las que a día de hoy han tomado conciencia de las implicaciones legales y prácticas de esta transformación para su operativa diaria.

Tenemos tan normalizada la modalidad “opt-out” que, sin duda, costará acostumbrarnos a las nuevas fórmulas “doble opt-in” que se nos plantean, en especial, en sectores como el de marketing.

Los requisitos para legitimar el consentimiento

Si nos ceñimos a lo que expresa el mandato legal para legitimar el consentimiento, a saber: “elegir escenarios técnicos para los servicios de la sociedad de la información” u “otra declaración o conducta que indique claramente el consentimiento al proceso”, puede ser tan sencillo como incluir una casilla en un sitio web que el usuario tenga que marcar para poder registrarse, pero al igual que la mujer de César, “No basta con serlo, también hay que parecerlo”. El consentimiento, para que sea legítimo, tiene además que poder ser demostrable, ya no basta con hacerlo bien, también debemos ser capaces de acreditarlo.

 
¿Qué elementos debemos poder acreditar?

Es preciso poder acreditar y documentar en cualquier momento los siguientes puntos:

Quién consintió:

Toda empresa deberá ser capaz de identificar al titular de datos por su nombre o por otros elementos identificadores. Si se ha revocado o no el consentimiento y en caso positivo, cuándo.

Cuándo y cómo consintió:

  • En el caso de consentimiento offline, se debería aportar copia del documento con la cláusula informativa correspondiente firmado por el interesado y fechado. Si se trata de un consentimiento verbal, a través de una grabación donde consten los datos del afectado y la fecha de la grabación.
  • En el caso del consentimiento online, se debería crear un archivo con sello de tiempo.

Qué información recibió el particular:

Toda empresa debería poder aportar una copia del formulario o sistema de captura de datos utilizado con la información suministrada oportunamente al titular de datos.

  • En el caso de formularios offline, bastaría el formulario físico con la cláusula informativa correspondiente firmada y fechada por el afectado.
  • En el caso de los formularios online, se debería aportar capturas de la primera capa informativa y de la segunda, con la información más detallada con la correspondiente información de su sello de tiempo.
  • Otra forma de acreditar la información online sería a través del doble opt-in, se puede insertar la segunda capa informativa en el correo de verificación que se envía al usuario para confirmar su alta o suscripción y hacer capturas de ese proceso.

Adecuando el consentimiento: Por dónde empezar

Lo recomendable es partir de una auditoria inicial que revise los siguientes aspectos susceptibles de adecuación:

Advertencia: Esta no es una lista de verificación oficial, solo una inferencia personal de los criterios que 
personalmente incorporaría en una auditoría específica para la legitimación del consentimiento según las 
exigencias del RGPD.
  1. Los sistemas utilizados en la empresa u organización para recabar datos de personas afectadas, desde clientes, empleados, colaboradores, usuarios de la web, etc. Será preciso auditar formularios físicos y digitales, tomas de datos, etc.
  2. El tipo de datos recabados y si entre estos se encuentran categorías especiales de datos personales, si se realizan elaboración de perfiles basadas en el procesamiento automatizado, si se realizan transferencias de datos personales a países fuera de la UE, etc. En todos estos casos el consentimiento es más exigente y debe ser obligatoriamente explícito.
  3. La presencia de datos personales de menores entre nuestros registros. Recordemos que el RGPD requiere el consentimiento de los padres para procesar los datos personales de los niños. Concretamente, el artículo 8 introduce protecciones específicas para los niños limitando su capacidad de consentir el procesamiento de datos sin autorización de los padres, elevando la edad de consentimiento a 16 años aunque permite a los estados miembros fijar una edad inferior.
  4. Los mecanismos de supresión. Recordemos que en el artículo 17, el interesado tiene derecho a que el responsable del tratamiento borre sus datos si retira su consentimiento y el tratamiento se ha basado en su consentimiento.
  5. Consentimiento en casos de limitación del tratamiento. Recordemos que en virtud del artículo 18, cuando el interesado ejerce su derecho a limitar el tratamiento de datos, el responsable del tratamiento sólo podrá seguir procesando los datos si obtiene el consentimiento del interesado o si el tratamiento es necesario para una reclamación legal, será preciso por tanto, contemplar esa posibilidad e indicar la necesidad de un mecanismo para obtener el consentimiento en caso de limitación.
  6. Envío de información al afectado: El artículo 20 concede a la persona afectada el derecho de recibir todos los datos personales sobre ella que estén en posesión del responsable cuando el tratamiento se base en su consentimiento. En estas circunstancias, habrá que auditar la presencia de un mecanismo que permita el envío de esta información.

Una vez auditados todos los mecanismos de entrada de información de la empresa, será preciso adecuarlos a los nuevos requisitos exigidos en el RGPD.

Comments

  1. Magnífica como siempre Marina. Eres capaz de traducir el confuso y difuso argot jurídico al Roman Paladino (que es la lengua que entiende todo vecino). Gracias por tus aportaciones y aclaraciones. Si no cumples bien, no será porque Marina Brocca no te lo explique.

  2. Marina Brocca S2 Grupo says:

    Muchísimas gracias por esa valoración tan positiva, en cualquier caso, es solo un intento de arrojar algo de luz entre tantas sombras con la esperanza de que sea útil.
    Un abrazo