El objetivo principal del nuevo Reglamento General de Protección de Datos, RGPD, es dar más control a los ciudadanos sobre su información privada en un mundo de redes sociales, dispositivos móviles, internet de las cosas y transferencias internacionales de datos.
Dicho RGPD mantiene los principios actuales sobre protección de datos, tales como calidad de los datos, seguridad de los datos, derecho de información y consentimiento de los interesados.
Este consentimiento se refuerza de manera considerable, ya que ahora se exige que debe ser “claro y afirmativo”, es decir, ya no nos sirven los consentimientos tácitos o por inacción, las típicas casillas de verificación marcadas por defecto.
El consentimiento es el pilar fundamental para legitimar el tratamiento o cesión de datos.
El artículo 4 del citado RGPD, apartado 11) nos habla sobre el consentimiento del interesado, “como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Además, dentro de los principios relativos al tratamiento de datos de carácter personal, el artículo 5 nos indica que los datos personales deberán ser:
- Tratados de manera lícita,leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
- recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;
- adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
- exactos y, si fuera necesario, actualizados;
- mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos,
- tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Y el responsable del tratamiento será responsable de que se cumpla lo dispuesto en los apartados anteriores y capaz de demostrarlo («responsabilidad proactiva»).
Así el artículo 6 del RGPD, nos habla de la licitud del tratamiento, indicando que solo será lícito el tratamiento si se cumple al menos una de las siguientes condiciones recogidas en el citado artículo, entre las que se encuentra:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
Pero, ¿cómo se debe obtener el consentimiento?
Para responder a esta pregunta, nos debemos remitir al artículo 7 de citado RGPD, donde nos habla de las condiciones del consentimiento, de tal manera que:
- Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamientode sus datos personales.
- Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculanteninguna parte de la declaración que constituya infracción del presente Reglamento.
- El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello.Será tan fácil retirar el consentimiento como darlo.
- Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
Por último, no podemos olvidar cuando se solicite el consentimiento a los niños, dentro de los servicios de la sociedad de la información, el tratamiento de datos personales se considerará lícito cuando se tenga como mínimo 16 años. En el caso que el niño sea menor de 16 años, el tratamiento únicamente se considerará lícito si el consentimiento lo dio, o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
En este sentido el RGPD indica que los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años.