Obtener el consentimiento del usuario al solicitar datos personales

El consentimiento debe darse mediante una acción afirmativa clara que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado y debe otorgarse para todas las actividades de tratamiento realizadas. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para cada uno de ellos. Si se da a través de una solicitud por medios electrónicos, esta tiene que ser clara, concisa y no perturbar innecesariamente el uso del servicio para el cual se presta.

Este consentimiento expreso puede trasladarse a un formulario web a través de la implementación de unas casillas de verificación que estén desmarcadas por defecto, esto es vital, para poder demostrar esta voluntariedad por parte de la persona para tratar sus datos personales.

Las casillas pre-marcadas, el silencio y la inacción del interesado no constituyen un tratamiento de datos lícito, por lo cual no deben adoptarse estas fórmulas.

Hemos hablado en el apartado anterior de fines específicos, es decir, cuando alguien proporciona sus datos debe detallar de manera clara, inequívoca y transparente las condiciones de tratamiento de los datos.

Al ser un consentimiento expreso ligado a una finalidad específica se debe demostrar que se ha recogido siguiendo estos preceptos y la carga probatoria recae sobre la organización que recibe y trata los datos.

Un ejemplo de cómo poder demostrar que nos han autorizado es que cada alta genere un e-mail de respuesta automática con los datos de la persona solicitante, su IP, acepto, fecha, hora exacta y navegador que utilizó. Este e-mail se debe guardarse como justificante en caso de conflicto con el usuario.

Primera capa de información básica

Con los requisitos y principios introducidos por el RGPD respecto a la obligación de informar, la simple remisión a la política de privacidad desde los formularios web ya no es suficiente para cumplir con esta obligación.

Las Autoridades de Protección de Datos de la Unión Europea, recomiendan utilizar un modelo de información por capas, presentando una primera capa, con una información básica sobre protección de datos y remitir desde la misma, de forma sencilla e inmediata a una segunda capa con la información restante.

En la Guía para el Cumplimiento del Deber de Informar, de la AEPD establece que esta primera capa informativa tiene que reunir los siguientes requisitos:

- La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.

- Esta obligación debe cumplirse sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

- Debe estar claramente identificada con un título tal como “Información básica sobre protección de datos”.

- El responsable del tratamiento tiene que garantizar que dicha información quede “dentro del campo de visión” del interesado.

- Los interesados tienen que recibir una copia donde se incluya dicha información básica.

La LOPDGDD en su artículo 72 tipifica como INFRACCIÓN MUY GRAVE la omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD).