USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

El consentimiento en el RGPD: comenta...

El consentimiento en el RGPD: comentarios al borrador de Directrices del Grupo de trabajo del artículo 29

Miguel RECIO GAYO

Doctorando y Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU

Diario La Ley, Nº 1, Sección Ciberderecho, 19 de Diciembre de 2017, Editorial Wolters Kluwer

LA LEY 19584/2017

Comentarios
Resumen

El consentimiento es una más de las condiciones de licitud del tratamiento de los datos personales y el Reglamento general de protección de datos (RGPD) introduce algunos cambios, en particular por lo que se refiere a su carácter inequívoco, que implican que los responsables del tratamiento tengan que asegurarse, en todo momento, de que han obtenido un consentimiento. Además, el consentimiento de los menores o la validez de los consentimientos obtenidos antes del RGPD, requieren también atención específica.

I. Introducción

Una de las directrices más esperadas del Grupo de trabajo del art. 29 (en adelante GT29) era la del consentimiento y finalmente han sido publicadas, aunque no de manera definitiva ya que se abre un plazo, hasta el 23 de enero de 2018, para presentar comentarios a las mismas.

En concreto, con el documento WP 259, relativo a las directrices sobre el consentimiento conforme al Reglamento 2016/679 (1) , el GT29 trata una de las cuestiones clave para los responsables del tratamiento por lo que se refiere a implementar medidas para cumplir con el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016) (2) (en adelante también RGPD). Y lo hace mediante un extenso documento que, en algunos casos, incluye ejemplos prácticos y en otros, deja abiertos algunos interrogantes sobre qué medidas adoptar e implementar para cumplir con la obligación de obtener un consentimiento válido.

Es importante tener en consideración que las directrices, por una parte, son en algunas cuestiones continuación de otras directrices que el GT29 ha adoptado en el pasado y, por otra parte, son el resultado de un taller de trabajo sobre el RGPD (3) que tuvo lugar en Bruselas durante los días 5 y 6 de abril de 2017. En particular, en este taller de trabajo se concluyó ya que, aunque el RGPD introduce nuevos elementos, «hay más continuidad que novedad» y en ello insiste el GT29 en su borrador de directrices.

En el resumen de lo tratado durante el taller de trabajo se apuntan también varias de las cuestiones esenciales que se han incluido en las directrices del GT29 sobre la materia. Por ejemplo, ya se apuntaba que el consentimiento es una, pero no la única, de las condiciones de licitud del tratamiento de los datos personales; que como base legal del tratamiento será examinado con más severidad en particular por lo que se refiere al consentimiento en el caso de menores.

Es decir, si bien algunos requisitos exigibles para un consentimiento válido cambian con respecto a la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) (4) , los elementos básicos se mantienen. No obstante, surgen también preocupaciones y se plantean preguntas que quizás no hayan recibido respuesta en el borrador del GT29, como por ejemplo la pregunta de si el titular de los datos puede dar su consentimiento a unos destinatarios pero no a otros o qué medidas adoptará el responsable del tratamiento para poder probar que el consentimiento se otorgó de manera verbal. Y esto implica que, en cierta medida, las nuevas directrices sean una adecuación o actualización de las ya publicadas por el GT29 al respecto, aunque el mismo ha dejado claro que las anteriores siguen siendo aplicables en lo que no sean contrarias al Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016).

Por tanto, a continuación, se resume el borrador de directrices publicado ahora por el GT29 prestando especial atención a los aspectos más relevantes, lo que permite realizar algunos comentarios al respecto.

II. Definición de consentimiento, antecedentes relevantes en la Directiva 95/46/CE y en el GT29

El análisis del borrador de directrices del GT29 requiere comenzar con la definición misma de consentimiento y tener en consideración también los antecedentes relevantes sobre el mismo, tanto en la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) como en los documentos publicados con anterioridad por el GT29.

Por lo que se refiere a la definición del consentimiento, la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) la incluye en su art. 2.h) en los siguientes términos: «toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan». Además de la definición, es importante tener en consideración, como repite ahora el GT29, ya que lo había indicado con anterioridad, que el art. 7 de la misma indica, en su letra a), que el tratamiento de los datos personales, para ser lícito, requiere que el interesado haya «dado su consentimiento de forma inequívoca» (énfasis añadido).

Y, con la finalidad de compararla, el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), la incluye en su art. 4.11), indicando que es «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen» (énfasis añadido).

Es decir, a primera vista, la definición incluida en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016) añade expresamente el elemento de que la manifestación de voluntad por el interesado o titular de los datos personales sea inequívoca, a través de una declaración o un acto afirmativo claro, lo que lleva a aquél a explicar en su considerando 32 que «podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».

Sin perjuicio de lo anterior, y en el marco de la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995), el GT29 adoptó varios documentos relevantes en la materia, tales como el dictamen 15/2011 sobre la definición del consentimiento (5) , WP 187, adoptado el 13 de julio de 2011; el documento de trabajo 2/2013 que proporciona orientación sobre la obtención del consentimiento para cookies (6) , WP 208, adoptado el 2 de octubre de 2013; el dictamen 3/2013 sobre la limitación de la finalidad, WP 203, adoptado el 2 de abril de 2013, o el dictamen 2/2013 sobre las aplicaciones de los dispositivos inteligentes, WP 202, adoptado el 27 de febrero de 2013.

En particular, en el dictamen 15/2011, el GT29 ya se refería, entre otras, a cuestiones tales como que el consentimiento es uno, pero no el único, fundamento de legalidad del tratamiento de datos personales; a conceptos relacionados con el mismo, tales como el control por el interesado sobre el tratamiento de sus datos personales, la transparencia, cuándo, es decir, en qué plazo, se tiene que solicitar el consentimiento para el tratamiento de los datos personales, o el consentimiento de los menores de edad.

III. Consentimiento «normal» y consentimiento expreso o explícito

Antes de adentrarnos en los elementos del consentimiento válido, según el índice del GT29, cabe prestar atención a la forma del consentimiento, partiendo de que queda claro que el consentimiento tácito no será válido a partir del 25 de mayo de 2018 e incluso a fecha de hoy resulta ya desaconsejable por no cumplir con el estándar que establece al respecto el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016).

Sobre si el consentimiento, en virtud del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), tiene que ser siempre expreso o explícito, dependiendo de cómo se traduzca al castellano el adjetivo «explicit», es necesario considerar, por una parte, que el mismo aparece referido: 1) al tratamiento de categorías especiales de datos personales (art. 9), 2) a las decisiones basadas únicamente en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles (art. 22.1.c) y 3) a la transferencia internacional de datos a terceros países u organizaciones internacionales cuando no haya nivel adecuado de protección (art. 49). Y, por otra parte, que el GT29, en su borrador de directrices, distingue entre el consentimiento normal, al que se refiere como «"regular" consent», y el consentimiento expreso, aclarando que este último es exigible cuando hay un alto riesgo para la protección de los datos personales y, por tanto, es necesario un alto nivel de control del interesado sobre sus datos personales.

Lo que se requiere ahora, en virtud del RGPD, tal como explica el considerando 32 del RGPD y al que hace referencia el GT29, es un acto afirmativo claro. Y al respecto las claves estás en las afirmaciones del GT29, por una parte, de que el término explícito se refiere a la forma en la que el consentimiento es expresado por el titular de los datos (traducción de «The term explicit refers to the way consent is expressed by the data subject»), y también la relativa a que «no puede decirse que el RGPD prescriba declaraciones escritas y firmadas en todas las circunstancias en la que se requiere un consentimiento explícito válido» (traducción de «it cannot be said that the GDPR prescribes written and signed statements in all circumstances that require valid explicit consent»).

Y aunque el GT29 ofrece algunos ejemplos sobre qué se considera como un acto afirmativo claro, ya sea a través de una declaración firmada, tanto en papel como electrónica; una declaración verbal o incluso un proceso de verificación en dos pasos, no termina de ofrecer soluciones prácticas. Una buena muestra de esto último puede ser el hecho de que mencione soluciones tales como que el titular de los datos envíe o suba un documento escaneado que incluya su firma, lo que obligaría a éste, posteriormente, a tener que revocar su consentimiento siguiendo el mismo procedimiento.

Lo anterior implica que sea necesario reflexionar sobre el consentimiento desde un punto de vista práctico y en el contexto mismo de cómo se produce el tratamiento de los datos personales, ya que de no ser así se corre, entre otros, el riesgo de la conocida fatiga del consentimiento. Al respecto, incluso Naciones Unidas ha llegado a indicar que el consentimiento puede ser difícil de demostrar y complejo tanto para las organizaciones como para los usuarios, y con frecuencia no es garantía de protección (traducción de «consent can be hard to demonstrate and cumbersome for both businesses and consumers, and often gives no guarantee of protection») (7) .

El hecho mismo de proporcionar los datos personales para la finalidad o finalidades indicadas en la cláusula de protección de datos debería ser ya considerado como un acto afirmativo claro de que quiere que sus datos personales sean tratados, teniendo el derecho a revocar dicho consentimiento en cualquier momento a través de la simple o mera manifestación de su voluntad en contrario.

Es decir, lo que debería considerarse como objetivo es la gestión responsable (accountable) del consentimiento más que prescribir cómo obtenerlo cuando incluso se puede llegar a una situación que dé lugar a que todo consentimiento tenga que ser explícito o expreso, aplicable cuando hubiera un riesgo bajo o incluso nimio o insignificante para el titular de los datos personales. Debe ser el interesado informado quien decida si consiente o no el tratamiento de sus datos personales a través de mecanismos prácticos y realistas.

Por tanto, habría sido deseable que el GT29 hubiera sido más preciso y práctico en este punto crítico. Y también que se hubiera considerado que alcanzar un alto nivel de protección de la persona en lo que respecta al tratamiento de sus datos personales pasa por la responsabilidad proactiva, a través de medidas técnicas y organizativas prácticas e innovadoras.

IV. Elementos del consentimiento válido

Los cuatro elementos del consentimiento, relativos a que sea libre, específico, informado e inequívoco, son objeto de un apartado específico del borrador de las directrices del GT29.

Dichos elementos del consentimiento han sido objeto ya de análisis por la Agencia Española de Protección de Datos (AEPD) en un informe jurídico sobre los caracteres del consentimiento definido por la Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de Protección de Datos de Carácter Personal (LOPD (LA LEY 4633/1999)) (8) . En dicho informe jurídico se planteaba ya si el consentimiento al que se refiere la LOPD (LA LEY 4633/1999) en varios de sus artículos «puede ser tácito o si, en todos los supuestos, deberá el mismo manifestarse de forma expresa».

1. Libre

En el sentido que ya conocemos en cuanto a que se haya obtenido sin vicio alguno y, recordando lo que el propio GT29 había indicado ya en su dictamen 15/2011, que «el interesado puede hacer una elección real y no haya ningún riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. Si las consecuencias del consentimiento socavan la libertad de elección de la persona, el consentimiento no es libre». También la AEPD en el informe jurídico ya citado había indicado que libre «supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento».

Sin perjuicio de lo anterior, el GT29 incide, por una parte, en dos cuestiones relevantes, que son las relativas al desequilibrio de poder entre el responsable del tratamiento y el titular de los datos personales, así como a la condicionalidad del consentimiento y, por otra parte, a varios aspectos del consentimiento que son su granularidad y perjuicio.

Desequilibrio entre las partes del tratamiento: En cuanto al desequilibrio entre las partes del tratamiento de los datos personales, el interesado y el responsable del tratamiento, el GT29 llama la atención sobre lo que indica el considerando 43 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) en cuanto a que el consentimiento no constituirá un fundamento jurídico válido si existe dicho desequilibrio, lo que ocurre cuando el «responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular». Y tampoco sería una condición adecuada de legitimación del tratamiento, según el GT29, cuando estamos ante un empleado dada la dependencia de éste en la relación laboral, ya que ante el temor de un riesgo real de perjuicio que pudiera tener su negativa a proporcionar su consentimiento, daría un consentimiento viciado.

En concreto, en relación con esta última situación, el GT29 incluye el ejemplo relativo a sistemas de monitorización activa basados en el uso de cámaras para la observación en el lugar de trabajo.

Sin perjuicio de lo anterior, el GT29 afirma también que no significa que un empleador no pueda recurrir al consentimiento como base de legitimación del tratamiento de los datos personales, sino que el mismo será posible únicamente en aquellos casos en los que, tanto si se otorga como si no se otorga, no tenga ninguna consecuencia adversa para el empleado.

Por último, el GT29 menciona que puede haber otros casos en los que se produzca un desequilibrio entre las partes y que lo esencial, para que el consentimiento sea válido, es que el interesado pueda ejercer una elección real (real choice), sin que haya riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. Es decir, libre significa que no está sometido a condición alguna.

Condicionalidad: Lo que se refiere, como indica el GT29, a que se deba prestar atención, como establece el art. 7.4 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), a si, entre otras, se produce alguna situación en la que el consentimiento esté «agrupado» (bundling) con la aceptación de términos y condiciones o «atado» a la provisión de un contrato o un servicio cuando los datos personales solicitado no son necesarios para el cumplimiento del contrato o la prestación de servicio.

Es decir, según explica el propio GT29, el RGPD quiere asegurarse de que el tratamiento de los datos personales para los que se requiere el consentimiento del interesado no se convierta, directa o indirectamente, en la contraprestación del contrato. Y al respecto, aunque el GT29 no diga nada, es necesario tener en consideración que actualmente se tramita la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a determinados aspectos de los contratos de suministro de contenidos digitales, COM(2015) 634 final, de 9 de diciembre de 2015 (9) , que precisamente trata esta cuestión y sobre la que tanto el Supervisor Europeo de Protección de Datos (10) como el Parlamento Europeo (11) han sido muy críticos en el sentido de que los datos personales no pueden ser un activo económico con el que se trafique y de que es necesario considerar adecuadamente la base de legitimación del tratamiento de los datos personales.

Por tanto, cualquier señal de condicionalidad por lo que se refiere al consentimiento para el tratamiento de datos personales será considerada como un factor clave para determinar que dicho consentimiento no es libre y, por tanto, inválido. Es así que el consentimiento, para ser válido, no puede estar condicionado de ninguna manera, ni obtenerse tampoco de manera forzada.

Granularidad: Sobre la granularidad el GT29 recuerda dos notas importantes a la luz de los considerandos del Reglamento (UE) 2016/679 (LA LEY 6637/2016).

En primer lugar, el considerando 32 explica que el consentimiento para el tratamiento de los datos personales «debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines». Y, en segundo lugar, el considerando 43 establece la presunción relativa a que «el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto».

Se trata, por tanto, de un elemento ya conocido y sobre el que será necesario buscar soluciones prácticas que no lleven a la conocida como fatiga del consentimiento (consent fatigue).

—– Perjuicio: Lo que significa que el responsable del tratamiento tiene que demostrar tanto que el interesado «goza de verdadera o libre elección» a la hora de dar su consentimiento, así como que el mismo puede denegar o retirar o revocar su consentimiento «sin sufrir perjuicio alguno», tal como se explica en el considerando 42 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016).

2. Específico

Es otro de los elementos ya previstos en la Directiva 95/46/CE (LA LEY 5793/1995) y al que se ha referido la AEPD en su informe jurídico al indicar que implica que «el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce».

En concreto, a la vista del art. 6.1.a) del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), implica que el consentimiento tenga que darse «para uno o varios fines específicos».

3. Informado

Se trata de un elemento que se encontraba también en la Directiva 95/46/CE (LA LEY 5793/1995) y al que se había referido la AEPD. Significa que el consentimiento, para ser válido, tiene que darse sobre la base de la información proporcionada al interesado. Por tanto, la información tiene que darse siempre antes del tratamiento de los datos personales para evitar también que el consentimiento sea considerado inválido y, por tanto, implique un tratamiento ilícito de los datos personales. Y dicha información tiene que ser fácilmente comprensible, lo que implica atender a quiénes son las personas a las que se dirige en cada caso el responsable del tratamiento.

4. Inequívoco

Con respecto a la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995), que ya utilizaba el adjetivo «inequívoco» aplicado al consentimiento, lo que específica el RGPD es que el interesado acepte el tratamiento de sus datos personales a través de una declaración, que puede ser por escrito, inclusive por medios electrónicos, o verbal, o que se dé mediante un acto afirmativo claro, poniendo fin de esta manera a la posibilidad de tratar datos personales sobre la base del consentimiento tácito.

Al respecto, el GT29 deja claro que las casillas pre-marcadas, el silencio o la inactividad del interesado o el simple hecho de proceder con el uso de un servicio no puede ser considerado como una indicación activa de elección y que tampoco puede obtenerse por el hecho de acordar un contrato o de aceptar los términos y condiciones aplicables a un servicio.

Es decir, el consentimiento, para ser válido, requiere una manifestación de voluntad, en los términos ya indicados, que se obtenga de manera independiente o separada, por lo que daría lugar a un procedimiento específico si se quiere llevar a cabo una gestión adecuada el mismo. De no ser así se corre el riesgo de que pueda dar lugar a un consentimiento inválido y, en su caso, a un tratamiento ilícito de los datos personales.

Por tanto, considerando, en general, el contexto del tratamiento y, en particular, el riesgo para el titular de los datos, la naturaleza de los datos personales, las posibilidades que ofrezca la tecnología en cada caso y la necesidad de preservar la prueba, el responsable del tratamiento adoptará las medidas técnicas y organizativas para demostrar también el cumplimiento en materia de consentimiento cuando el tratamiento de datos personales se fundamente en dicha base jurídica.

V. Consentimiento obtenido hasta la fecha (en virtud de la Directiva 95/46/CE)

En relación con qué ocurre con los consentimientos obtenidos en virtud de la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) y, por tanto, también de la Ley Orgánica 15/1999 (LA LEY 4633/1999) (LA LEY 4633/1999) (12) , el GT29 comienza indicando que siempre que el consentimiento haya sido obtenido de conformidad con los requisitos previstos en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016) no es necesario que los responsables del tratamiento actualicen los mismos, debiendo revisar en cualquier caso, antes del 25 de mayo de 2018, que los procesos y registros sobre el consentimiento cumplen con los estándares aplicables en dicho Reglamento.

El GT29 destaca también que, en su caso, se trata, por una parte, de que operaciones y sistemas de TI sean revisados para garantizar el cumplimiento y poder demostrar el mismo, así como de que los mecanismos para revocar fácilmente el consentimiento estén disponibles y se proporcione información sobre los mismos. Por tanto, se trata de una revisión de todos los mecanismos y procedimientos relevantes así como de que participen todas las áreas involucradas, ya que marketing, recursos humanos, u otras que traten datos personales para los que se requiera consentimiento, tendrán que ser objeto de atención y parte activa en dicho proceso.

Si el consentimiento obtenido conforme a la legislación nacional aplicable, en el marco de la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995), no cumple con el estándar del RGPD, entonces el GT29 plantea que el responsable tiene que evaluar si el tratamiento de datos personales se puede basar en una condición de licitud distinta, siempre que esta cumpla con los requisitos de aquél. No obstante, a continuación, el GT29 llama la atención sobre que, conforme al RGPD, no es posible cambiar una base jurídica por otra en relación con el tratamiento de datos personales.

Es así que, para evitar la situación en la que el tratamiento de los datos personales deviniese ilícito, porque aunque cumpliera con los requisitos en materia del consentimiento en virtud de la Directiva 95/46/CE (LA LEY 5793/1995) (LA LEY 5793/1995) no cumpla ahora con los exigibles conforme al Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), el responsable del tratamiento podría buscar renovar el consentimiento necesario o, en última instancia, analizar si cabe una condición de licitud diferente, siempre y cuando cumpla en este último caso con los requisitos exigibles, especialmente garantizándose que el tratamiento sigue siendo lícito en todo momento.

Es decir, el período de transición de la Directiva al RGPD debería haber sido más claro en este punto dado que muchos responsables del tratamiento se arriesgan a perder datos personales que actualmente son tratados lícitamente o, incluso, a que a partir del 25 de mayo de 2018 estén llevando a cabo tratamientos ilícitos de datos personales, en particular por falta de un consentimiento actualizado que cumpla con los requisitos del RGPD.

Al respecto, habría sido deseable que el GT29 hubiera proporcionado algún caso concreto que permitiese ilustrar esta situación, tal como si fuera posible cambiar, antes del 25 de mayo de 2018 y como consecuencia de los nuevos requisitos aplicables, el consentimiento por el interés legítimo como base de legitimación del tratamiento de los datos personales, siempre que obviamente se cumpla con los requisitos exigibles para esta última conforme al Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016).

En cualquier caso, el responsable del tratamiento debería haber evaluado antes de la fecha de aplicación del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), por necesidad o como buena práctica incluso cuando el consentimiento cumpliera ya con todos los requisitos exigibles, si el consentimiento que tiene es válido y si se está gestionando de manera adecuada. Y en relación con la buena práctica mencionada, es el GT29 el que apunta expresamente que el consentimiento sea actualizado a intervalos apropiados, lo que está además vinculado con el principio de transparencia.

VI. Consentimiento en el caso de menores de edad

Entre las cuestiones específicas en relación con el consentimiento a las que se refiere el GT29 se encuentra la relativa a los niños, conforme al art. 8 del Reglamento (UE) 2016/679 (LA LEY 6637/2016).

En relación con el tratamiento de menores, como uno de los grupos vulnerables de personas físicas cuyos datos personales son objeto de tratamiento, el GT29 indica que el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016) introduce una capa adicional de protección, al establecer obligaciones adicionales que quedan explicadas en el considerando 38, debido a la menor consciencia sobre «los riesgos, consecuencias, garantías y derechos» en protección de datos, y que son aplicables, entre otras ya que se utiliza el término «en particular», cuando se trata de «la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño».

Por lo que se refiere a la aplicación del art. 8 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), el GT29 llama la atención sobre el hecho de que el mismo aplica cuando se dan las siguientes dos condiciones: 1) el tratamiento de los datos personales está relacionado con la oferta directa a niños de servicios de la sociedad de la información, y 2) dicho tratamiento se basa en el consentimiento.

Por si hubiera lugar alguna duda, el GT29, en relación con el concepto de «servicios de la sociedad de la información», insiste en que está definido en el art. 4.25) del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), añadiendo una referencia a la sentencia del Tribunal de Justicia de la Unión Europea, de 2 de diciembre de 2010, en el caso C-108/09 (LA LEY 213821/2010), asunto Ker-Optika (13) . Y, sobre el elemento relativo a que se trate de una «oferta directa a niños», el GT29 indica que la misma delimita el ámbito de aplicación del art. 8, ya que se refiere únicamente a dichos servicios, de manera que quedan excluidos otros siempre y cuando el prestador de servicios establezca claramente quiénes son sus destinatarios y no haya pruebas que lo contradigan, tales como los contenidos que se ofrezcan o las acciones de publicidad que se lleven a cabo.

Además de lo anterior, el GT29 se refiere también a la edad, su verificación y a la responsabilidad parental.

En cuanto a la edad, el GT29, por una parte, repite la previsión del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016) relativa a que los Estados miembros pueden establecer por ley una edad inferior a los dieciséis (16) años, siempre y cuando la misma no sea inferior a trece (13) años, y, por otra parte, alienta a los Estados miembros a que sigan una aproximación armonizada, lo que habrá que ver conforme los mismos vayan reformando o aprobando, en su caso, leyes nacionales. Y es esta opción, estableciendo el límite en los trece (13) años, la que se ha incluido en el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (14) , lo que implica reducir en un año la previsión actual de catorce (14) años en el Real Decreto 1720/2007, de 21 de diciembre (LA LEY 13934/2007) (LA LEY 13934/2007).

El GT29 también se refiere a la cuestión relativa a la verificación de la edad en los tratamientos de datos personales previstos el art. 8 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), aclarando que se trata de un requisito implícito. El criterio, acertado, que ofrece en este punto el GT29 es el relativo a la evaluación del riesgo, de manera que en situaciones de bajo riesgo el responsable podría pedir la fecha de nacimiento y en caso de dudas, donde pueda haber un mayor riesgo, recurrir a otras comprobaciones. De nuevo, se trata de una cuestión de responsabilidad proactiva a través de mecanismos adecuados como parte de las medidas técnicas y organizativas a adoptar.

No obstante, habría sido deseable que sobre esta cuestión el GT29, por una parte, hubiera hecho referencia también a la posibilidad de que dichos mecanismos se adopten conforme a buenas prácticas en la materia, en particular pudiendo recurrir a códigos de conducta o certificaciones y, por otra parte, que se tuviese en consideración la experiencia internacional, como por ejemplo la de la Comisión Federal de Comercio (Federal Trade Commission, FTC) en relación con la aplicación de la Children´s Online Privacy Protection Rule («COPPA») (15) . Es decir, se trataría de que se ofreciese una aproximación lo más práctica posible a esta cuestión a través de algunos ejemplos apropiados o no que puedan servir a los responsables del tratamiento para poder evaluar si los mecanismos a adoptar serían adecuados.

En relación con la responsabilidad parental, a falta de referencias prácticas en el RGPD, el GT29 sí incluye un ejemplo de qué sería adecuado para verificar que una persona tiene la patria potestad del menor. En concreto, el GT29 indica que lo que es razonable, tanto en términos de verificar que un menor puede proporcionar por sí mismo su consentimiento como de verificar que una persona puede proporcionarlo en nombre del mismo por tener su patria potestad, depende de los riesgos inherentes al tratamiento de datos personales y de la tecnología disponible. Es decir, lo esencial es que el responsable del tratamiento evalúe el riesgo del tratamiento de los datos personales a tal fin y de las posibilidades que, en cada momento, ofrezca la tecnología, dado que se produce un tratamiento de datos personales como consecuencia de la prestación de servicios de la sociedad de la información basado en el consentimiento.

Por último, apunta también el GT29 que una vez que el menor alcance la «edad del consentimiento digital» (13 años, si así prevé finalmente en la Ley Orgánica de Protección de Datos de Carácter Personal (LA LEY 4633/1999) que actualmente se tramita parlamentariamente), el responsable del tratamiento tendrá que obtener su consentimiento, lo que quizás inadvertidamente conlleva que necesariamente el responsable del tratamiento tenga que saber la fecha exacta de nacimiento del menor para, en su caso, poder dirigirse al mismo y actualizar el consentimiento que previamente hubiera obtenido de sus padres o tutor legal. Es decir, el consentimiento para el tratamiento de datos personales derivado de la prestación de un servicio de la sociedad de la información requiere una evaluación específica por el responsable del tratamiento atendiendo a todas las cuestiones específicas que se plantean y considerando, en particular, el nivel de riesgo.

VII. Otras cuestiones relevantes

Además de la cuestión relativa a la «edad del consentimiento digital», el GT29 aborda también otras dos cuestiones específicas relevantes a la luz del articulado del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016). Y a estas dos puede añadirse una última, la relativa al límite temporal del consentimiento a la que el GT29 se refiere en otro apartado de sus directrices.

La primera de las cuestiones mencionadas tiene por objeto la investigación científica, sobre la que el GT29 parte de la ausencia de una definición sobre dicho término y la pluralidad de actividades de tratamiento de datos que podrían llevarse a cabo. Al respecto, y sobre la base del considerando 33 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (LA LEY 6637/2016), el GT29 indica que, sin soslayar el cumplimiento de las obligaciones relacionadas con un consentimiento específico de manera que siempre se deberán llevar a cabo acciones destinadas a cumplir con el mismo, cabe cierta flexibilidad por lo que se refiere a la concreción y granularidad del consentimiento cuando se garantice una descripción clara de la finalidad del tratamiento.

La segunda cuestión se refiere a los derechos de los interesados, en particular con respecto, por una parte, al derecho a la portabilidad, sobre el que el GT29 ya ha emitido unas directrices, y, por otra parte, al derecho de oposición. Es decir, debe atenderse a si el tratamiento de datos personales está basado en el consentimiento.

Y la tercera es si hay algún límite temporal aplicable a la duración del consentimiento. El GT29 indica que en el RGPD no se establece ningún límite y que la validez del consentimiento dependerá de: 1) el contexto del tratamiento, 2) el alcance del consentimiento inicial, y 3) las expectativas del titular de los datos.

El GT29 también destaca a este respecto que, si las actividades de tratamiento cambian o evolucionan considerablemente, será necesario renovar el consentimiento. Y, en cualquier caso, el GT29 recomienda como buena práctica renovar el consentimiento previamente obtenido a intervalos apropiados, aunque no indica nada más al respecto.

VIII. Algunos aspectos de cara al futuro sobre el consentimiento

A la espera de que el GT29 publique su versión final, aunque no definitiva en ningún caso ya que podría ser objeto de futuras revisiones, cabe poner de manifiesto la necesidad de encontrar soluciones prácticas y realistas, ya que determinadas cuestiones requieren análisis holísticos.

Es decir, hacen falta aproximaciones integrales para una cuestión que es clave y que sigue corriendo el riesgo de resultar ineficaz, especialmente ante una realidad en la que los tratamientos de datos personales requieren reflexionar sobre si los términos en los que se formularon hace décadas algunos principios responderán de manera efectiva ante nuevos retos.

Si la norma prescribe tener que cumplir con determinados requisitos es importante que los conceptos sean claros y ser prácticos, evitando así riesgos que podrían dar lugar a una fatiga del principio del consentimiento, entre otros.

Elevar el nivel de protección por lo que se refiere a los principios aplicables al tratamiento de los datos personales pasa también por fomentar la responsabilidad de quien trata los datos personales, siendo al respecto deseable impulsar buenas prácticas, ya sean del propio responsable o como consecuencia de su adhesión a códigos de conducta o la obtención de certificaciones.

(1)

Guidelines on Consent under Regulation 2016/679. Consultadas, en inglés, en http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849

Ver Texto
(2)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)), DO L 119, de 4 de mayo de 2016.

Ver Texto
(3)

http://ec.europa.eu/newsroom/document.cfm?doc_id=44645

Ver Texto
(4)

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, de 23 de noviembre de 1995.

Ver Texto
(5)

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_es.pdf

Ver Texto
(6)

Working document 02/2013 providing guidance on obtaining consent for cookies, WP 208. Consultado, en inglés, en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf

Ver Texto
(7)

United Nations Conference on Trade and Development, Data protection regulations and international data flows: Implications for trade and development, United Nations, New York and Genova, 2016. Consultado, en inglés, en http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf

Ver Texto
(8)

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/consentimiento/common/pdfs/2000-0000_Caracteres-del-consentimiento-definido-por-la-LOPD.pdf

Ver Texto
(9)

https://ec.europa.eu/transparency/regdoc/rep/1/2015/ES/1-2015-634-ES-F1-1.PDF

Ver Texto
(10)

European Data Protection Supervisor, Opinion 8/2016, EDPS Opinion on coherent enforcement of fundamental rights in the age of big data), 23 september 2016.

Ver Texto
(11)

European Parliament (2017). Data Flows – Future scenarios. November 2017.

Ver Texto
(12)

Ley Orgánica 15/1999, de 13 de diciembre (LA LEY 4633/1999), de Protección de Datos de Carácter Personal.

Ver Texto
(13)

http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5a752e305caaf40408a8d87a9115de886.e34KaxiLc3eQc40LaxqMbN4PaNmOe0?text=&docid=80101&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=87977

Ver Texto
(14)

http://www.congreso.es/public_oficiales/L12/CONG/BOCG/A/BOCG-12-A-13-1.PDF#page=1

Ver Texto
(15)

https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll