¿Qué significa consentimiento GDPR?

Image of Carlo Cilento

Publicado el 29 sept 2022 y editado el 9 abr 2024 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Consentimiento" es una palabra que siempre aparece en las noticias y debates sobre privacidad, y es fácil entender por qué. Todo el mundo sabe lo que significa el consentimiento, al menos en un sentido cotidiano. A todo el mundo debería gustarle la idea del consentimiento en su relación con la autonomía y la libertad individuales. Está bien pensar que tus datos te pertenecen y no deben utilizarse en contra de tu voluntad.

Por otro lado, como todo el mundo entiende el consentimiento en un sentido cotidiano, es fácil caer en algunos errores comunes y sobrestimar sus implicaciones legales. Este blog responderá a dos preguntas comunes sobre el consentimiento en el GDPR y le dará una idea más clara de lo que es el consentimiento y cómo funciona.

  1. ¿Puedo hacer cualquier cosa mientras tenga el consentimiento?
  2. ¿Necesito siempre el consentimiento según el GDPR?
  3. ¿Qué es el consentimiento explícito?
  4. ¿Sus datos son siempre suyos?
  5. ¿Necesito siempre el consentimiento para las cookies?
  6. Reflexiones finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

¡Sumerjámonos de lleno!

¿Puedo hacer cualquier cosa mientras tenga el consentimiento?

No, no puede. Hay cosas que simplemente no puede hacer, con o sin consentimiento. El GDPR incluye una larga lista de obligaciones para el responsable del tratamiento de datos. Incumplir estas normas es una infracción, incluso si los interesados dan su consentimiento a todo lo que está haciendo.

Por ejemplo, el principio de minimización de datos1 significa que sólo puede procesar los datos que necesita para su propósito y no más que eso. Por ejemplo, cuando se suscribe a nuestro estupendo boletín sobre privacidad, no podemos pedirle que nos facilite su dirección particular porque sólo necesitamos su correo electrónico para enviarle las noticias. Recopilar su domicilio con este fin infringiría el GDPR incluso con su consentimiento.

Asimismo, los datos personales deben tratarse siempre de forma segura2. El tratamiento inseguro constituye una infracción incluso si el usuario consiente expresamente que sus datos se traten de forma insegura. Al GDPR simplemente no le importa el consentimiento en este caso.

Conclusión: El cumplimiento es más que recabar el consentimiento, y el consentimiento no es una solución para el incumplimiento.

¿Necesito siempre el consentimiento según el GDPR?

No, no lo necesita. Puede tratar datos legalmente sin consentimiento, pero necesitará otra base jurídica.

Según el principio de legalidad, el tratamiento de datos personales requiere siempre una base jurídica. El RGPD enumera seis bases jurídicas3</a> (a menudo denominadas fundamentos jurídicos) entre las que elegir, cada una con sus propios requisitos y limitaciones. Siempre que procese datos personales debe elegir uno de estos fundamentos y ceñirse a él. El consentimiento es uno de esos motivos, pero basarse en otro fundamento jurídico es perfectamente legítimo en algunos casos.

Por ejemplo, supongamos que gestiona el sitio web de una zapatería online. Cuando un cliente compra en la tienda, el vendedor necesita datos de facturación, una dirección de entrega, la talla del cliente y algunos datos de contacto para asegurarse de que la entrega se realiza correctamente. Toda esta información son datos personales, y el tratamiento requiere una base jurídica.

En este caso tiene tres opciones

  • Recabar el consentimiento del usuario antes de finalizar la compra;
  • puede basarse en la "ejecución de un contrato" (en este caso, la venta);
  • puede basarse en el "interés legítimo del responsable del tratamiento" (en este caso, el interés de la tienda en llevar a cabo su actividad comercial).

Si elige el interés legítimo o la ejecución de un contrato como fundamento jurídico, no necesita pedir el consentimiento. En este caso, las tres opciones son perfectamente conformes, y elegir entre ellas es cuestión de sopesar los pros y los contras de cada una.

Para que quede claro: cada fundamento jurídico conlleva unos requisitos específicos. Esto significa que no existe un único fundamento jurídico aplicable a todas las situaciones posibles. Por ejemplo, no puede basarse en la "ejecución de un contrato" para enviar material promocional a sus clientes, que va más allá de lo estrictamente necesario para ejecutar el contrato. Y si elige el "interés legítimo" como base jurídica, debe sopesar su interés con los derechos del interesado.

Al igual que otros fundamentos jurídicos, el consentimiento también conlleva requisitos según el RGPD: debe ser libre, informado, específico e inequívoco4, y debe ser posible retirar el consentimiento en cualquier momento5. Si no se cumplen estos requisitos, es necesario otro fundamento jurídico6.

Así pues, hay que encontrar un fundamento jurídico caso por caso. A veces existen varios motivos. Otras veces sólo se dispone de uno, o de ninguno, lo que significa que los datos no pueden tratarse.

Caption of the image

¿Qué es el consentimiento explícito?

El RGPD también menciona un tipo "especial" de consentimiento llamado consentimiento explícito.

El consentimiento explícito es una excepción a varias normas relativas a los datos sensibles, la toma de decisiones automatizada y las transferencias de datos7. Así pues, que el consentimiento sea explícito o no sólo importa en situaciones específicas, una de las cuales es el tratamiento de datos sensibles. Como ya hemos explicado, esta situación podría ser bastante frecuente en un futuro próximo.

El consentimiento explícito debe cumplir todos los requisitos del consentimiento "normal" y además ser explícito. Este requisito adicional es algo difuso8, pero como regla general, se puede pensar en el consentimiento explícito como un consentimiento muy poco ambiguo9.

¿Sus datos son siempre suyos?

Como ya se ha dicho, en algunos casos el RGPD permite el tratamiento de datos personales sin el consentimiento de nadie. ¿Cómo podemos entonces decir honestamente que tus datos son tuyos y que tú decidiste lo que se hará con ellos?

Esto es lo que hay. El GDPR protege la privacidad, pero ese no es su único propósito. El GDPR establece que el derecho a la protección de datos no es absoluto y debe equilibrarse con otros derechos10. Este equilibrio es lo que el RGPD pretende conseguir en última instancia.

En muchos casos, es imposible basarse en el consentimiento y, sin embargo, es necesario procesar los datos. Por ejemplo, una empresa que negocia un contrato en línea con un cliente necesita utilizar su información de contacto, lo que constituye un tratamiento de datos personales y requiere una base jurídica. El consentimiento no puede funcionar porque tendrían que ponerse en contacto con el cliente para recabar su consentimiento, y para ello tendrían que tratar sus datos. En este caso, permitir el tratamiento de los datos sin consentimiento redunda en beneficio de todos.

No utilizar el consentimiento no significa que el interesado no reciba protección. Todos los motivos jurídicos tienen sus propias limitaciones, que dan a los interesados cierta protección. A veces el consentimiento ofrece menos protección que otros motivos.

Por ejemplo, los empresarios no pueden tratar los datos de los empleados basándose en el consentimiento11 porque están en posición de presionar al empleado para que dé su consentimiento. Así que el RGPD prohíbe a los empresarios utilizar el consentimiento, pero también les proporciona otros motivos para el tratamiento de datos. Estos motivos ofrecen al empleado cierto grado de protección, lo cual es mejor que no tener protección alguna.

¿Necesito siempre el consentimiento para las cookies?

Como ya hemos mencionado, las cookies "no esenciales" siempre requieren consentimiento en virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas. La Directiva ePrivacy es más antigua que el GDPR, y existe cierto solapamiento entre ambas. Y ambas se aplican a las cookies, ya que éstas son siempre datos personales.

Este solapamiento es importante en la práctica. Debido a la Directiva sobre la privacidad y las comunicaciones electrónicas, las cookies "no esenciales" siempre necesitan consentimiento. Y debido al GDPR, este consentimiento debe ser informado. Esta es la razón por la que los sitios web que utilizan análisis basados en cookies, como Google Analytics, requieren cookiesbanners que proporcionen cierta información sobre el tratamiento de las cookies. Sin esa información, el consentimiento no sería informado ni válido en virtud del GDPR.

Reflexiones finales

La protección de los datos personales es importante. El GDPR ha proporcionado directrices y ha establecido los límites de lo que es posible y lo que no. Como empresa, debe adherirse a estas leyes para proteger la privacidad de sus clientes. Navegar por estas leyes de privacidad puede resultar difícil porque hay mucho que debe comprender y tener en cuenta, como se muestra más arriba.

Disponer de un marco y unos procesos claros reduce el riesgo de que su empresa sufra filtraciones de datos u otros peligros. Sin embargo, seguir el principio de minimización de datos, recopilando únicamente la información estrictamente necesaria para el funcionamiento de su empresa, es un gran primer paso.

En Simple Analytics, creemos que no es necesario recopilar datos personales ni instalar cookies para obtener información procesable sobre la analítica de su sitio web. Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web al tiempo que proporciona los conocimientos que necesita para dirigir su negocio. Si está de acuerdo con esto, no dude en probarnos.

#1 Art. 5(1)(c) GDPR [^2]: Art. 5(1)(f) y 32 GDPR. [^3]: Art. 6(1) GDPR. [^4]: Art. 4(11) RGPD [^5]: Art. 7.3 GDPR. [^6]: Por ejemplo: el consentimiento no puede darse libremente en el contexto de una relación laboral, salvo excepciones muy limitadas. Véanse las Directrices 05/2020 del EDPB sobre el consentimiento en virtud del Reglamento 2016/679. [^7]: Art. 9(2)(a), 22(2)(c), y 49(1)(a) GDPR [^8]: Disponemos de algunas orientaciones de las Directrices 05/2020 de la BEPD sobre el consentimiento, capítulo IV, pero ninguna definición real [^9]: También se ha argumentado que el consentimiento explícito debería recogerse por separado. Véase Kuner, Christopher y otros (eds.), The EU General Data Protection Regulation (GDPR): A Commentary (Nueva York, 2020; Oxford University Press), p. 185. [^10]: Considerando 47 [^11]: Directrices EDPB 05/2020 sobre el consentimiento, par. 21 y ss.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar sentado en la cabina de un avión sin licencia de piloto

Empezar gratis ahora