¿Cuándo es válido el consentimiento en relación con el GDPR?

Image of Carlo Cilento

Publicado el 13 dic 2022 y editado el 15 ago 2023 por Carlo Cilento

El consentimiento es importante en la protección de datos porque permite a las personas controlar cómo se recopila, utiliza y comparte su información personal: a nadie le gusta la idea de que alguien pueda vigilarle o procesar sus datos personales sin su consentimiento.

El consentimiento es esencial en el GDPR, razón por la cual escribimos sobre él en nuestro blog hace un tiempo. También explicamos en nuestro blog sobre bases legales que el consentimiento no es, en principio, necesario para procesar datos personales bajo el GDPR: existen otras bases legales en el GDPR1, cada una con sus propios casos de uso y limitaciones.

También es fácil abusar del consentimiento: no es difícil forzar o engañar a alguien para que acepte algo que no quiere. Por eso la legislación sobre protección de datos (y la legislación en general) establece requisitos específicos para que el consentimiento sea válido.

El RGPD no es una excepción. Según el RGPD, el consentimiento debe ser libre, específico, informado e inequívoco2. Además, debe ser posible retirar el consentimiento. Estos requisitos son muy importantes en la práctica.

  1. Requisitos del consentimiento
    1. Libremente otorgado
    2. Específico
    3. Informado
    4. Sin ambigüedades
  2. ¿Cuándo es problemático el consentimiento? Algunos ejemplos
    1. Consentimiento combinado
    2. Muros de cookies
    3. Diseño engañoso
  3. Conclusión
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

¡Entremos en materia!

Requisitos del consentimiento

Libremente otorgado

En pocas palabras, el consentimiento se da libremente cuando el interesado tiene una verdadera capacidad de elección3. Esto no suele ocurrir cuando existe un desequilibrio de poder entre el responsable del tratamiento y el interesado.

Una relación laboral es un ejemplo de libro de texto de consentimiento restringido porque un empresario puede aprovecharse de su posición para presionar a un empleado para que dé su consentimiento. Por regla general4, el empleador no puede tratar los datos del empleado basándose en un consentimiento falso y, en su lugar, debe basarse en un fundamento jurídico diferente.

La autonomía individual es un viejo problema jurídico: las personas pueden ser libres sobre el papel mientras están sujetas a presiones económicas, culturales y sociales. La ley de protección de datos no es una excepción, por lo que existe una zona gris en lo que respecta al consentimiento libremente otorgado.

Específico

El consentimiento es específico cuando se da para un fin concreto. Por ejemplo, no puede pedir un correo electrónico para proporcionar a su público un boletín informativo y luego utilizar los datos para enviar promociones. En ese caso, necesita recabar dos consentimientos distintos, uno para cada finalidad.

Este requisito va de la mano con el del consentimiento informado y con el principio de limitación de la finalidad:

  • limitación de lafinalidad significa que los datos deben recogerse y tratarse siempre con una finalidad específica, explícita y legítima.
  • consentimiento informado significa que el interesado debe saber exactamente a qué está dando su consentimiento, incluida la finalidad del tratamiento.

Informado

El consentimiento es informado cuando se facilita al interesado determinada información, incluida la identidad del responsable del tratamiento, la finalidad del tratamiento, los tipos de datos tratados, el derecho a retirar el consentimiento y si los datos se comunicarán a terceros5.

El artículo 13 también desempeña un papel aquí. Este artículo es una lista exhaustiva de la información que debe facilitar el responsable del tratamiento, sea cual sea la base jurídica en la que se apoye. El artículo 13 es la razón por la que las políticas de privacidad son largas y aburridas.

Sin ambigüedades

El consentimiento es inequívoco cuando se da mediante una clara acción afirmativa. En otras palabras, el GDPR no contempla el consentimiento implícito. Esta es la razón por la que los sistemas de exclusión voluntaria o las casillas previamente marcadas6 nunca pueden utilizarse para recabar un consentimiento válido.

El RGPD no prescribe cómo debe recogerse el consentimiento, siempre que el consentimiento recogido sea inequívoco. El interesado puede firmar un formulario, marcar una casilla o dar su consentimiento verbal. Pero, por regla general, el responsable del tratamiento debe recoger el consentimiento de forma que pueda documentarse, ya que es a él a quien incumbe demostrarlo7.

La noción de consentimiento inequívoco se solapa con la de consentimiento explícito. El consentimiento explícito puede considerarse una forma "reforzada" de consentimiento y funciona como exención de normas específicas sobre el tratamiento de datos sensibles, la toma de decisiones automatizada y las transferencias de datos. Así pues, todo consentimiento debe ser inequívoco, pero el hecho de que también sea explícito sólo importa en determinados supuestos.

Por decirlo suavemente, la noción de consentimiento explícito no está muy clara. El consentimiento implícito nunca es válido, así que es difícil decir qué significa exactamente explícito y en qué se diferencia el consentimiento explícito del inequívoco. Pero como regla general, probablemente sea seguro pensar en el consentimiento explícito como un consentimiento muy poco ambiguo.

¿Cuándo es problemático el consentimiento? Algunos ejemplos

Consentimiento combinado

El "consentimiento combinado" es una situación tristemente común en la que se obliga a un cliente a consentir el tratamiento de sus datos para celebrar un contrato, aunque el contrato no requiera realmente el tratamiento. En otras palabras, el tratamiento de datos está "incluido" en el contrato, normalmente como forma de pago.

Para que quede claro, se puede recabar el consentimiento para el tratamiento de datos como parte de un contrato8, independientemente de que el tratamiento sea esencial para el contrato. El problema surge cuando se chantajea al cliente convirtiendo este consentimiento en un elemento de ruptura del contrato.

El artículo 7 dice que el consentimiento vinculado es problemático en relación con el consentimiento. Lamentablemente, el artículo no prohíbe por completo la práctica del consentimiento combinado, sino que ofrece una especie de advertencia o "tarjeta amarilla". El margen de maniobra que deja el artículo permite a las empresas aprovecharse de algunas zonas grises. Como resultado, algunos servicios de Internet siguen utilizando el consentimiento agrupado para extraer datos como pago, especialmente cuando disfrutan de una posición de monopolio y tienen pocas o ninguna alternativa. Por otro lado, las APD y los tribunales pueden aplicar estrictamente el artículo 7, y esperamos que lo hagan.

Muros de cookies

Los "muros de cookies" son ventanas emergentes implementadas por sitios web (normalmente de noticias) para impedir que el usuario acceda a determinados contenidos a menos que acepte el uso de cookies.

A menudo se da a los visitantes la opción de rechazar el tratamiento a cambio de una suscripción de pago, lo que da lugar a tres alternativas: pagar con dinero, pagar con datos o no poder acceder al contenido.

Los muros de cookies son similares al consentimiento vinculado en el sentido de que permiten al responsable del tratamiento recopilar datos como pago por el contenido. Esta práctica es comprensible desde una perspectiva económica: muchos usuarios no están dispuestos a pagar pero sí a permitir las cookies, y los editores necesitan ingresos por publicidad para ofrecer contenidos. Sin embargo, los datos no son una mercancía según el GDPR, y se puede argumentar que el consentimiento recogido por los muros de cookies no se da libremente.

Además, el editor también puede generar ingresos a partir de anuncios no personalizados basados en el contenido de las noticias, lo que no requiere en absoluto el tratamiento de datos personales.

Diseño engañoso

El "diseño engañoso" o "patrones oscuros" es la práctica de diseñar una interfaz de usuario poco clara o engañosa para inducir al usuario a realizar una acción deseada, como comprar un producto, descargar un programa, suscribirse a un servicio o dar su consentimiento para el tratamiento de datos personales.

El diseño engañoso es un problema especialmente grave en relación con los banners de cookies. Los banners de cookies a menudo incitan a los usuarios a aceptar cookies en su navegador o dispositivo. Algunos hacen que la opción "aceptar" sea fácilmente accesible, mientras que la opción "rechazar" es menos visible en la pantalla, por ejemplo, utilizando una fuente más pequeña o un color que no destaque sobre el fondo. Otros banners presentan al usuario opciones confusas, como "aceptar/gestionar preferencias" o "aceptar/saber más". El usuario sólo puede rechazar el procesamiento haciendo clic en la segunda opción y desactivando manualmente la opción de procesar todas las cookies no esenciales.

Al visitante medio de Internet se le presentan innumerables banners de este tipo mientras navega. En algún momento, muchos usuarios simplemente renuncian a hacer clic en el cansancio y aceptar todas las cookies. Se puede argumentar que el consentimiento recogido mediante banners engañosos de cookies no se da libremente. Y aparte del consentimiento, también se puede argumentar que el tratamiento no es justo ni transparente9.

El año pasado, el Consejo Europeo de Protección de Datos creó un grupo de trabajo sobre banners de cookies, como respuesta a las numerosas quejas contra los banners de cookies engañosos presentadas por la ONG noyb. La última vez que se creó un grupo de trabajo de este tipo, Google Analytics acabó siendo prohibido en varios Estados miembros de la UE (escribimos sobre ello aquí), así que hay esperanzas de que se tomen medidas enérgicas contra los banners engañosos en el futuro.

Conclusión

Los requisitos de consentimiento tienen por objeto garantizar que el usuario controle sus datos. Por desgracia, a menudo no es así. Muchas empresas quieren recopilar tantos datos como sea posible, y a menudo ignoran las normas de protección de datos o encuentran formas ingeniosas de eludirlas. Día tras día, esta mentalidad acaparadora y ávida de datos está convirtiendo Internet en una máquina de vigilancia.

Pero no tiene por qué ser así. En Simple Analytics creemos en una Web fácil de usar y respetuosa con la privacidad. Por eso trabajamos para ofrecer a nuestros clientes valiosas perspectivas analíticas sin recopilar ningún dato personal del usuario final. Esto alivia la carga de cumplimiento del cliente, agiliza la gestión de datos y ayuda a hacer de Internet un lugar mejor. Si esto le suena, no dude en probarnos.

#1 Art. 6 GDPR [^2]: Art. 4 (11) GDPR. [^3]: Directrices EDPB 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679, par. 13. [^4]: Las excepciones son muy limitadas. Véanse las Directrices 05/2020 del OEPD sobre el consentimiento con arreglo al Reglamento 2016/679, apdo. 22. 22. [^5]: Directrices del WP29 sobre el consentimiento en virtud del Reglamento 2016/679, par. 3.3.1. [^6]: Véase TJUE - C-673/17 - Planet49. [^7]: Art. 5(2) y 24 GDPR. [^8]: Para ser claros: en este supuesto el consentimiento es la base jurídica del tratamiento, no el contrato. Consentir el contrato no es lo mismo que consentir el tratamiento de los datos. Obsérvese también que en este supuesto se aplican normas formales específicas: véase el art. 7(2) GDPR. [^9]: Art. 5(1)(a) GDPR.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar sentado en la cabina de un avión sin licencia de piloto

Empezar gratis ahora