Tratamiento de datos basado en el consentimiento del interesado


Josep Aragonés Salvat     13/01/2021

Licitud del tratamiento

El consentimiento es una de las bases jurídicas que contempla el artículo 6.1 del GDPR que habilita para llevar a cabo un tratamiento de datos personales (art. 6.1.a). Pero no es la única, hay otras bases jurídicas recogidas en el mismo artículo que nos permiten el tratamiento de datos personales sin necesidad de obtener el consentimiento del interesado, por ejemplo, cuando el tratamiento:

  • Cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte (art.6.1.b).
    Por ejemplo, el caso de los profesionales sanitarios, abogados, consultores, asesores o cualquier profesional en su prestación de servicios, aunque el contrato no conste por escrito.
  • Cuando el tratamiento se lleva a cabo por una obligación legal (art. 6.1.c).
    Por ejemplo, el tratamiento de los datos personales de los clientes de cualquier comercio para la emisión de una factura.
  • Cuando el tratamiento es necesario para la protección de los intereses vitales del interesado o de otra persona física (art. 6.1.d).
    Por ejemplo, cuando necesitemos tratar los datos personales de una persona porque corre peligro su vida o la de otra persona.
  • Cuando el tratamiento es llevado a cabo por interés público (art. 6.1.e).
    Por ejemplo, el tratamiento de datos llevado a cabo por las administraciones públicas, los colegios públicos, etc. siempre que la base esté establecida por el Derecho.
  • Cuando el tratamiento es necesario para satisfacer el interés legítimo del responsable del tratamiento o de un tercero (art. 6.1.f), siempre que sobre esos intereses no prevalezcan los del interesado.
    Por ejemplo, el interés legítimo del propietario de una web en contestar a las consultas que cualquier usuario le haga en el formulario de contacto de la misma.


Condiciones para que el consentimiento sea válido

El GDPR define el consentimiento (art. 4.11) como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales.

  • Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales (art. 7.1 GDPR).
  • La solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo (art. 7.2 GDPR).
  • El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada (sin efectos retroactivos). Antes de dar su consentimiento, el interesado deberá ser informado de ello. Será tan fácil retirar el consentimiento como prestarlo. (art. 7.3 GDPR).

Antes de obtener el consentimiento se debe facilitar al interesado la información del tratamiento establecida en el art. 13 GDPR(1) o, al menos, la información básica establecida en el art. 11 LOPDGDD(2) con una una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.


Tratamiento de datos de menores de edad

  • El consentimiento para la utilización de datos personales de menores de 14 años se otorgará por sus padres o tutores legales. Los menores entre 14 y 18 años podrán otorgar el consentimiento para la utilización de sus datos personales por sí mismos, salvo que una norma específica exija la asistencia de los padres o tutores (art. 7.1 LOPDGDD).
  • El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible (art. 8.2 GDPR).
  • Los centros educativos y cualesquiera otros que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información (art. 92 LOPDGDD).

_________________________________________________________________________________________

(1) Art. 13 GDPR. Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2. 4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

(2) Artículo 11 LOPDGDD. Transparencia e información al afectado.

1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.

3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

En estos supuestos, la información básica incluirá también:

a) Las categorías de datos objeto de tratamiento.

b) Las fuentes de las que procedieran los datos.