5 de septiembre 2023
Con la publicación de la Ley Orgánica de Protección de Datos Personales (en adelante la “LOPDP”), las empresas, o quienes tratan datos personales en general (en adelante los “Responsables del Tratamiento), se han volcado a la legitimación de estos tratamientos mediante el consentimiento[1], pudiendo haber consecuencias graves para los Responsables del Tratamiento, tanto comerciales como de sanciones administrativas.
Los Responsables del Tratamiento no han tomado en cuenta otras bases de legitimación (7 bases adicionales)[2] para el tratamiento de datos personales, por lo que, los titulares del tratamiento (en adelante los “Titulares”) pudieran ejercer su derecho de revocatoria, dejando el tratamiento de datos sin piso, e impidiendo de seguir tratando los datos personales por parte de los Responsables del Tratamiento, o que la autoridad pueda sancionar porque el consentimiento está viciado.
El artículo 8 de la LOPDP determina que el consentimiento debe cumplir con 4 elementos necesarios (libre, específico, informado e inequívoco) para que esta base sea válida, caso contrario el consentimiento no legitimaría el tratamiento de datos personales, y los Responsables del Tratamiento pudieren incurrir en una infracción.
Elementos del consentimiento
Es necesario determinar el alcance de cada uno de los elementos del consentimiento con el fin de definir si el uso de este es adecuado o no.
Libre: El consentimiento no debe adolecer de vicios del consentimiento (error, fuerza o dolo)[3].
El GT29[4], en su Dictamen WP 131 estableció que “no se puede considerar válido el consentimiento dado por un interesado que no haya tenido la oportunidad de hacer una verdadera elección son pena de sufrir un perjuicio, o que se haya encontrado frente a un hecho consumado[5]. (Dictamen WP 13, 1, GT29, citado por Del Castillo Vázquez Isabel-Celia, 2021).
Lo mencionado es de gran relevancia, pues actualmente se ha visto en la práctica que los Responsables del Tratamiento, en su afán de legitimar los tratamientos, han “obligado” a los titulares a la aceptación de las políticas de privacidad o de datos personales, so pena de la eliminación de beneficios de descuentos en algunas cadenas de supermercados o la limitación del uso de la banca en línea, web, virtual, digital, o como se la prefiera llamar, de algunas instituciones financieras, entre otras prácticas en diferentes industrias.
Lo mismo podría estar sucediendo en el caso de que los Responsables del Tratamiento estén solicitado el consentimiento como legitimación para el tratamiento de datos de sus empleados. Como regla general dentro de la esfera laboral, el consentimiento no puede ser invocado para el tratamiento de los datos de los empleados, pues existe una dependencia del empleado con relación al empleador, susceptible de generar consecuencias negativas para el empleado si no consiente con el tratamiento de sus datos.
En definitiva, el consentimiento como base legitimadora no puede ser aplicado cuando exista un desequilibrio claro entre el interesado y los Responsables del Tratamiento, y menos aun obligándolo, so pena de consecuencias de cualquier naturaleza.
Específico: El consentimiento debe determinar de manera concreta los medios y fines del tratamiento.
Si bien es cierto que dentro del artículo 8 de la LOPDP se dispone que “[c]uando se pretenda fundamentar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, será preciso que conste que dicho consentimiento se otorga para todas ellas”, no es menos cierto que la pluralidad de finalidades debe estar concatenada a fines conexos, caso contrario el consentimiento es inválido, al menos para aquellas finalidades que requieran de un consentimiento individualizado.
Este elemento está conectado de manera directa con los principios de juridicidad, lealtad, transparencia, finalidad y pertinencia, y minimización de datos personales, por lo que, si este elemento no cumple con dichos principios, “será esencialmente injusta la recogida de datos personales que no sean necesarios para un fin en concreto que el interesado consintió; y del mismo modo, será ilícito el tratamiento efectuado sin un consentimiento específico en relación con la finalidad legítima y explícita, que lo ampare”[6].
Es muy común observar que los Responsables del Tratamiento están tratando de legitimar el tratamiento de los datos personales de los titulares tomando consentimientos generales usando casillas de verificación o “checkboxes” dentro de sus comunicaciones, en las cuales se incluye la aceptación de una política de privacidad o de protección de datos.
La aceptación de políticas de privacidad o de protección de datos generales contraviene con este elemento y los principios antes enunciados, por lo que, el tratamiento de datos de los Titulares basados en un consentimiento general es erróneo.
Informado:
La base fundamental del tratamiento de los datos personales nace del deber de información, el cual debe contener 17 cuestiones que necesariamente deberán ser comunicadas a los titulares[7].
Esta comunicación podría llegar a ser extensa, más aún si se toma en cuenta que debe contener todos los puntos que establece la LOPDP. Es por ello que es recomendable usar el sistema por capas, y dejar lo genérico dentro de un documento macro, el cual puede ser la política de privacidad y protección de datos personales.
En todo caso, para que el consentimiento sea válido se debe cumplir con los principios de juridicidad, lealtad y transparencia.
Inequívoco:
De acuerdo con la LOPDP, este elemento se refiere a que “no presente duda sobre el alcance de la autorización otorgada por el titular”.
Este elemento va más enfocado a la forma que al fondo, la cual es extremadamente importante, sobre todo por la obligación de los Responsables del Tratamiento para demostrar las autorizaciones (principio de responsabilidad proactiva).
Actualmente el consentimiento implícito, es decir la falta de una posición activa del titular, es ilegal, por lo que, independientemente de la forma en la que el consentimiento se dé, es necesario que el mismo pueda ser demostrable por los Responsables del Tratamiento.
Los Responsables del Tratamiento que obtuvieron consentimientos tácitos antes de la promulgación de la LOPDP no podrán beneficiarse del mismo, debiendo obtener nuevamente los consentimientos nuevamente, y cumpliendo con todo lo que establece la LOPDP; a menos que los consentimientos tácitos estén validados por otra fuente de legitimación.
Conclusión
En definitiva, el consentimiento es una base legitimadora muy potente; sin embargo esta debe ser manifestada cuando realmente sea necesario, es decir, cuando no haya otra manera de justificar el tratamiento de datos personales, o exista una pluralidad de bases que legitimen un tratamiento de datos.
Hay que tener en cuenta que los consentimientos para el tratamiento de datos personales que son generales contravienen con la LOPDP, por lo que, la autoridad podría sancionar a los Responsables del Tratamientos por la inobservancia de los elementos del consentimiento.
[1] Art. 4, Ley Orgánica de Protección de Datos Personales: “Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos”.
[2] Art. 7, Ley Orgánica de Protección de Datos Personales.
[3] Art. 1467, Código Civil.
[4] Grupo de Trabajo del Artículo 29, creado por la Directiva 95/46/CE, ahora sustituido por el Comité Europeo de Protección de Datos.
[5] Del Castillo Vázquez Isabel-Celia; Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales; t. 1; p. 684; 2021, España.
[6] Del Castillo Vázquez Isabel-Celia; Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales; t. 1; p. 687; 2021, España.
[7] Art. 12, Ley Orgánica de Protección de Datos Personales.
Deja un comentario