El consentimiento es una de las bases jurídicas que contempla el artículo 6.1 del GDPR que habilita para llevar a cabo un tratamiento de datos personales (artículo 6.1.a). Pero no es la única, hay otras bases jurídicas recogidas en el mismo artículo que nos permiten el tratamiento de datos personales sin necesidad de solicitar el consentimiento al interesado, por ejemplo:
- Cuando el tratamiento es necesario para una relación contractual en la que el interesado y titular de los datos es parte (art.6.1.b), por ejemplo el caso de los profesionales sanitarios, abogados, consultores, asesores o cualquier profesional en su prestación de servicios, y como hemos expuesto y argumentado en otras comunicaciones, no es necesario que este contrato conste por escrito.
- Cuando el tratamiento se lleva a cabo por una obligación legal (art. 6.1.c), por ejemplo el tratamiento de los datos personales de los clientes de cualquier comercio para la emisión de una factura.
- Cuando el tratamiento es necesario para la protección de los Intereses vitales del interesado o de otra persona física (art. 6.1.d), cuando necesitemos tratar los datos personales de una persona porque corre peligro su vida o la de otra persona.
- Cuando el tratamiento es llevado a cabo por interés público (art. 6.1.e), por ejemplo el tratmiento de datos que llevan a cabo en la mayoría de los casos las administraciones públicas, los colegios públicos en el tramiento de datos de sus alumnos en la actividad educativa.
- Cuando el tratamiento es necesario para satisfacer el Interés legítimo del responsable del tratamiento (entidad o autónom@ que trata los datos personales del interesado) o de un tercero (art. 6.1.f), siempre que sobre esos intereses no prevalezcan los del interesado, por ejemplo el interés legítimo del propietario de una web en contestar a las consultas que cualquier usuario le haga en el formulario de contacto de la misma.
Las cuestiones esenciales a tener en cuenta a la hora de basar cualquier tratamiento de datos personales en el consentimiento del titular de los mismos, es decir del interesado son:
- El art. 4.11 del GDPR define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales.
- El responsable del tratamiento, antes de obtener el consentimiento, debe facilitar al interesado una información básica que al menos contenga: su identidad, finalidad del tratamiento, destinatarios de datos si se prevé cederlos, ejercicio de derechos y una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata tanto a esta como a la restante información (art. 13 GDPR y 11 LOPDGDD).
- La solicitud del consentimiento deberá distinguirse claramente del resto de asuntos que se facilite al interesado, de forma inteligible, de fácil acceso y utilizando un lenguaje claro y sencillo (art. 7.2 GDPR).
- Corresponde al responsable del tratamiento acreditar la existencia del consentimiento (art. 7.1 GDPR). Tendrá que demostrar llegado el caso que cuenta con el consentimiento del interesado desde antes de iniciar el tratamiento de sus datos.
- El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada (sin efectos retroactivos). Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como prestarlo. (art. 7.3 GDPR).
- El tratamiento de los datos personales de un menor de edad únicamente podrá basarse en su consentimiento cuando sea mayor de catorce años, salvo los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela (padres, tutores, representantes legales…)(art.7.1 LOPDGDD).
- El consentimiento para el tratamiento de los datos personales de los menores de catorce años, será dado por el titular de su patria potestad o tutela (art. 7.2 LOPDGDD).
- El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible (art. 8.2 GDPR).