Uno de los cambios mas importantes que supone la aplicación efectiva el próximo 25 de mayo del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016), la actualización de la recogida y gestión del consentimiento del usuario para el tratamiento de sus datos personales.

El nuevo escenario que se plantea, prevé que el consentimiento que otorgue el usuario sea más directo, informado y consciente que hasta la fecha. Hasta ahora, el actual marco normativo hacía referencia al consentimiento basándose en lo previsto por el artículo 3 de la LOPD, en su apartado h:

1. h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Es decir, el usuario debía otorgar el consentimiento debidamente informado y siendo consciente de la información que iba a compartir con las empresas y/o profesionales que le asistían en algún servicio. 

A pesar de que la definición quedaba bastante clara, este escenario podía, y de hecho lo hacía, dar pie a algunas situaciones en las en base a la lectura estricta del apartado, bastaba con pulsar un simple botón de un formulario para dar por asumidas y entendidas las condiciones de uso y políticas de gestión de esa información.

Este consentimiento, podíamos decir que tácito, desaparece pues del nuevo marco normativo y se pone en marcha el consentimiento estrictamente expreso.

El RGPD define el consentimiento de una forma distinta y más activa por parte del usuario, al indicar en su considerando 32:

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Es decir, que el consentimiento tiene que ser una acción positiva por parte del usuario, quien mediante la selección de una casilla o cualquier otro medio técnico que pueda comprobarse, tiene que aceptar de forma activa el tratamiento de sus datos.

Es decir, ejemplos como el de pulsar un botón para aceptar las condiciones y política de privacidad  ya no serán posibles. Tampoco se podrán usar formularios con casillas activadas por defecto y además, si se requiere el consentimiento para varios tratamientos, por ejemplo alta en un boletín de noticias y alta como usuario en una plataforma online o para realizar una compra, estos consentimientos tendrán que recogerse por separado.

También hemos de tener en cuenta además, que el consentimiento que se recoja debe garantizar que no supone un perjuicio de ningún tipo para el usuario. Es decir, si la no concesión de ese consentimiento impide al usuario acceder a algún tipo de servicios, ese consentimiento no será válido. Eso se recoge en el considerando 42 del RGPD,

“… El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. “

Como se puede ver, hay mucho trabajo por delante para la adecuación a los nuevos requisitos del RGPD, pero la revisión de las clausulas de consentimiento y la forma en que se recogen estos, deberían ser una tarea prioritaria para las empresas.