Todos coincidimos en que, en las últimas semanas, el Reglamento Europeo de Protección de Datos (RGPD), está en boca de todos, y cuanto más se acerca el 25 de mayo más motivos aparecen para hablar del mismo.
Uno de esos motivos y que creemos que va a tener más de un capítulo es cuál es el procedimiento óptimo para solicitar el consentimiento de los interesados en el marco de una relación contractual para fines no relacionados directamente con la misma.
El RGPD en su artículo 4.11 señala que el consentimiento del interesado tiene que ser una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”; es decir, el único consentimiento válido es el explícito.
Por su parte, el Proyecto de LOPD actual añade en su artículo 6 que, en el momento en que se pretenda fundar el tratamiento de los datos en el consentimiento del interesado para una pluralidad de finalidades, tiene que constar específica e inequívocamente que se otorga para cada una de ellas.
Además, la ejecución de un contrato no puede condicionar a que el afectado consienta el tratamiento de sus datos para otras finalidades que no estén relacionadas con el mantenimiento, desarrollo o control de la relación contractual.
En la actual y todavía vigente regulación española se aborda esta cuestión en el artículo 15 del Real Decreto 1720/2007, que desarrolla la LOPD 15/1999, el cual recoge que para estos casos, el responsable del tratamiento deberá: «permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos”.
Tal deber se entenderá cumplido cuando se permita al afectado “la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento”.
Con la llegada del RGPD, la AEPD publicó diferentes Guías con el fin de facilitar la adaptación a las nuevas exigencias europeas, entre las cuales se encuentra la Guía para el cumplimiento del deber de informar, pero poca novedad añade al respecto, pues se limita a indicar que “deben evitarse prácticas tales como incorporar casillas pre-marcadas en los procedimientos de gestión del consentimiento, pues el RGPD exige que el consentimiento debe otorgarse mediante una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado».
Ahora bien, la duda que se nos puede llegar a plantear en este sentido es si sería válido a los ojos del RGPD la inserción de fórmulas con su correspondiente casilla desmarcada, pero en sentido negativo, esto es:
“[ ] No consiento este tratamiento…”,
“[ ] No estoy de acuerdo con…etc.”
A este respecto debemos acudir a las directrices sobre el consentimiento conforme a RGPD que el Grupo de Trabajo del Artículo 29 (GT29), publicó en noviembre de 2017 un borrador al respecto y cuya última versión oficial se ha publicado el pasado 10 de abril, donde además de dejar claro una vez más que, las casillas pre-marcadas, el silencio o la inactividad del interesado o el simple hecho de proceder con el uso de un servicio no puede ser considerado como una indicación activa de elección, añade:
“A controller must also beware that consent cannot be obtained through the same motion as agreeing to a contract or accepting general terms and conditions of a service. Blanket acceptance of general terms and conditions cannot be seen as a clear affirmative action to consent to the use of personal data. The GDPR does not allow controllers to offer pre-ticked boxes or opt-out constructions that require an intervention from the data subject to prevent agreement (for example ‘opt-out boxes’)” (texto original).
Realizando un análisis de este párrafo y con una traducción propia, no oficial, todo parece indicar que no serán válidas las construcciones de exclusión voluntaria (opt-out boxes) es decir, que requieren una intervención del interesado para evitar el tratamiento.
No obstante, seguiremos esperando en primer lugar, la traducción oficial al español de esta última y, en segundo lugar, a que con un poco de suerte la AEPD se pronuncie al respecto.
