Como se ha expresado anteriormente: el consentimiento no siempre es la base jurídica que legitima el tratamiento de datos. Sin embargo, ésta no es la situación más común. En cambio, el proyecto de Reglamento sobre la privacidad electrónica considera el consentimiento como la base principal para el tratamiento legítimo de los datos personales en el contexto de las comunicaciones electrónicas. El consentimiento, sin embargo, sólo se aplicará si se cumplen determinadas condiciones. Si se utiliza el consentimiento como base jurídica legitimadora del tratamiento de datos, los desarrolladores deben asegurarse de que su dispositivo incluya la necesidad de obtener el consentimiento de los usuarios para el tratamiento de forma informada y granular, así como la documentación de dicho consentimiento. Además, este hecho debe estar debidamente acreditado.
Debe quedar meridianamente claro que el consentimiento del interesado no puede obtenerse libremente por medio de la aceptación obligatoria de las condiciones generales, o a través de la posibilidad de exclusión voluntaria (opt-out options). Debe tener un enfoque granular. Por otra parte, la configuración por defecto de un sistema operativo debe garantizar que los servicios de localización estén “desactivados”, y los usuarios pueden consentir explícitamente la activación de aplicaciones específicas. Además, “es importante distinguir entre el consentimiento a un servicio puntual y el consentimiento a una suscripción regular. Por ejemplo, para utilizar un determinado servicio de geolocalización, puede ser necesario activar los servicios de geolocalización en el dispositivo o el navegador. Si esa capacidad de geolocalización está activada, todos los sitios web pueden leer los datos de localización del usuario de ese dispositivo móvil inteligente. Para evitar los riesgos de la vigilancia secreta, el antiguo Grupo de Trabajo del Artículo 29 considera esencial que el dispositivo advierta continuamente de que la geolocalización está “encendida”, por ejemplo, mediante un icono permanentemente visible.”[1]
Por último, pero no por ello menos importante, el antiguo Grupo de Trabajo del Artículo 29 recomendó que los proveedores de aplicaciones o servicios geoespaciales trataran de renovar el consentimiento individual (incluso cuando no haya cambios en la naturaleza del tratamiento) tras un periodo de tiempo adecuado. Por ejemplo, no sería válido seguir tratando los datos de localización si una persona no ha utilizado activamente el servicio en los doce meses anteriores. Incluso cuando una persona haya utilizado el servicio, debería recordársele al menos una vez al año (o más a menudo cuando la naturaleza del tratamiento lo justifique) la naturaleza del tratamiento de sus datos personales. Así, el desarrollador podría considerar la posibilidad de incorporar en el dispositivo o sistema una herramienta electrónica capaz de enviar una solicitud al usuario para (re)obtener su consentimiento (o no) para continuar con el tratamiento. Sin embargo, esto es más una recomendación que un requisito legal.
El consentimiento amplio podría ser aceptado, pero sólo si se dan algunas circunstancias concretas, como por ejemplo: es difícil o improbable prever cómo se tratarán estos datos en el futuro; el consentimiento amplio utilizado para el tratamiento de categorías especiales de datos es compatible con la normativa nacional; cuando se utiliza el consentimiento amplio, se da a los interesados la oportunidad de retirar su consentimiento y de elegir si participan o no en determinadas investigaciones y partes de ellas. Además, deben aplicarse algunas garantías adicionales.
Cuadro 3: Consentimiento amplio y garantías adicionales
La Agencia de Protección de Datos alemana ha enumerado recientemente algunas garantías adicionales que deben aplicarse en caso de consentimiento amplio. Éstas son: 1. Garantías para garantizar la transparencia:
2. Garantías para generar confianza:
3. Garantías de seguridad:
|
Cuadro 4: Ejemplo de buenas prácticas para los proveedores de aplicaciones de geolocalización según el antiguo Grupo de Trabajo del Artículo 29[2]: “La aplicación que desee utilizar datos de geolocalización informará claramente al usuario sobre los fines para los que quiere utilizarlos y solicitará su consentimiento inequívoco para cada una de las posibles finalidades distintas. El usuario elegirá activamente el nivel de la geolocalización (por ejemplo, a escala de un país, ciudad, código postal o con la mayor precisión posible). Una vez que el servicio de localización se active, un icono estará permanentemente visible en cada pantalla indicando dicha activación. El usuario podrá retirar su consentimiento en cualquier momento y sin tener que abandonar la aplicación y también podrá suprimir, fácil y permanentemente, cualquier dato de localización almacenado en el dispositivo.” |
Lista de control: consentimiento
☐ Los responsables del tratamiento pueden demostrar que, tras sopesar las circunstancias del tratamiento, han llegado a la conclusión de que el consentimiento es la base jurídica más adecuada para el tratamiento. ☐ Los responsables del tratamiento solicitan el consentimiento de los interesados de forma libre, específica, informada e inequívoca, de acuerdo con el artículo 7 del RGPD. ☐ Los responsables del tratamiento han informado a los interesados sobre su derecho a retirar el consentimiento en cualquier momento. ☐ El consentimiento amplio utilizado para el tratamiento de categorías especiales de datos es compatible con la normativa nacional. ☐ Cuando se utiliza el consentimiento amplio, el responsable del tratamiento es especialmente consciente de que los interesados tienen la oportunidad de retirar su consentimiento y de elegir si desean o no participar en determinadas investigaciones y partes de las mismas. ☐ Los responsables del tratamiento tienen una relación directa con el sujeto que proporciona los datos. ☐ El desequilibrio de poder entre los responsables del tratamiento y los interesados no impide el libre consentimiento. Esto es especialmente importante en determinados contextos como el marco laboral. ☐ Los responsables del tratamiento piden a las personas que opten activamente por el consentimiento. ☐ Los responsables del tratamiento no utilizan cuadros premarcados ni ningún otro tipo de consentimiento por defecto. ☐ Los responsables del tratamiento utilizan un lenguaje claro y sencillo, fácil de entender. ☐ Los responsables del tratamiento especifican para qué quieren los datos, qué van a hacer con ellos y durante cuánto tiempo serán tratados. ☐ Los responsables del tratamiento dan opciones distintas (“granulares”) para consentir por separado los distintos fines y tipos de tratamiento. ☐ Los responsables del tratamiento vinculan qué datos o categorías de los mismos serán tratados para cada finalidad. ☐ Los responsables del tratamiento han informado a los interesados sobre su derecho a retirar el consentimiento en cualquier momento y sobre cómo hacerlo. ☐ Los responsables del tratamiento garantizan que las personas pueden negar su consentimiento sin que ello suponga un perjuicio para su acceso al servicio. ☐ Los responsables del tratamiento evitan que el consentimiento sea una condición previa al servicio. |
- Grupo de Trabajo del Artículo 29 (2011) Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes, adoptado el 16 de mayo de 2011. 881/11/ES WP 185, P. 13, disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp185_es.pdf ↑
- Grupo de Trabajo del Artículo 29 (2011) Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes, adoptado el 16 de mayo de 2011. 881/11/ES WP 185, P. 15, disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp185_es.pdf ↑