El consentimiento es la base jurídica más tradicional para el tratamiento de datos. Además, el proyecto de Reglamento^[1] sobre privacidad electrónica considera el consentimiento como la base principal para el tratamiento legal de los datos en el contexto de las comunicaciones electrónicas, circunstancia que se aplica, por ejemplo, en el caso de los dispositivos IdC conectados a la web. El consentimiento, sin embargo, sólo se aplicará si se cumplen algunas condiciones. Si se utiliza el consentimiento como base legal para el tratamiento de datos, los desarrolladores deben asegurarse de que el dispositivo que están creando incluya la necesidad de requerir el consentimiento previo de los usuarios para el tratamiento de forma específica, informada y granular, y garantizar la documentación adecuada de dicho consentimiento.

Según el Comité Europeo de Protección de Datos, la granularidad significa que “un servicio puede implicar múltiples operaciones de tratamiento para más de una finalidad. En estos casos, los interesados deben ser libres de elegir qué finalidad aceptan, en lugar de tener que dar su consentimiento a un conjunto de finalidades de tratamiento. En un caso determinado, pueden estar justificados varios consentimientos para empezar a ofrecer un servicio, de conformidad con el RGPD”.^[2]

La granularidad “no sólo debe referirse a las categorías de datos recogidos, sino también al momento y la frecuencia en que se capturan los datos, así como a los diferentes fines para los que se procesarán esos datos. De forma similar a la función “no molestar” de los smartphones, los dispositivos IdC deberían ofrecer una opción de “no recoger” para programar o desactivar rápidamente los sensores.”^[3]

Debe quedar muy claro que el consentimiento del interesado no puede obtenerse libremente a través de la aceptación obligatoria de las condiciones generales, ni a través de las posibilidades de exclusión voluntaria.^[4] Así pues, los dispositivos deben diseñarse de manera que se garantice que el consentimiento sea granular y que los usuarios tengan la posibilidad de renunciar a determinados servicios o características de una IdC. Los usuarios no deben ser penalizados o tener un acceso degradado a las capacidades del sistema si deciden no utilizarlo (al interactuar con otro sistema) o si deciden no utilizar un servicio específico incorporado en el sistema.

Los dispositivos y las aplicaciones deben estar siempre diseñados para informar a los usuarios y a los interesados no usuarios sobre el tratamiento de los datos, por ejemplo, a través de la interfaz física del dispositivo o mediante la emisión de una señal en un canal inalámbrico. Independientemente de la existencia de cualquier relación contractual e incluso de la base jurídica del tratamiento, cualquier interesado, sea o no usuario, debe estar informado y en condiciones de ejercer sus derechos, (la única excepción es el derecho de oposición, que no es aplicable si la base jurídica del tratamiento es el consentimiento)^[5]. La posibilidad de retirar el consentimiento se garantizará desde el momento en que se recojan los datos y los interesados deberán ser informados de dicha posibilidad.

La gestión de los consentimientos requiere el cumplimiento previo de los principios de protección de datos por diseño y por defecto. Como afirmó Wachter, es muy recomendable que los desarrolladores de la IdCestablezcan permisos de acceso “no solo para los usuarios, sino también para las ‘cosas’ que pretenden acceder o procesar los datos de un usuario en nombre del usuario o de un tercero. Estos permisos de acceso deben respetar las preferencias de privacidad del usuario. La gestión de la identidad combinada con el control de acceso basado en roles, por ejemplo, permite la verificación de la identidad junto con la autorización de las solicitudes de acciones de los usuarios o de los dispositivos de acuerdo con su rol asignado por el sistema, asegurando que sólo las acciones autorizadas a un rol específico (por ejemplo, la recopilación, la transmisión o el procesamiento de datos) pueden llevarse a cabo en una sesión. Los administradores o los usuarios pueden definir estos permisos, ofreciendo diferentes enfoques para proteger las preferencias subjetivas de privacidad del usuario.”^[6]

Recuadro 3: Políticas de privacidad y proxies de privacidad Un mejor control del tratamiento de los datos podría garantizarse mediante el uso de un enfoque basado en las denominadas políticas pegajosas, que pueden apoyar el cumplimiento del marco de protección de datos mediante la incorporación de información sobre las condiciones y los límites del uso de los datos con los propios datos. Así, estas políticas podrían establecer el contexto de uso de los datos, los fines, las políticas de acceso de terceros y una lista de usuarios de confianza Una forma alternativa/complementaria de ofrecer al sujeto de los datos un control real sobre el tratamiento de los mismos al interactuar con los sensores, pudiendo expresar sus preferencias, incluyendo la obtención y revocación del consentimiento y las opciones de limitación de la finalidad, podría basarse en el uso de proxies de privacidad. Con el apoyo de un dispositivo, las solicitudes de datos se enfrentan a políticas predefinidas que rigen el acceso a los datos bajo el control del interesado. Mediante la definición de pares de sensores y políticas, las solicitudes de terceros para la recogida o el acceso a los datos de los sensores se autorizarían, se limitarían o simplemente se rechazarían. Fuente: Art 29 Grupo de Trabajo de Protección de Datos (2014) Dictamen 8/2014 sobre la sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088

Para evitar los riesgos de la vigilancia secreta, el antiguo Grupo de Trabajo del Artículo 29 considera esencial que el dispositivo advierta de que la función de intercambio de datos está “activada”, por ejemplo, mediante un icono permanentemente visible.^[7] De hecho, prever una señalización adecuada que sea realmente visible para los sujetos de los datos podría ser especialmente importante cuando se trata de wearables. Todos los dispositivos de la IdCdeberían informar a los interesados no usuarios cuyos datos se recogen de dicho tratamiento, incluyendo toda la información pertinente al respecto. Los responsables del tratamiento deben hacer todo lo posible para garantizar que se facilite dicha información, aunque en la práctica pueda resultar difícil. Deberán aplicarse herramientas adecuadas para garantizar que se respete la preferencia de los interesados no usuarios de que sus datos sean recogidos por el dispositivo.

Si el dispositivo de la IdCincorpora herramientas proporcionadas por terceros, y el consentimiento es la base jurídica más adecuada, los desarrolladores de la IdCdeben ser conscientes del hecho de que estas herramientas deben instalarse sobre una base de consentimiento previo (incluso cuando esa no sea una práctica ampliamente seguida en algunos sectores). Por lo tanto, el Grupo de Trabajo del Artículo 29 declaró que “como dicho acceso está sujeto al requisito de obtener el consentimiento previo del usuario, este consentimiento debe ser claramente dado, específico e informado. La práctica muestra, sin embargo, que a menudo las solicitudes de autorización realizadas por los desarrolladores de aplicaciones de terceros no muestran suficiente información para que el consentimiento del usuario se considere específico y suficientemente informado, y por tanto válido según la legislación de la UE”. ^[8]

Por último, aunque importante, el Grupo de Trabajo del Artículo 29 recomendó que los proveedores de aplicaciones o servicios traten de renovar el consentimiento individual (incluso cuando no haya cambios en la naturaleza del tratamiento) después de un periodo de tiempo adecuado. Por ejemplo, puede no ser válido seguir tratando datos personales cuando una persona no ha utilizado activamente el servicio en los 12 meses anteriores. Incluso cuando una persona haya utilizado el servicio, se le debería recordar al menos una vez al año (idealmente con más frecuencia, especialmente cuando la naturaleza del tratamiento lo justifique) la naturaleza del tratamiento de sus datos personales. Así, el desarrollador podría considerar la posibilidad de incorporar en el dispositivo o sistema una herramienta capaz de enviar una solicitud al usuario y volver a obtener (o no) su consentimiento para continuar con el tratamiento. Sin embargo, se trata más de una recomendación que de un requisito legal. En cualquier caso, el interesado debe tener a su disposición una forma fácil de retirar el consentimiento, en cualquier momento, sin efectos retroactivos.

El consentimiento amplio puede ser aceptable, pero sólo si se dan algunas circunstancias concretas, como por ejemplo: es difícil o improbable prever cómo se tratarán estos datos en el futuro; el consentimiento amplio utilizado para el tratamiento de categorías especiales de datos es compatible con la normativa nacional; cuando se utiliza el consentimiento amplio, los interesados tienen la oportunidad de retirar su consentimiento y de elegir si quieren o no participar en determinadas investigaciones y partes de ellas. Además, deben aplicarse algunas salvaguardias (véase el recuadro 4).

Recuadro 4: Consentimiento amplio y salvaguardias adicionales La Autoridad de Protección de Datos alemana ha enumerado algunas salvaguardias adicionales que deben aplicarse en caso de consentimiento amplio en el contexto de proyectos de investigación.[9] Éstas, que pueden adaptarse adecuadamente a otras circunstancias, son: 1. Garantías para asegurar la transparencia: Utilización de reglamentos de uso o planes de investigación que ilustren los métodos de trabajo previstos y las preguntas que serán objeto del proyecto de investigación. Evaluación y documentación de la cuestión por la que en este proyecto de investigación concreto no es posible una especificación más detallada de los fines de la investigación. Crear un sitio web para informar a los participantes del estudio sobre los estudios en curso y futuros. 2. Garantías para generar confianza: Voto positivo de un Comité de Ética antes de utilizar los datos con fines de investigación. Evaluación de si es posible trabajar con un consentimiento dinámico o si el interesado puede negar el consentimiento u oponerse antes de que los datos puedan utilizarse para nuevas cuestiones de investigación (en función de la base legal para dicho tratamiento posterior de los datos). 3. Garantías de seguridad: No hay transferencias de datos a terceros países con un nivel de protección de datos inferior. Medidas adicionales relativas a la minimización de los datos, el cifrado, la anonimización, la seudonimización o la aplicación de medidas de seguridad. Aplicación de políticas específicas para limitar el acceso a los datos personales.

Es importante destacar que, si el tratamiento de los datos es necesario para el tratamiento, de tal manera que éste no puede llevarse a cabo sin los datos, o que no puede ofrecerse un determinado servicio sin el tratamiento, el consentimiento puede no ser la base jurídica más eficaz. Esto es así porque los interesados siempre pueden tener derecho a retirar su consentimiento en cualquier momento. En los casos en que la actividad depende de los datos, la retirada del consentimiento puede desencadenar la incapacidad de satisfacer el servicio. Dependiendo de todas las demás circunstancias que rodean la actividad de tratamiento, en estos casos pueden ser más apropiadas otras bases jurídicas, como la necesidad de ejecutar un contrato.

Además, los interesados deben tener la posibilidad de retirar cualquier consentimiento previo dado a un tratamiento de datos específico y de oponerse al tratamiento de los datos que les conciernen. El ejercicio de este derecho debe ser posible sin ningún tipo de limitaciones técnicas u organizativas y las herramientas proporcionadas para registrar esta retirada deben ser accesibles, visibles y eficaces.

Según el Grupo de Trabajo del Artículo 29, “los sistemas de retirada deben ser de grano fino y deben abarcar:

(1) Cualquier dato recogido por una cosa específica (por ejemplo, solicitar que la estación meteorológica deje de recoger la humedad, la temperatura y los sonidos);

(2) Un tipo específico de datos recogidos por cualquier cosa (por ejemplo, un usuario debería poder interrumpir la recogida de datos por cualquier dispositivo que registre el sonido, ya sea un rastreador del sueño o una estación meteorológica);

(3) Un tratamiento de datos específico (por ejemplo, los usuarios podrían exigir que tanto su podómetro como su reloj dejen de contar sus pasos). Además, dado que es probable que los “objetos conectados” vestibles sustituyan a los artículos existentes que ofrecen funcionalidades habituales, los responsables del tratamiento de datos deberían ofrecer una opción para desactivar la función “conectada” del objeto y permitir que funcione como el artículo original, no conectado (es decir, desactivar la funcionalidad conectada del reloj o las gafas inteligentes).

El Grupo de Trabajo ya ha especificado que los interesados deben tener la posibilidad de “retirar continuamente (su) consentimiento, sin tener que salir del servicio prestado” ^[10].

Lista de comprobación: consentimiento ☐ Los responsables del tratamiento pueden demostrar que, tras sopesar las circunstancias del tratamiento, han llegado a la conclusión de que el consentimiento es la base jurídica más adecuada para el tratamiento. ☐ Los responsables del tratamiento solicitan el consentimiento de los interesados de forma libre, específica, informada e inequívoca, según el artículo 7 del RGPD. ☐ Los responsables del tratamiento han informado a los interesados sobre su derecho a retirar el consentimiento en cualquier momento. ☐ Cuando se utiliza el consentimiento amplio para el tratamiento de categorías especiales de datos es compatible con la normativa nacional. ☐ Cuando se utiliza el consentimiento amplio, el responsable del tratamiento es particularmente los sujetos de los datos tienen la oportunidad de retirar su consentimiento y de elegir si quieren participar en determinados proyectos y partes del mismo. ☐ El desequilibrio de poder entre los responsables del tratamiento y los interesados no impide el libre consentimiento. Esto es especialmente importante en un contexto como el marco laboral. ☐ Los controladores piden a la gente que opte por participar activamente. ☐ Los controladores no utilizan casillas premarcadas ni ningún otro tipo de consentimiento por defecto. ☐ Los controladores utilizan un lenguaje claro y sencillo que resulta fácil de entender. ☐ Los responsables del tratamiento especifican qué tipos de datos quieren, por qué los quieren, qué van a hacer con ellos y durante cuánto tiempo se tratarán los datos. ☐ Los responsables del tratamiento dan opciones distintas (“granulares”) para consentir por separado los distintos fines y tipos de tratamiento. ☐ Los responsables del tratamiento vinculan qué datos o categorías de datos serán tratados para cada fin. ☐ Los responsables del tratamiento han informado a los interesados sobre su derecho a retirar el consentimiento en cualquier momento y sobre cómo hacerlo. ☐ Los responsables del tratamiento garantizan que las personas puedan negar su consentimiento sin que ello suponga un perjuicio en su acceso al servicio. ☐ Los responsables del tratamiento evitan que el consentimiento sea una condición previa a un contrato de prestación de servicios si los datos no son necesarios para la ejecución de dicho servicio.

 

1. https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf ↑
2. Comité Europeo de Protección de Datos, Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679, adoptadas el 4 de mayo de 2020, en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf ↑
3. Art. 29 Dictamen 8/2014 del Grupo de Trabajo de Protección de Datos sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
4. Grupo de Trabajo del Artículo 29 (2011) Dictamen 13/2011 sobre servicios de geolocalización en dispositivos móviles inteligentes Adoptado el 16 de mayo de 2011. 881/11/ES WP 185, P. 13, en: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf ↑
5. Art. 29 Grupo de Trabajo de Protección de Datos (2014) Dictamen 8/2014 sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
6. Wachter, Sandra, Retos normativos de la identificación en el Internet de las cosas: Privacidad, elaboración de perfiles, discriminación y el RGPD, Computer Law & Security Review, Volumen 34, Número 3, 2018, páginas 436-449. ↑
7. Grupo de Trabajo del Artículo 29 (2011) Dictamen 13/2011 sobre servicios de geolocalización en dispositivos móviles inteligentes Adoptado el 16 de mayo de 2011. 881/11/ES WP 185, P. 13, en: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf. Véase el caso LaLiga, en: https://asociaciondpd.com/wp-content/uploads/2019/07/PS-00326-2018_ORI.pdf. Un resumen en inglés está disponible en: https://iapp.org/news/a/spanish-dpa-fines-la-liga-250k-euros-for-alleged-gdpr-violations/ ↑
8. Dictamen 8/2014 del Grupo de Trabajo del Artículo 29 de Protección de Datos sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
9. DSK, clausura de la 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs “bestimmte Bereiche wissenschaftlicher Forschung” im Erwägungsgrund 33 der DS-GVO 3. Abril de 2019, en: www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (consultado el 20 de mayo de 2020). La traducción al inglés procede de un bonito resumen de las medidas que puede consultarse aquí: www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/ ↑
10. Dictamen 8/2014 del Grupo de Trabajo del Artículo 29 de Protección de Datos sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014), p. 20, en: https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑