Se requiere el consentimiento explícito en ciertas situaciones en las que surja un riesgo grave de protección de datos, por lo tanto, cuando se considere apropiado un alto nivel de control individual sobre los datos personales. En virtud del RGPD, el consentimiento explícito desempeña un papel en el artículo 9 sobre el tratamiento de categorías especiales de datos, las disposiciones sobre transferencias de datos a terceros países u organizaciones internacionales en ausencia de salvaguardias adecuadas en el artículo 49 y en el artículo 22 sobre decisiones individuales automatizadas fabricación, incluidos los perfiles.
El RGPD prescribe que un «acto afirmativo claro» es un requisito previo para el consentimiento «regular». Como el requisito de consentimiento «regular» en el RGPD ya se ha elevado a un nivel más alto en comparación con el requisito de consentimiento de la Directiva 95/46 / CE, es necesario aclarar qué esfuerzos adicionales debe emprender un Responsable del tratamiento para obtener el consentimiento explícito de un propietario de datos en línea con el RGPD.
El término explícito se refiere a la forma en que el sujeto de datos expresa el consentimiento. Significa que el sujeto de los datos debe dar una declaración expresa de consentimiento. Una forma obvia de asegurarse de que el consentimiento sea explícito sería confirmar expresamente el consentimiento en una declaración escrita. Cuando corresponda, el Responsable del tratamiento podría asegurarse de que la declaración escrita esté firmada por el interesado, con el fin de eliminar todas las posibles dudas y la posible falta de pruebas en el futuro.
Sin embargo, dicha declaración firmada no es la única forma de obtener el consentimiento explícito y, no se puede decir que la RGPD prescribe declaraciones escritas y firmadas en todas las circunstancias que requieren un consentimiento explícito válido. Por ejemplo, en el contexto digital o en línea, un sujeto de datos puede emitir la declaración requerida mediante la cumplimentación de un formulario electrónico, mediante el envío de un correo electrónico, mediante la subida de un documento que lleva la firma del titular de los datos, o mediante el uso de una firma electrónica. En teoría, el uso de declaraciones orales también puede ser lo suficientemente explícita para obtener el consentimiento explícito válida, sin embargo, puede ser difícil de probar para el Responsable del tratamiento que se han cumplido todas las condiciones para el consentimiento explícito válida cuando se registró el comunicado.
[Ejemplo 14] Una clínica de cirugía estética busca el consentimiento explícito de un paciente para transferir su registro médico a un experto cuya opinión segunda se pide en la condición del paciente. El expediente médico es un archivo digital. Teniendo en cuenta la naturaleza específica de la información de que se trate, la clínica pide una firma electrónica al paciente para obtener el consentimiento explícito válido y ser capaz de demostrar que se obtuvo el consentimiento explícito.
La verificación en dos etapas del consentimiento también puede ser una forma de asegurarse de que el consentimiento explícito sea válido. Por ejemplo, un sujeto de datos recibe un correo electrónico notificándole de la intención del Responsable del tratamiento de tratar un registro que contiene datos médicos. El Responsable del tratamiento explica en el correo electrónico que solicita el consentimiento para el uso de datos para una finalidad específica para un tratamiento específico. Si los interesados aceptan el uso de estos datos, el Responsable del tratamiento le pide una respuesta por correo electrónico con la frase «Acepto». Después de enviar la respuesta, el sujeto de datos recibe un enlace de verificación en el que se debe hacer clic, o un mensaje SMS con un código de verificación, para confirmar el acuerdo.
Debe recordarse que el consentimiento explícito no es la única forma de legitimar el tratamiento de categorías especiales de datos, ciertas transferencias de datos, etc. El consentimiento explícito puede no ser apropiado en una situación particular y el RGPD enumera otras posibilidades para asegurarse de que estas actividades se puedan realizar de manera legal. Por ejemplo, el Artículo 9 (2) enumera otros nueve motivos legales para levantar la prohibición de procesar categorías especiales de datos.
