Una solicitud de consentimiento debe presentarse de forma clara y concisa , utilizando un lenguaje que sea fácil de entender y que se distinga claramente de otros elementos de información, como los términos y condiciones. La solicitud debe especificar qué uso se hará de sus datos personales e incluir los datos de contacto de la empresa que trata los datos. El consentimiento debe ser otorgado libremente , específico , informado y no ambiguo. El consentimiento informado significa que debe recibir información sobre el tratamiento de sus datos personales, que incluye al menos:
- la identidad de la organización que procesa los datos;
- los fines para los cuales se procesan los datos;
- el tipo de datos que serán procesados;
- la posibilidad de retirar el consentimiento (por ejemplo, enviando un correo electrónico para retirar el consentimiento);
- en su caso, el hecho de que los datos se utilizarán únicamente para la toma de decisiones automatizada, incluidos los perfiles;
- información sobre si el consentimiento está relacionado con una transferencia internacional de sus datos, los posibles riesgos de transferencia de datos a países fuera de la UE si esos países no están sujetos a una decisión de adecuación de la Comisión y no existen salvaguardas adecuadas.
Ejemplos
Consentimiento no solicitado según los términos de la ley
Te matriculas en una escuela de música para tomar clases de piano. El formulario de inscripción contiene un documento largo redactado en letra pequeña con términos altamente legales y técnicos, que incluye la posibilidad de que la escuela pueda transmitir sus datos personales a los minoristas que venden instrumentos musicales. La escuela infringe la ley ya que su consentimiento para recibir material de marketing (potencialmente de minoristas de instrumentos) no se solicitó según lo estipulado por la ley.
Está abriendo una cuenta bancaria en línea y desea confirmar su solicitud. Se le muestra una página con dos casillas de verificación que dice ‘Acepto los términos y condiciones’ y ‘Acepto que la decisión de si tengo derecho a una tarjeta de crédito se basa únicamente en el perfil sin intervención humana’. Ambas casillas de verificación están activadas (marcadas) de manera predeterminada. Tiene que desactivar la casilla de verificación si no desea estar sujeto a una decisión sobre si tiene derecho a una tarjeta de crédito basada únicamente en la creación de perfiles. Incluso si no desactiva la casilla de verificación, el banco no habría obtenido un consentimiento válido, ya que las casillas previamente marcadas no se consideran un consentimiento válido bajo RGPD.
Referencias
- Artículos 6 y 7 y considerandos (42) y (43) del RGPD
- Artículo 29 Directrices del Grupo de Trabajo sobre el consentimiento en virtud del Reglamento (UE) 2016/679 (WP 259)
