El RPDG introduce requisitos para los Responsables del Tratamiento realicen arreglos adicionales para garantizar que obtengan, mantengan y puedan demostrar un consentimiento válido. El artículo 7 de la RPDG establece estas condiciones adicionales para el consentimiento válido, con disposiciones específicas sobre el mantenimiento de los registros de consentimiento y el derecho a retirar fácilmente el consentimiento. El artículo 7 también se aplica al consentimiento al que se hace referencia en otros artículos de RPDG, p. Artículos 8 y 9. A continuación se brinda orientación sobre el requisito adicional de demostrar el consentimiento válido y la revocación del consentimiento.
- Demostrar el consentimiento
En el artículo 7 (1), el RGPD describe claramente la obligación explícita del Responsable del Tratamiento para demostrar un el consentimiento del interesado. La carga de la prueba estará en el Responsable del Tratamiento, de acuerdo con el artículo 7 (1). Considerando 42 estados: “Cuando la transformación se basa en el consentimiento del sujeto, el Responsable del Tratamiento debe ser capaz de demostrar que el interesado ha dado su consentimiento para la operación de tratamiento “.
Los Responsables del Tratamiento son libres de desarrollar métodos para cumplir con esta disposición de una manera que es apropiado en su operaciones diarias. Al mismo tiempo, el deber de demostrar que un consentimiento válido se ha obtenido un Responsable del Tratamiento, no debe en sí mismo conducir a cantidades excesivas de tratamientos de datos adicional. Esto significa que los Responsables del Tratamiento deben tener suficientes datos para mostrar un enlace al tratamiento (para mostrar el consentimiento fue obtenido) pero no deben estar recogiendo más información de la necesaria.
Corresponde al Responsable del Tratamiento demostrar que un consentimiento válido se obtuvo de la persona interesada. el RGPD no prescribe exactamente cómo esto debe hacerse. Sin embargo, el Responsable del Tratamiento debe ser capaz de probar que un interesado en un caso dado ha dado su consentimiento. Mientras dure una actividad de tratamiento de datos en cuestión, existe la obligación de demostrar su consentimiento. Una vez de que la actividad de tratamiento termina, la prueba del consentimiento no debe ser extrictamente necesaria para el cumplimiento de una obligación legal o para el reconocimiento, ejercicio o defensa de demandas judiciales, de conformidad con el artículo 17 (3b) y (3e).
Por ejemplo, el Responsable del Tratamiento puede mantener un registro de las declaraciones de consentimiento recibidas, para que pueda mostrar cómo Se obtuvo el consentimiento, cuando se obtuvo el consentimiento y la información proporcionada a los interesados en el momento deberá ser demostrable. El Responsable del Tratamiento también deberá ser capaz de demostrar que el sujeto de los datos era informado y el flujo de trabajo de los Responsables del Tratamiento cumplió con todos los criterios relevantes para un consentimiento válido. Lo racional detrás de esta obligación en el RGPD es que los Responsables del Tratamiento deben ser responsables con respecto a la obtención de consentimiento válido de los interesados y los mecanismos de consentimiento que han puesto en su lugar. Por ejemplo, en un contexto en línea, un Responsable del Tratamiento podría retener la información sobre la sesión en la que el consentimiento fue expresado, junto con la documentación del flujo de trabajo de consentimiento en el momento de la sesión, y una copia de la información que se presentó a los interesados en ese momento. No sería suficiente para referirse simplemente a una correcta configuración de la página web respectivo.
[Ejemplo 15] Un hospital pone en marcha un programa de investigación científica, denominado Proyecto X, para la que los registros dentales de pacientes reales son necesarias. Los participantes son reclutados a través de llamadas telefónicas a los pacientes que voluntariamente accedieron a en una lista de candidatos que pueden ser abordados para este propósito. El Responsable del Tratamiento busca el consentimiento explícito de los interesados para el uso de su registro dental. El consentimiento se obtiene durante una llamada telefónica registrando una declaración oral del sujeto de datos en la que el sujeto de datos confirma que está de acuerdo con el uso de sus datos para los propósitos del proyecto X.
No hay un límite de tiempo específico en el RGPD por cuánto tiempo durará el consentimiento. El tiempo de duración del consentimiento dependerá del contexto, el alcance del consentimiento original y las expectativas del interesado. Si las operaciones de tratamiento cambian o evolucionan considerablemente, entonces el consentimiento original ya no es válido. Si este es el caso, entonces se necesita obtener un nuevo consentimiento.
El Grupo de Trabajo del Artículo del 29 recomienda como práctica recomendada que el consentimiento se actualice a intervalos apropiados. Volver a proporcionar toda la información ayuda a garantizar que el interesado permanezca bien informado sobre cómo se utilizan sus datos y cómo ejercer sus derechos.
- La revocación del consentimiento
En el artículo 7 (1), el RGPD describe claramente la obligación explícita del Responsable del Tratamiento para demostrar un el consentimiento del interesado. La carga de la prueba estará en el Responsable del Tratamiento, de acuerdo con el artículo 7 (1). Considerando 42 estados: “Cuando la transformación se basa en el consentimiento del sujeto, el Responsable del Tratamiento debe ser capaz de demostrar que el interesado ha dado su consentimiento para la operación de tratamiento “.
La revocación del consentimiento se le da un lugar prominente en la RGPD. Las disposiciones y considerandos sobre la revocación del consentimiento en el RGPD puede ser considerada como la codificación de la interpretación actual de en este asunto WP29 opiniones. Artículo 7 (3) de la RGPD prescribe que el Responsable del tratamiento debe garantizar que el consentimiento puede ser retirado por el afectado tan fácil como dar su consentimiento y en un momento dado. El RGPD no dice que dar y retirar el consentimiento debe realizarse siempre a través de la misma acción.
Sin embargo, cuando el consentimiento se obtiene por medios electrónicos con un solo clic, deslizamiento o pulsación del teclado, los interesados deben, en la práctica, ser capaces de retirar ese consentimiento igualmente fácilmente. Cuando el consentimiento se obtiene mediante el uso de una interfaz de usuario específica del servicio (por ejemplo, a través de un sitio web, una aplicación, una cuenta de inicio de sesión, la interfaz de un dispositivo de IT o por correo electrónico), no hay duda de que un sujeto de datos debe poder retirar el consentimiento a través de la misma interfaz electrónica, ya que el cambio a otra interfaz por el solo motivo de retirar el consentimiento requerirá un esfuerzo indebido. Además, el interesado debe poder retirar su consentimiento sin detrimento. Esto significa, entre otras cosas, que un Responsable del tratamiento debe hacer que el retiro del consentimiento sea posible de forma gratuita o sin disminuir los niveles de servicio.
[Ejemplo 16] Un festival de música vende boletos a través de un agente de boletos en línea. Con cada venta de boletos en línea, se solicita el consentimiento para utilizar los datos de contacto con fines de comercialización. Para indicar el consentimiento para este fin, los clientes pueden seleccionar No o Sí. El Responsable del tratamiento informa a los clientes que tienen la posibilidad de retirar el consentimiento. Para hacer esto, pueden ponerse en contacto con un centro de llamadas los días hábiles entre las 8 a. M. Y 5 p. M., Sin cargo. El Responsable del tratamiento en este ejemplo no cumple con el artículo 7 (3) de la RGPD. Retirar el consentimiento en este caso requiere una llamada telefónica durante el horario comercial, esto es más oneroso que el click del mouse necesario para otorgar el consentimiento a través del vendedor de boletos en línea, que está abierto las 24 horas del día, los 7 días de la semana.7.
El requisito de un retiro fácil se describe como un aspecto necesario del consentimiento válido en el RGPD. Si el derecho de extracción no cumple con los requisitos de RGPD, entonces el mecanismo de consentimiento del Responsable del tratamiento no cumple con el RGPD. Como se menciona en la sección 3.1. a condición del consentimiento informado, el responsable del tratamiento debe informar al interesado sobre su derecho a retirar el consentimiento antes de dar su consentimiento, de conformidad con el artículo 7 (3) del RGPD. Además, el Responsable del tratamiento debe, como parte de la obligación de transparencia, informar a los interesados sobre cómo ejercer sus derechos.
Como regla general, si se retira el consentimiento, todas las operaciones de procesamiento de datos que se basaron en el consentimiento y tuvieron lugar antes del retiro del consentimiento -y de acuerdo con el RGPD- siguen siendo legales, sin embargo, el Responsable del tratamiento debe detener las acciones de tratamiento correspondientes. Si no existe otra base legal que justifique el tratamiento (por ejemplo, almacenamiento adicional) de los datos, el Responsable del tratamiento debería eliminarlos o anonimizarlos.
Como se mencionó anteriormente en estas pautas, es muy importante que los Responsables del tratamiento evalúen los propósitos para los cuales se procesan los datos y los motivos legales en los que se basan antes de recopilar los datos. Con frecuencia, las empresas necesitan datos personales para varios propósitos, y el procesamiento se basa en más de una base legal, los datos del cliente pueden basarse en el contrato y el consentimiento. Por lo tanto, un retiro del consentimiento no significa que un Responsable del tratamiento debe borrar los datos que se procesan para un propósito que se basa en la ejecución del contrato con el interesado. Por lo tanto, los Responsables del tratamiento deben tener claro desde el principio qué propósito se aplica a cada elemento de datos y en qué base legal se está confiando.
Además de la obligación del Responsable del tratamiento de eliminar los datos que se procesaron con base en el consentimiento una vez que se retira el consentimiento, el propietario de los tiene la oportunidad de solicitar el borrado de otros datos que le conciernen y que aún residen en el Responsable del tratamiento, p. sobre la base del artículo 6 (1b). Con este fin, un interesado debe ejercer su derecho a que se borren los datos, tal como se establece en el artículo 17 (1b) y en el considerando 65. WP29 recomienda a los responsables del control que evalúen si el procesamiento continuado de los datos en cuestión es apropiado, incluso si no existe una solicitud de borrado por parte del interesado.
En los casos en que el interesado retire su consentimiento y el Responsable del tratamiento desee continuar procesando los datos personales sobre otra base legal, no puede migrar silenciosamente del consentimiento (que se retira) a esta otra base legal. Además, cualquier cambio en la base legal del tratamiento debe notificarse a un interesado de conformidad con los requisitos de información establecidos en los artículos 13 y 14 y en virtud del principio general de transparencia.
