Elementos del consentimiento válido

By: admin Encendido: 30 diciembre, 2017 In: RGPD

kkstarratings]

El artículo 4 del RGPD estipula que el consentimiento del propietario de los datos significa:
– dado libremente,
– específico,
– informado y
– Indicación inequívoca de los deseos del interesado por el cual él o ella, mediante una declaración o por una clara acción afirmativa, significa un acuerdo para el procesamiento de datos personales relacionados con el o ella.
En las siguientes secciones, se analiza en qué medida la redacción del Artículo 4 requiere a los Responsables del Tratamiento para cambiar sus solicitudes / formularios de consentimiento, a fin de garantizar el cumplimiento con el RGPD.

 

  • Consentimiento gratis / libremente dado
    El elemento «libre» implica una verdadera elección y control para los interesados. Como regla general, el RGPD prescribe que si el sujeto de los datos no tiene una opción real, se siente obligado a consentir o perdurará consecuencias negativas si no dan su consentimiento, entonces el consentimiento no será válido, si el consentimiento está incluido como una parte no negociable de los términos y condiciones, se presume que no se ha otorgado libremente.
    En consecuencia, el consentimiento no se considerará gratuito si el interesado no puede rechazar o retirar su consentimiento sin detrimento. La noción de desequilibrio entre el Responsable del Tratamiento y el sujeto de los datos también es tomado en consideración por el RGPD.

    • Desequilibrio de poder
      El considerando 14 indica claramente que es poco probable que las autoridades públicas puedan contar con el consentimiento de tratamiento, ya que siempre que el Responsable del tratamiento sea una autoridad pública, a menudo existe un claro desequilibrio de poder en la relación entre el Responsable del tratamiento y el propietario de los datos. También está claro en la mayoría de los casos que el propietario de los datos no tendrá alternativas realistas para aceptar el tratamiento (términos) de este Responsable del tratamiento.
      El Grupo de Trabajo del Articulo del 29 considera que existen otras bases legales que, en principio, son más apropiadas para la actividad de las autoridades públicas. Sin perjuicio de estas consideraciones generales, el uso del consentimiento como base legal para el tratamiento por parte de las autoridades públicas no está totalmente excluido en el marco legal del RGPD. Los siguientes ejemplos muestran que el uso del consentimiento puede ser apropiado bajo ciertas circunstancias.

      • [Ejemplo 2] Un municipio local está planificando trabajos de mantenimiento vial. Como el camino funciona puede interrumpir el tráfico durante mucho tiempo, el municipio ofrece a sus ciudadanos la oportunidad de suscribirse a una lista de correo electrónico para recibir actualizaciones sobre el progreso de las obras y sobre las demoras esperadas. El municipio deja en claro que no hay obligación de participar y solicita el consentimiento para utilizar direcciones de correo electrónico con este fin (exclusivo). Los ciudadanos que no den el consentimiento no se perderán ningún servicio central del municipio o el ejercicio de ningún derecho, por lo que son capaces de dar o rechazar su consentimiento a este uso de datos libremente. Toda la información sobre las obras viales también será disponible en el sitio web del municipio.
      • [Ejemplo 3] Una persona que posee tierras necesita ciertos permisos tanto de su municipio local como del gobierno provincial bajo el cual reside el municipio. Ambos organismos públicos requieren la misma información para emitir su permiso, pero no están accediendo a las bases de datos de los demás. Por lo tanto, ambos piden lo mismo información y el propietario de la tierra envía sus datos a ambos organismos públicos. El municipio y el govierno provincial, la autoridad solicita su consentimiento para fusionar los archivos, para evitar procedimientos duplicados y correspondencia. Ambos organismos públicos se aseguran de que esto sea opcional y de que las solicitudes de permisos se procesen por separado si así lo decide el propietario de los dato de no consentir a la fusión de sus datos. El propietario de la tierra puede dar su consentimiento a las autoridades para la finalidad de fusionar los archivos libremente.
      • [Ejemplo 4] Una escuela pública les pide a los estudiantes que acepten usar sus fotografías en una revista impresa para estudiantes. El consentimiento en estas situaciones sería una elección genuina siempre que a los estudiantes no se les negará la educación o servicios y podría rechazar el uso de estas fotografías sin ningún perjuicio.

      Un desequilibrio de poder también ocurre en el contexto laboral, dada la dependencia que resulta de la relación empleador / empleado, es poco probable que el interesado pueda negarle su consentimiento al empleador para el procesamiento de datos sin experimentar el temor o el riesgo real de efectos perjudiciales como resultado de un rechazo. Es poco probable que un empleado pueda responder libremente a una solicitud para obtener el consentimiento de su empleador para, por ejemplo, activar sistemas de monitoreo tales como cámaras observación en un lugar de trabajo, o para completar formularios de evaluación, sin sentir ninguna presión para consentimiento. Por lo tanto el Grupo de Trabajo del Artículo del 29, considera que es problemático para los empleadores procesar datos personales de o futuros empleados sobre la base del consentimiento, ya que es poco probable que se otorgue libremente. Para la mayoría de tal procesamiento de datos en el trabajo, la base legal no puede y no debe ser el consentimiento del empleados (Artículo 6 (1a)) debido a la naturaleza de la relación entre el empleador y el empleado. Sin embargo, esto no significa que los empleadores nunca puedan contar con el consentimiento como base legal para tratamiento. Puede haber situaciones en las que el empleador pueda demostrar ese consentimiento en realidad se da libremente. Dado el desequilibrio de poder entre un empleador y su personal, los empleados solo pueden dar su consentimiento libre en circunstancias excepcionales, cuando no tendrá ningún inconveniente ni consecuencias si dan o no consentimiento.

      • [Ejemplo 5]
        Un equipo de filmación va a filmar en una determinada parte de una oficina. El empleador pregunta a todos los empleados que se sientan en esa área para su consentimiento para ser filmado, ya que pueden aparecer en el fondo del vídeo. Aquellos que no lo quieren ser filmados no se les penalizará de ninguna manera, sino que se le asignan escritorios equivalentes en otro lugar del edificio durante la duración de la filmación.
  • Los desequilibrios de poder no se limitan a las autoridades públicas y los empleadores, también pueden ocurrir en otras situaciones, como destaca el Grupo de Trabajo del Artículo del 29 en varias opiniones, el consentimiento solo puede ser válido si los datos el sujeto puede ejercer una elección real, y no hay riesgo de engaño, intimidación, coacción o consecuencias negativas significativas (por ejemplo, costos adicionales considerables) si él / ella no da su consentimiento. si él / ella no da su consentimiento. EL consentimiento no será gratuito en los casos en que exista algún elemento de compulsión, presión o incapacidad para ejercer Libre albedrío.

 

  • Condicionalidad del consentimiento
    El artículo 7, apartado 4, de la RGPD indica que, entre otras cosas, la situación de «agrupar» el consentimiento con la aceptación de términos o condiciones, o «vincular» la prestación de un contrato o servicio a una solicitud de consentimiento para procesar datos personales que no son necesarios para la ejecución de ese contrato o servicio, es considerado altamente indeseable. Si se otorga el consentimiento en esta situación, se presume que no es libre (considerando 43). El artículo 7, apartado 4, pretende garantizar que el objetivo del tratamiento de datos personales no sea disfrazado o incluido con la provisión de un contrato de un servicio para el cual estos datos personales son no es necesario. Al hacerlo, el RGPD asegura que el tratamiento de los datos personales para los que el consentimiento se busca no puede convertirse directa o indirectamente en la contra-ejecución de un contrato. Los dos bases legales para el procesamiento legal de datos personales, es decir, el consentimiento y el contrato no pueden fusionarse y difuminarse. Compulsión de aceptar el uso de datos personales adicionales a los datos de límites estrictamente necesarios elección del propietario y se interpone en el camino del libre consentimiento. Como la ley de protección de datos apunta a la protección de los derechos fundamentales, el control de un individuo sobre sus datos personales es esencial y existe una fuerte presunción de que el consentimiento para el procesamiento de datos personales es innecesario, no puede verse como una consideración obligatoria a cambio de la ejecución de un contrato o la provisión de un servicio.
    Por lo tanto, siempre que una solicitud de consentimiento esté vinculada a la ejecución de un contrato por parte del Responsable del tratamiento, un propietario de datos que no desea que sus datos personales estén disponibles para que el Responsable del tratamiento corra el riesgo de que se le nieguen los servicios que ha solicitado. Para evaluar si se produce una situación de empaquetamiento o agrutinamiento, es importante determinar qué alcance del contrato o servicio es. Según el Dictamen 06/2014 del Grupo de Trabajo del Artículo del 29, el término «necesario para la ejecución de un contrato «debe interpretarse estrictamente». El procesamiento debe ser necesario para cumplir el contrato con cada sujeto de datos individual. Esto puede incluir, por ejemplo, procesar el
    dirección del sujeto de datos para que los productos comprados en línea se puedan entregar, o para procesar detalles de la tarjeta de crédito para facilitar el pago. En el contexto del empleo, este terreno puede permitir, para ejemplo, el procesamiento de la información salarial y los detalles de la cuenta bancaria para que se puedan pagar los salarios.
    Es necesario que haya un vínculo directo y objetivo entre el tratamiento de los datos y la finalidad de la ejecución del contrato. Si un Responsable del tratamiento busca tratar datos personales que de hecho son necesarios para el desempeño de un contrato, es probable que la base legal correcta sea el Artículo 6 (1b) (contrato). En este caso, no hay necesidad de utilizar otra base legal, como el consentimiento, y el Artículo 7 (4) no se aplica. Como la necesidad para la ejecución del contrato no es una base legal para el procesamiento de categorías especiales de datos, esto es especialmente importante para los Responsables del tratamiento que tratan categorías especiales de datos.

    • [Ejemplo 6]
      Un banco solicita a los clientes su consentimiento para usar sus detalles de pago con fines de comercialización. Este procesamiento actividad no es necesaria para la ejecución del contrato con el cliente y la entrega de servicios ordinarios de cuentas bancarias. Si la negativa del cliente a consentir esta finalidad de tratamiento llevaría a la denegación de los servicios bancarios, el cierre de la cuenta bancaria, o un aumento de la tarifa, el consentimiento no puede darse libremente o revocado.

La elección del legislador para destacar la condicionalidad, entre otros, como una presunción de falta de la libertad de consentimiento, demuestra que la ocurrencia de la condicionalidad debe ser cuidadosamente escudriñada. El término «cuenta máxima» en el Artículo 7 (4) sugiere que se requiere precaución especial del Responsable del tratamiento cuando un contrato / servicio tiene una solicitud de consentimiento para procesar los datos personales vinculados a ella. Dado que la redacción del Artículo 7 (4) no se interpreta de manera absoluta, puede haber muy limitada espacio para casos donde esta condicionalidad no invalidaría el consentimiento. Sin embargo, la palabra «Presumido» en el considerando 43 indica claramente que tales casos serán altamente excepcionales.
En cualquier caso, la carga de la prueba en el Artículo 7 (4) está en el Responsable del tratamiento. Esta regla específica refleja el principio general de responsabilidad que se aplica en todo el RGPD. Sin embargo, cuando el Artículo 7 (4) aplica, será más difícil para el Responsable del tratamiento probar que el consentimiento fue dado libremente por el propietario de los datos. El Responsable del tratamiento podría argumentar que su organización ofrece a los propietarios de los datos una opción genuina si fueran poder elegir entre un servicio que incluye el consentimiento para el uso de datos personales para unas finalidades, por un lado, y un servicio equivalente que no implica el consentimiento para el uso de datos para finalidades adicionales por otro lado. Mientras haya una posibilidad de tener el contrato realizado o el servicio contratado entregado por este Responsable del tratamiento sin dar consentimiento al otro o uso adicional de datos en cuestión, esto significa que ya no hay un servicio condicional. Sin embargo, ambos los servicios deben ser genuinamente equivalentes, sin costos adicionales.
Al evaluar si el consentimiento se otorga libremente, no solo se debe tener en cuenta el consentimiento específico situación de vincular el consentimiento en los contratos o la prestación de un servicio según lo descrito en el artículo 7 (4). El artículo 7, apartado 4, se redactó de forma no exhaustiva con las palabras «entre otros», lo que significa que puede haber una variedad de otras situaciones que quedan atrapadas por esta disposición. En términos generales, cualquier elemento de presión o influencia inapropiada sobre el interesado (que puede manifestarse en de muchas maneras diferentes) que impide que un sujeto de datos ejerza su libre voluntad, hará que el consentimiento inválido.

 

  • Granularidad
    Un servicio puede implicar múltiples operaciones de tratamiento para más de una finalidad. En tales casos, el los propietarios de los datos deben ser libres de elegir qué finalidad aceptan, en lugar de tener que dar su consentimiento a un conjunto de fines de procesamiento. En un caso dado, varios permisos pueden estar justificados para comenzar a ofrecer un servicio, de conformidad con el RGPD.
    El considerando 43 aclara que se presume que el consentimiento no se otorga libremente si el proceso / procedimiento para obtener el consentimiento no permite a los interesados dar un consentimiento por separado para el procesamiento de datos personales operaciones respectivamente (por ejemplo, solo para algunas operaciones de procesamiento y no para otras) a pesar de ser apropiado en el caso individual. El considerando 32 establece que «el consentimiento debe abarcar todas las actividades de procesamiento». llevado a cabo con el misma finalidad o finalidades. Cuando el tratamiento tiene múltiples finalidades, el consentimiento se debe dar para todos ellos «.
    Si el Responsable del tratamiento ha combinado varias finalidades para el procesamiento y no ha intentado buscar el consentimiento por separado para cada finalidad, hay una falta de libertad. Esta granularidad está estrechamente relacionada con la necesidad de que el consentimiento sea específico, como se analiza en la sección 3.2 más adelante. Cuando el procesamiento de datos se realiza en la búsqueda de varias finalidades, la solución para cumplir con las condiciones para el consentimiento válido radica en la granularidad, es decir, la separación de estas finalidades y la obtención del consentimiento para cada fin.

    • [Ejemplo 7]
      Dentro de la misma solicitud de consentimiento, un minorista solicita a sus clientes su consentimiento para usar sus datos para enviarles ofertas comerciales por correo electrónico y también para compartir sus detalles con otras empresas dentro de su grupo. Este consentimiento no es granular ya que no hay consentimientos separados para estas dos finalidades separadas, por lo tanto, el consentimiento no será válido.

 

  • Detrimento del consentimiento
    El Responsable del tratamiento debe demostrar que es posible rechazar o retirar el consentimiento sin perjuicio (considerando 42). Por ejemplo, el Responsable del tratamiento debe demostrar que retirar el consentimiento no lo hace conllevar costos para el interesado y, por lo tanto, no hay una clara desventaja para quienes retiran el consentimiento. Otros ejemplos de detrimento son el engaño, la intimidación, la coacción o un negativo significativo consecuencias si un propietario de datos no consiente. El Responsable del tratamiento debe poder demostrar que el propietario tuvo una elección libre o genuina sobre si consentir y que era posible retirar consentimiento sin detrimento. Si un Responsable del tratamiento es capaz de demostrar que un servicio incluye la posibilidad de retirar su consentimiento y sin ninguna consecuencias negativas, por ejemplo, sin la realización del servicio de cambio de categoría a la detrimento del usuario, esto puede servir para mostrar que el consentimiento fue dado libremente.

 

  • Consentimiento Específico
    Artículo 6 (1a) confirma que el consentimiento del propietario de los datos debe darse en relación con “uno o más fines específicos” y que un titular de los datos tiene una opción en relación con cada uno de ellos. Los requisitos de que el consentimiento debe ser ‘ específico’ tiene por objeto garantizar un grado de control del usuario y la transparencia para el interesado. Este requisito no se ha cambiado por el RGPD y sigue de cerca vinculado a la exigencia del consentimiento ‘informado’. Al mismo tiempo, debe ser interpretado de acuerdo con el requisito de ‘granularidad’ para obtener el consentimiento ‘libre’. Para cumplir con el elemento de debe aplicar ‘específicamente’ el Responsable del tratamiento:
    1.- Especificación de finalidad como una salvaguardia contra la desviación de uso,
    2.- Granularidad en las solicitudes de consentimiento, y
    3.- Clara separación de la información relacionada con la obtención del consentimiento para las actividades de procesamiento de datos de información sobre otros asuntos.

    • Anuncio 1: De conformidad con el artículo 5 (1b) del RGPD, la obtención de un consentimiento válido siempre precedida por la determinación de un finalidad específico, explícitas y legítimas para la actividad de transformación previsto. La necesidad de un consentimiento específico en combinación con la noción de limitación de la finalidad del artículo 5 (1b) funciona como una salvaguardia contra el ensanchamiento gradual o desvanecimiento de los finalidad para los cuales se proceso, después de que un propietario de los datos ha accedido a la recolección inicial de los datos. Este fenómeno, también conocido como desviación de uso, es un riesgo para los propietarios de datos, ya que puede resultar en el uso inesperado de personal los datos por el Responsable del tratamiento o por parte de terceros y en la pérdida de control del propietario de los datos.  Si el Responsable del tratamiento se basa en el artículo 6 (1a), los propietarios de datos siempre deben dar su consentimiento para un específico finalidad de tratamiento. línea con el concepto de limitación de la finalidad , y el artículo 5 (1b) y considerando 32, el consentimiento puede cubrir diferentes operaciones, siempre que estas operaciones tengan la misma finalidad. Eso Ni que decir tiene que el consentimiento específico sólo puede obtenerse cuando los interesados son específicamente informados acerca de los tratamientos de uso previstos, de los datos relativos a ellos. Si un Responsable del tratamiento de tratamientos de datos basados en el consentimiento y deseos para tratar los datos para una nueva finalidad, el Responsable del tratamiento necesita buscar un nuevo consentimiento del titular de los datos, para la nueva finalidad de tratamiento. los consentimientos originales nunca van a legitimar los nuevas finalidades para su tratamiento.
    • [Ejemplo 8] Una red de televisión por cable recopila los datos personales de los suscriptores, en base a su consentimiento, para presentarles sugerencias personales para nuevas películas que les puedan interesar en función de sus hábitos de visualización. Después de un tiempo, la red de televisión decide que le gustaría permitir que terceros envíen (o muestren) publicidad dirigida en función de los hábitos de visualización del suscriptor. Dado este nuevo finalidad, se necesita un nuevo consentimiento.
    • Anuncio 2: mecanismos de consentimiento no sólo deben ser granular para cumplir con el requisito de ‘libre’, pero también para cumplir con el elemento de ‘específico’. Esto significa, un Responsable del Tratamiento que busca el consentimiento para diversos diferentes finalidades deben proporcionar un opt-in separado para cada finalidad, para permitir a los usuarios dar consentimiento específico para fines específicos.
    • Anuncio 3: Por último, los Responsables del tratamiento deben proporcionar información específica con cada solicitud de consentimiento por separado acerca de los datos que se procesan para cada finalidad, con el fin de hacer que los propietarios de los datos sean conscientes de la impacto de las diferentes opciones que tienen. Por lo tanto, se habilitan los interesados a dar su consentimiento específico.
      Este problema se superpone con el requisito de que los Responsables del Tratamiento deben proporcionar información clara.

 

  • Consentimiento Informado
    El RGPD refuerza el requisito de que el consentimiento debe ser informado. Con base en el artículo 5 de la RGPD, el requisito de que la transparencia es uno de los principios fundamentales, estrechamente relacionado con el principios de imparcialidad y legalidad. Proporcionar información a los interesados antes de obtener su consentimiento es esencial a fin de que puedan tomar decisiones informadas, entender lo que son acordando, y por ejemplo ejercer su derecho a retirar su consentimiento. Si el Responsable del tratamiento no proporciona información accesible, el control del propietario de datos se convierte en ilusoria y su consentimiento será una base no válida para el tratamiento.
    La consecuencia de no cumplir con los requisitos para el consentimiento informado es que la voluntad de consentimiento perderá su validez y el Responsable del tratamiento puede estar en violación del artículo 6 de la RGPD.

    • Requisitos mínimos de su contenido para el consentimiento sea ‘informado’: Para que el consentimiento sea informado, es necesario informar al interesado de ciertos elementos que son cruciales para tomar una decisión. Por lo tanto, WP29 es de la opinión de que, al menos, la siguiente información se requiere para obtener el consentimiento válido:
      • La identidad del Responsable del Tratamiento.
      • La finalidad de cada una de las operaciones de tratamiento para la que se solicita el consentimiento.
      • Que tipos de datos serán recogidos y usados .
      • Información sobre el uso de los datos para las decisiones basadas únicamente en tratamientos automatizados, incluyendo perfiles, de acuerdo con el artículo 22 (2).
      • Si el consentimiento se refiere a transferencias, sobre los posibles riesgos de transferencia de datos a terceros países en ausencia de una decisión de adecuación y salvaguardias apropiadas  (artículo 49 (1a)).

Con respecto a los puntos (1) y (3) anteriores, el Grupo de Trabajo del Artículo del 29 señala que en un caso en el que el consentimiento solicitado debe ser invocado por múltiples Responsables del Tratamiento (Co-Responsables) o si los datos deben ser transferidos o tratados por otros Responsables del Tratamiento que deseen confiar en el consentimiento original, estas organizaciones deberían ser nombradas. Los Responsables del Tratamiento no necesitan ser nombrados como parte de los requisitos de consentimiento, aunque para cumplir con los Artículos 13 y 14 del RGPD, los Responsables del Tratamiento deberán proporcionar una lista completa de destinatarios o categorías de destinatarios, incluidos los encargados del tratamiento. Para concluir, el Grupo de Trabajo del Artículo del 29 señala que, dependiendo de las circunstancias y el contexto de un caso, es posible que se necesite más información para que el interesado pueda comprender realmente las operaciones de tratamiento disponibles.

  • Como proporcionar información
    El RGPD no prescribe la forma o la forma en que la información debe proporcionarse con el fin de cumplir con el requisito del consentimiento informado. Esto significa que la información válida puede presentarse en diversas formas, tales como declaraciones escritas u orales, o mensajes de audio o vídeo. Sin embargo, el RGPD pone una serie de requisitos para el consentimiento informado en su lugar, predominantemente en el artículo 7 (2) y en el considerando 32. Esto lleva a un nivel superior por la claridad y la accesibilidad de la información. Al pedir el consentimiento,Responsables del Tratamiento deben asegurar que utilicen un lenguaje claro y sencillo en todos los casos. Esto significa que un mensaje debe ser fácilmente comprensible para la persona promedio y no sólo para abogados.Los Responsables del Tratamiento no pueden utilizar políticas de privacidad ilegibles largos o declaraciones llenas de jerga legal. El consentimiento debe ser claro y distinguible de otros asuntos y siempre inteligible y forma fácilmente accesible. Este requisito significa esencialmente que la información relevante para la toma decisiones informadas sobre si debe o no dar su consentimiento no pueden estar ocultos en términos generales y condiciones. Un Responsable del Tratamiento debe asegurarse de que el consentimiento se proporciona sobre la base de la información que permite a los interesados identificar fácilmente quién es el Responsable del Tratamiento y comprender lo que están aceptando. El Responsable del Tratamiento debe describir claramente la finalidad del tratamiento de datos para el cual se solicita el consentimiento. Se ha proporcionado otra orientación específica sobre la accesibilidad en las directrices del Grupo de Trabajo del Artículo del 29 sobre transparencia. Si el consentimiento debe darse por medios electrónicos, la solicitud debe ser clara y concisa. La información en capas y granular puede ser una forma adecuada de lidiar con la doble obligación de ser preciso y completo por un lado y comprensible por el otro.Un Responsable del Tratamiento debe evaluar qué tipo de audiencia es la que proporciona datos personales a su organización. Por ejemplo, en caso de que la audiencia objetivo incluya sujetos de datos que son menores de edad, se espera que el Responsable del Tratamiento se asegure de que la información sea comprensible para los menores. Después de identificar a su audiencia, los Responsables del Tratamiento deben determinar qué información deben proporcionar y, posteriormente, cómo presentarán la información a los interesados. Artículo 7 (2) se dirige a pre-formuladas declaraciones por escrito de consentimiento que también se refiere a otro
    asuntos. Cuando se solicita el consentimiento como parte de un contrato (papel), la solicitud de autorización debe ser claramente distinguible de las otras materias. Si el contrato de trabajo incluye muchos aspectos que son sin relación con la cuestión del consentimiento para el uso de los datos personales, la cuestión del consentimiento debe ser tratado con una forma que se destaca claramente, o en un documento separado. Del mismo modo, si el consentimiento es solicitado por medios electrónicos, la solicitud de consentimiento tiene que ser separado y distinto, que no puede ser simplemente una párrafo dentro de los términos y condiciones, de conformidad con el co3n8sPidaerraa nddaro c3a2b.ida a las pequeñas pantallas o situaciones con espacio restringido para información, una forma de presentar la información en capas pueden ser considerado, en su caso, para evitar la perturbación excesiva de la experiencia del usuario o el diseño del producto.
    Un Responsable del Tratamiento que se basa en el consentimiento de la persona afectada debe también hacer frente a la información por separado obligaciones establecidas en los artículos 13 y 14 con el fin de cumplir con la RGPD. En la práctica, el cumplimiento del deber de información y el cumplimiento del requisito del consentimiento informado puede dar lugar a un enfoque integrado en muchos casos. Sin embargo, esta sección está escrito en el entendiendo que el consentimiento válido “informado” puede existir, aun cuando no todos los elementos de los artículos 13 y / o 14 se mencionan en el proceso de obtener el consentimiento (estos puntos deben ser, por supuesto mencionado en otros lugares, como el aviso de privacidad de una empresa). El Grupo de Trabajo del Artículo del 29 ha emitido directrices sobre el requisito de transparencia.

    • [Ejemplo 9]
      La empresa X es un Responsable del Tratamiento que recibió quejas de que no está claro a qué se refieren los datos para fines de datos utilizar se les pide su consentimiento. La compañía ve la necesidad de verificar si la información en el consentimiento solicitud es comprensible para los interesados. Organiza grupos de ensayo voluntarias de categorías específicas de su clientes y presenta nuevas actualizaciones de su información de consentimiento a estas audiencias de prueba antes de comunicarla externamente. La selección de los grupo respeta el principio de independencia y se hace sobre la base de
      normas que garanticen un resultado representativo, no sesgado. El grupo recibe un cuestionario y lo que indica entendieron de la información y cómo iban a anotar en términos de comprender pertinentemente la información. El Responsable del Tratamiento continúa la prueba hasta que los grupos les indican que la información es comprensible. X elabora un informe de la prueba y mantiene esta disponible para referencia futura. Este ejemplo muestra una forma posible para X para demostrar que los interesados estaban recibiendo información clara antes de consentir a los datos personales tratados por X.
      [Ejemplo 10]
      Una empresa se dedica a procesamiento de datos sobre la base del consentimiento. La empresa utiliza un aviso de privacidad en capas que incluye una solicitud de consentimiento. La compañía da a conocer todos los detalles básicos del Responsable del Tratamiento y el tratamiento de datos las actividades previstas. Sin embargo, la compañía no indica cómo su responsable de protección de datos puede ser puesto en contacto en el aviso. A los efectos de tener una base legal válida como entiende en el artículo 6, este Responsable del Tratamiento obtenido el consentimiento válido “informado”, incluso cuando los datos de contacto del responsable de protección de datos no han sido comunicada a los interesados en la (primera capa de información de la) aviso de privacidad, de conformidad con el artículo 13 (1b) o 14 (1b) del RGPD.
  • Indicación inequícoca de deseos
    El RGPD está claro que el consentimiento requiere una declaración del titular de los datos o de un acto afirmativo clara lo que significa que siempre debe darse a través de un movimiento activo o declaración. Debe ser obvio que el interesado ha dado su consentimiento para el tratamiento particular. Artículo 2 (h) de la Directiva 95/46 / CE describe consentimiento como una “indicación de los deseos por el que los datos sujeto significa su acuerdo a los datos personales que le está procesando”. Artículo 4 (11) RGPD se basa en esta definición, mediante la aclaración de que el consentimiento válido requiere una inequívoca indicación
    por medio de una declaración o de una acción afirmativa clara , de acuerdo con las directrices anteriores emitidos por Grupo de Trabajo del Artículo del 29. Un “acto afirmativo clara” significa que el interesado debe haber tomado una acción deliberada para dar su consentimiento al tratamiento particular. Considerando 32 establece directrices adicionales sobre esto. El consentimiento puede ser recogida a través de una o (a registrada) declaración oral escrita, incluso por medios electrónicos. Tal vez la forma más literal de cumplir el criterio de una “declaración escrita” es hacer un seguro de datos tema escribe en una carta o un correo electrónico tipos al controlador explicar qué es exactamente lo que él / ella está de acuerdo. Sin embargo, esto no suele ser realista. Las declaraciones escritas pueden venir en muchas formas y tamaños que se podría ser compatible con la RGPD. Sin perjuicio del Derecho contractual existente (nacional), el consentimiento se puede obtener a través de un grabado declaración oral, aunque debida nota debe tenerse en cuenta la información disponible para el titular de los datos, antes de la indicación de consentimiento. El uso de casillas ya marcadas opt-in no es válida bajo la RGPD. El silencio o inactividad por parte del titular de los datos, así como simplemente de proceder a un servicio no puede considerarse como una indicación activa de elección.

    • [Ejemplo 11]
      Al instalar el software, la aplicación pide al interesado su consentimiento para utilizar los informes de fallos no anónimos para mejorar el software. Un aviso de privacidad en capas que proporciona la información necesaria acompaña a la solicitud para el consentimiento. Al marcar la casilla activa opcional que indica, “Estoy de acuerdo”, el usuario es capaz de realizar válidamente una acción afirmativa de consentimiento para el tratamiento.

Un Responsable del Tratamiento también debe tener cuidado de que el consentimiento no se puede obtener a través del mismo movimiento que estar de acuerdo a un contrato o aceptar los términos y condiciones del servicio generales. La capa de aceptación general, términos y condiciones no pueden ser vistos como una acción afirmativa claro para dar su consentimiento para el uso de datos personales. El RGPD no permite a los Responsable del Tratamiento ofrecer cuadros pre marcados o construcciones de exclusión voluntaria que requieren una intervención del interesado para evitar un acuerdo (por ejemplo, «cajas de exclusión voluntaria»).

  • Consentimiento través de medios electrónicos
    Cuando el consentimiento se debe dar respuesta a una solicitud por medios electrónicos, la solicitud de autorización debe no sea innecesariamente perjudicial para el uso del servicio para el que se presta el consentimiento. 42 Un movimiento afirmativa activo por el cual el sujeto de los datos indica puede ser necesario el consentimiento cuando un menor infractora o modus perturbadora daría lugar a la ambigüedad. Por lo tanto, puede ser necesario que un consentimiento
    solicitud interrumpe la experiencia de uso en cierta medida, para hacer esa petición eficaz.
    Sin embargo, dentro de los requisitos de la RGPD, los Responsables del tratamiento tienen la libertad de desarrollar un consentimiento que se adapte a su organización. En este sentido, los movimientos físicos pueden ser calificados como una clara la acción afirmativa en el cumplimiento de la RGPD.

    • [ Ejemplo 12]
      Al deslizar en una pantalla, con renuncia delante de una cámara inteligente, girando alrededor de un smartphone agujas del reloj, o en una figura ocho de movimiento pueden ser opciones para indicar el acuerdo, siempre y cuando se proporciona información clara, y es claro que el movimiento en cuestión significa acuerdo a una solicitud específica (por ejemplo, si usted pasa esta barra a la izquierda, usted está de acuerdo al uso de la información para Y. X finalidad Repita el movimiento confirmar). El Responsable del Tratamiento debe ser capaz de demostrar que el consentimiento se obtuvo de esta manera y los titulares de los datos deben ser capaces de retirar su consentimiento tan fácilmente como fue dado.
    • [Ejemplo 13]
      El desplazamiento hacia abajo o deslizar a través de términos y condiciones, que incluyen declaraciones de consentimiento (donde una declaración se produce en la pantalla para avisar al titular de los datos que continuar para desplazarse constituirá consentimiento) no lo hará satisfacer la exigencia de una acción clara y afirmativa. Esto se debe a que la alerta se puede perder en un conjunto de datos sujeto se desplaza rápidamente a través de grandes cantidades de texto y tal acción no es suficientemente no ambiguas. En el contexto digital, muchos servicios necesitan los datos personales de funcionar, por lo tanto, los interesados reciben múltiples solicitudes de consentimiento que necesitan respuestas a través de clics y golpes todos los días. Esto puede dar lugar a un cierto grado de fatiga clic: cuando se encuentran demasiadas veces, el efecto real de la advertencia los mecanismos de consentimiento está disminuyendo.
    • Esto da como resultado una situación donde las preguntas de consentimiento ya no se leen. Este es un riesgo particular para los titulares de datos, ya que, típicamente, se solicita el consentimiento para acciones que, en principio, son ilegales sin su consentimiento. El RGPD impone a los Responsables del tratamiento la obligación de desarrollar formas de abordar este problema.
      Un ejemplo a menudo mencionado para hacer esto en el contexto en línea, obtener el consentimiento de los usuarios de Internet a través de la configuración de su navegador. Dichas configuraciones deben desarrollarse de acuerdo con las condiciones para el consentimiento válido en el RGPD, como por ejemplo que el consentimiento será granular para cada uno de las finalidades previstas y que la información que debe proporcionarse debe nombrar a los Responsables del tratamiento.