Fuente: Agencia Española de Protección de Datos
El consentimiento es sólo una más de las seis bases legitimadoras sobre las que un responsable puede realizar un tratamiento de datos personales, pero para que sea válido deben darse una serie de requisitos y, además, el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
El consentimiento debe ser “libre, específico, informado e inequívoco”, tal y como se describe en las Directrices sobre el consentimiento en el sentido del Reglamento 2016/679. Además, debe ofrecerse control al interesado sobre el mismo y darle la posibilidad de aceptar o rechazar los términos bajo los que se presta. El sujeto de datos debe conocer una información mínima, previa a la prestación del consentimiento, que resulta crucial para que pueda tomar una decisión válida y claramente informada. Esta información se establece en el artículo 13 del RGPD, entre la que se encuentra la identidad del responsable, el propósito de cada operación del tratamiento para la que consiente, el tipo de datos que se van a recoger y posteriormente utilizar, si se van tomar o no decisiones basadas únicamente en el tratamiento automatizado de los datos, posibles riesgos si se producen transferencias internacionales y la existencia del derecho a retirar el consentimiento prestado y de los mecanismos para hacerlo.
Esta información muchas veces se presta ‘escondida’ en largas políticas de privacidad asociadas a la aplicación o servicio prestado y que, acumuladas en el tiempo y vinculadas a diferentes tratamientos de distintos responsables, conducen al interesado a la pérdida de control de sus datos, quién los tiene y para qué finalidad, limitando, en consecuencia, ese derecho antes mencionado.
Por otro lado, de acuerdo con artículo 7 del Reglamento, cuando el tratamiento se realice amparado en el consentimiento, este debe poder ser verificable debiendo el responsable ser capaz de poder demostrar que el interesado lo prestó de manera válida. El RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, teniendo libertad para implementar la forma de obtención y registro que más se adapte a los procesos de la organización pero, al menos, debe poder acreditar quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Esa obligación subsiste en tanto que se siga realizando el tratamiento de los datos personales bajo las condiciones iniciales en que los datos fueron recabados y debe ser verificable en caso de auditoría o inspección.
De ahí que resulte de interés la implementación de herramientas que ofrezcan garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar este en torno al tratamiento de los datos personales que se está realizando.
En este sentido, la iniciativa Kantara es una alianza, sin ánimo de lucro, que reúne a varias de las compañías mundiales que trabaja en mejorar el uso confiable de la identidad y los datos personales a través de la innovación, la estandarización y las buenas prácticas en el dominio de la gestión de la identidad digital y la privacidad de los datos. Actualmente trabaja en un proyecto, denominado “Consent Receipt 1.0 (CR 1.0)” desarrollado en respuesta a los comentarios de la comunidad interesados de un recibo de consentimiento como el que se menciona en el Anexo B del estándar en desarrollo ISO/IEC DIS 29184 Information Technology – Online privacy notices and consent.
Esta iniciativa pretende desarrollar un estándar de privacidad que permita registrar el consentimiento en un formato común, estructurado, abierto e interoperable, basado en los códigos y buenas prácticas de la industria, que sirva para proporcionar al interesado un ‘recibo’ de los tratamientos en los que consiente y le permita poder ejercer fácilmente sus derechos: rastrear los consentimientos prestados, conocer cómo se procesó su información o saber a quién responsabilizar en el caso de una brecha de seguridad. De esta forma, se ayuda al responsable a implementar una auténtica gobernanza de los consentimientos recabados y garantizar la trazabilidad de estos a lo largo de todas las fases del tratamiento (recogida, tratamiento, retirada y comunicación a terceros).
Adoptar un enfoque como el propuesto permitiría a los interesados, por un lado, disponer de una forma de controlar y gestionar su consentimiento antes, durante y después del tratamiento haciéndoles realmente propietarios de sus datos personales, y a los responsables, por otro, fomentar la transparencia y contar con un mecanismo de registro de consentimientos verificables dando así respuesta, de forma práctica, a las estrategias de privacidad de “Controlar” y “Demostrar” descritas en la Guía de Privacidad desde el Diseño publicada por la AEPD. Más aún, un registro interoperable de consentimientos abre la posibilidad de una interacción ágil y flexible entre responsables y encargados cuando sea necesario garantizar, en el marco de un encargo de tratamiento como puede ser la adquisición de una base de datos o la recogida de datos personales realizada por el encargado por cuenta del responsable, que se cumplen con todos los requisitos para que un tratamiento, basado en el consentimiento, sea legítimo.