¿Cuándo es válido el consentimiento del RGPD? Requisitos para el consentimiento lícito en el tratamiento de datos

El consentimiento es una de las bases legales más utilizadas bajo el RGPD, pero obtener un consentimiento válido es más exigente de lo que muchas organizaciones creen. Un consentimiento inválido significa que el tratamiento de datos subyacente es ilícito.

Requisitos del consentimiento válido

Libre: El consentimiento no puede ser una condición previa para acceder a un servicio, a menos que el tratamiento de datos sea genuinamente necesario para ese servicio. Vincular el consentimiento con los términos del servicio o no ofrecer una alternativa significativa invalida el consentimiento.

Específico: El consentimiento debe darse para cada finalidad distinta de tratamiento. El consentimiento general que cubre múltiples finalidades no relacionadas no es válido.

Informado: Las personas deben entender a qué están consintiendo, incluyendo quién tratará sus datos, qué datos se recopilarán y con qué finalidad. La información debe presentarse en un lenguaje claro y sencillo.

Inequívoco: El consentimiento requiere una acción afirmativa clara. Las casillas premarcadas, el silencio o la navegación continuada no constituyen un consentimiento válido.

Revocable: Las personas deben poder retirar el consentimiento en cualquier momento, y el proceso de retirada debe ser tan fácil como el proceso de consentimiento. Las organizaciones deben informar a las personas de su derecho a retirar el consentimiento antes de que este se otorgue.

Errores comunes

Muchos mecanismos de consentimiento utilizados en la práctica no cumplen los estándares del RGPD. Los banners de cookies con solo un botón de "Aceptar", las políticas de privacidad que entierran el lenguaje de consentimiento en jerga legal y los formularios de consentimiento que dificultan deliberadamente el rechazo producen un consentimiento inválido. Las organizaciones que dependen de estos mecanismos se arriesgan a acciones de aplicación.