Requisitos para un consentimiento válido RGPD

El consentimiento es la manera más sencilla que tiene como empresa de justificar el manejo de datos. El nuevo Reglamento General de Protección de Datos que entró en vigor el pasado 25 de mayo, NO admite el consentimiento tácito o sobreentendido de los clientes como lo hacía la antigua ley española de protección de datos, éste hace énfasis en que para obtener los datos previo al tratamiento de los mismos debe existir un “consentimiento inequívoco” por parte del interesado. Pero ¿a qué se refiere el RGPD con “consentimiento inequívoco”?

En el artículo 4, el Reglamento define consentimiento como: “toda manifestación libre, especifica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Añadiendo la palabra inequívoco con respecto a la regulación anterior.

Básicamente, lo que busca dejar claro el RGPD es que todas las personas deben entender sin ninguna duda para que está dando su consentimiento, y esto deben dejarlo claro a través de una declaración.

Además de inequívoco, el consentimiento debe ser libre, específico e informado. Con libre se refiere a que el interesado podrá libremente acceder o denegar el uso de sus datos y esto no le afectará de ninguna manera. Cuando se habla de que sea específico, es porque la finalidad del tratamiento debe aparecer de manera específica y no pueden ampliarse una vez que el sujeto ha consentido su recogida. Es decir, solo se pueden usar los datos para la finalidad para la que se especifica en su solicitud. Por último, cuando se habla de informado, es porque el deber de la organización es informar detalladamente al individuo de manera que este comprenda las operaciones del tratamiento.

Para saber si nuestra organización cumple con estos principios, hemos creado un checklist de requisitos que debemos cumplir con nuestros consentimientos. Esta “verificación de consentimiento” la podemos hacer por cada uno de los tratamientos que va a realizar la empresa y, analizar así si fallamos en algún punto de forma fácil sin necesidad de pasar por una auditoría.

Escrito por Xisco Martínez

CEO de Cloudpro, el venture bulder más importante de las Islas Baleares. 20 años de experiencia en tecnologías de la información, ciberseguridad y gestión de proyectos tecnológicos.