La entrada en vigor del RGPD y más tarde de la LOPDGDD (nuestra Ley de Protección de Datos), supuso un cambio de paradigma en la gestión del consentimiento.
La norma actual ha venido a reforzar las garantías que se requieren para obtener el consentimiento y que este sea válido.
Primero debemos recordar que el consentimiento es una más de las bases legales que permiten el tratamiento de datos y que por tanto no siempre será necesario.
En los casos en los que es necesario porque así se deviene del propio tratamiento y la finalidad que se persigue, el consentimiento debe respetar unas condiciones:
- Explícito: Debe ser un acto inequívoco que manifiesta la voluntad de una persona.
- Libre y voluntario: Por tanto, no puede estar condicionado de ninguna manera a la prestación de un servicio. Esto se señala en el considerando 44 del RGPD.
- Revocable: Si es un acto libre y voluntario, la persona interesada debe en todo momento poder retirar su consentimiento, aunque ello no pueda revertir los efectos que desplegó hasta ese momento.
- Acción claramente afirmativa, en el marco de una declaración, y siempre que sea informada adecuadamente.
Dadas estas características es obvio que por tanto el consentimiento no podrá obtenerse:
- De forma tácita, por ejemplo, con fórmulas tipo “si no nos indica lo contrario”.
- Inferido de la inactividad del usuario o mediante fórmulas negativas como “indique si no acepta”.
- Usando casillas premarcadas ya que en tal caso no sería una acción claramente afirmativa por parte de la persona interesada.