IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Opinión >
  2. Ventana Jurídica

Opinión - Ventana Jurídica

¿Consentimiento tácito con el Reglamento Europeo de Protección de Datos?

Mar del Peso
Mar del Peso Ruiz
Licenciada en Derecho y Económicas
Especialista Universitario en Protección de Datos, CISA, ACP (APEP)
Consultora Senior
IEE - Informáticos Europeos Expertos

Las características del consentimiento, definido por el artículo 3 de la Ley Orgánica, 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), como manifestación de voluntad, libre, inequívoca, específica e informada, y más concretamente la de inequívoca, cualidad recogida a su vez por la Directiva 95/46/CE [1] en su artículo 7, llevaron a la interpretación de que no podía presumirse el consentimiento, pero arrojaron dudas durante años sobre la posibilidad de aceptar como válido un consentimiento tácito y en qué términos debía hacerse. El hecho de que un consentimiento expreso fuese requerido para el tratamiento de determinadas categorías de datos avalaba la posibilidad de que otro tipo de consentimiento fuese posible para el tratamiento del resto.

El consentimiento tácito en España en materia de protección de datos se consolidó con el artículo 14 del Real Decreto 1720/2007, de 21 de diciembre (RDLOPD), por el que se aprueba el Reglamento de desarrollo de la LOPD. Actualmente, es necesario cumplir con una serie de requisitos para que se pueda entender que el interesado ha consentido tácitamente un determinado tratamiento:

  • 1. Debe haber sido informado en los términos del artículo 5 de la LOPD.
  • 2. Se le debe haber concedido un plazo de treinta días para manifestar su negativa al tratamiento.
  • 3. Se le debe haber advertido de que en caso de no pronunciarse a este respecto se entenderá que consiente el tratamiento.

Además, se añaden una serie de requisitos sobre el envío de la comunicación y su efectiva recepción por el interesado; también sobre la forma en que el interesado puede manifestar su negativa. Por último, se establece un plazo temporal de un año desde la solicitud en el que el responsable del fichero no puede volver a utilizar este método para obtener un consentimiento para el mismo tratamiento y equivalentes finalidades.

Este tipo de consentimiento parece que tiene los días contados. Durante el periodo que transcurra hasta que sea de aplicación el Reglamento General Europeo de Protección de Datos (RGPD) se podría utilizar para tratamientos puntuales, ya que cualquier tratamiento a largo plazo que esté legitimado por un consentimiento tácito recogido en los términos anteriormente mencionados deberá de ser renovado con un nuevo consentimiento a partir del 25 de mayo de 2018, que se ajuste a las condiciones del RGPD, tal y como indica el considerando 171 de dicha norma y ha informado la Agencia Española de Protección de Datos (AEPD) en distintas notas de prensa, como la emitida el pasado 29 de junio.

El consentimiento tácito no será válido a partir de la aplicación del RGPD porque lo dice el considerando 32, «Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento». Las casillas ya marcadas no son válidas con la regulación actual, pero sí pueden serlo el silencio o la inacción siempre que se respeten las pautas anteriormente indicadas.

La definición de consentimiento en el artículo 4.11 del RGPD no es tan contundente. Vuelve a mencionar las características ya conocidas del consentimiento para indicar que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos. Es ese ya sea el que ha llevado a interpretar que únicamente puede entenderse válido el consentimiento cuando se basa en una declaración o una clara acción afirmativa. Si está tan claro que no es posible utilizar otros medios, ¿no habría sido mejor utilizar algún término como necesariamente? La expresión ya sea podría interpretarse en el sentido de que no admite otra posibilidad, pero también en el de que puede admitir otras incluyendo a continuación algunos ejemplos válidos de consentimiento, sin perjuicio de que pueda haber otros. Para solventar estas dudas recurrimos a los considerandos.

Es el considerando 32 el que indica expresamente que el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. En este caso también utiliza una expresión confusa, puesto que dice «no deben» y no algo más contundente como «en ningún caso constituyen» o simplemente «no constituyen», pero vamos a pasar esto por alto y quedarnos con la idea comúnmente aceptada de que, basándonos en esto, no es posible el consentimiento tácito.

¿Qué se ha querido indicar entonces en el considerando 50 donde se intenta aclarar cuáles son los requisitos necesarios para proceder al tratamiento ulterior de los datos? El tratamiento ulterior no está definido como tal en la norma y ulterior es una palabra repetidamente utilizada a lo largo del texto, pero cuando se habla del tratamiento, y relacionado con la información y el consentimiento, tiene unos matices determinados. Ulterior, según el Diccionario de la lengua española, es algo «que se dice, sucede o se ejecuta después de otra cosa»; podemos pensar, por tanto, en un tratamiento que se realiza con posterioridad a otro inicial. Sin embargo, la regulación de este tipo de tratamientos solo tiene sentido si se realizan con fines que no estaban proyectados en el momento de la recogida de datos, ya que si en el momento de recoger los datos el responsable del fichero tiene previstos distintos tipos de tratamiento, sean o no compatibles, tendrá que informar y en su caso pedir el consentimiento del interesado para cada uno de ellos. Por tanto, un tratamiento ulterior a priori es desconocido en el momento de la recogida de los datos.

Si los fines de ese tratamiento ulterior son compatibles con aquellos que determinaron la recogida de los datos, en determinadas circunstancias, no es necesario buscar una base jurídica distinta que legitime el nuevo tratamiento y bastaría con informar al interesado sobre el mismo. Pero dice el considerando 50, en su segundo párrafo, que si el interesado dio su consentimiento, el responsable debe estar facultado para el tratamiento ulterior de los datos personales con independencia de la compatibilidad de los fines, garantizando en particular la información al interesado sobre estos otros fines y sobre sus derechos, incluido el derecho de oposición.

Es decir, el interesado consiente el tratamiento de sus datos con unos fines, posteriormente, el responsable del tratamiento decide tratar dichos datos con otros fines compatibles o incompatibles con los iniciales y, en ese caso, el considerando 50 dice que puede hacerlo siempre que se garantice el cumplimiento de los principios del RGPD, en particular, se informe al interesado y se le permita oponerse...; si no se menciona el consentimiento como una de las obligaciones a tener «particularmente» en cuenta, podría pensarse que la más importante, y sí la oposición ¿no nos encontraríamos ante un caso de consentimiento tácito?

¿Realmente eso es lo que quiere decir el artículo 6.4 cuando excluye de los requisitos que se deben observar para considerar unos fines compatibles con otros aquellos casos en los que el tratamiento con los fines iniciales tiene su base en el consentimiento? Parece que la forma de interpretarlo sería que si la base jurídica inicial es el consentimiento, da igual que el tratamiento ulterior sea compatible o incompatible, ya que requerirá un nuevo consentimiento u otra base jurídica, sin embargo, al vincular el consentimiento con la salvaguarda de los objetivos indicados en el artículo 23 [2] en que el sentido es el contrario, la forma en que está redactado el considerando 50 resulta confusa.

Y finalmente, la norma reserva el consentimiento explícito para determinados tipos de tratamiento, como aquel que se refiere a categorías especiales de datos; el necesario para que un interesado sea objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles; o el que se requiere para realizar una transferencia internacional de datos. Se mantiene, por tanto, la distinción entre un consentimiento explícito y el resto de consentimientos que siendo inequívocos podrían caber en ese ya sea otra cosa... ¿qué tipo de consentimiento podría ser?

[1] DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos.

[2] La seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención; otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social; la protección de la independencia judicial y de los procedimientos judiciales; la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas; una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g); la protección del interesado o de los derechos y libertades de otros; la ejecución de demandas civiles.