El nuevo consentimiento del RGPD (II)
En la entrada anterior hablábamos del cambio en el consentimiento tras la llegada del Reglamento General de Protección de Datos 679/2016. Tras lo expuesto, se nos plantean diversas cuestiones:
¿Qué tipos de consentimiento se admiten?
Una declaración por escrito, la marcación de casilla o la selección de parámetros se consideran válidos. En el lado contrario, se establece que el consentimiento tácito (por omisión o inacción), permitido hasta la llegada del RGPD, no sea válido, como tampoco lo sean las casillas ya marcadas o la inacción. Hasta ahora, estaban permitidos el consentimiento tácito, el consentimiento tácito verbal y el consentimiento expreso.
Ahora bien, ¿qué pasa con el consentimiento obtenido antes de la entrada en vigor del Reglamento? ¿es válido?
Depende. Si el consentimiento se obtuvo respetando las características antes expuestas, de forma expresa y mediante una clara acción o afirmación positiva, se entiende perfectamente válido; en caso contrario, se tiene que volver a obtener.
¿Y con el consentimiento de los menores de edad?
Cuando el consentimiento sea en relación a los servicios de la sociedad de la información, se considerará lícito cuando tenga al menos 16 años, o si el consentimiento lo dio o autorizó el titular de la patria potestad.
Por otro lado, se establece que cada Estado Miembro de la UE podrá establecer por ley una edad inferior para tales fines, siempre que no sea inferior a 13 años. En España se considerará lícito el consentimiento cuando tenga, al menos, 14 años.
¿Debe obtenerse el consentimiento siempre y en todos los casos?
No. Existen supuestos en los que no se ha de recabar el consentimiento, ya que el tratamiento tiene otro criterio legitimador, como pueden ser:
-Cuando lo prevea expresamente una ley.
-Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
-Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados (a criterio de la AEPD o del organismo autonómico equivalente)
-Cuando los datos procedan de fuentes accesibles al público.
-Cuando el tratamiento de datos personales sea el de proteger un interés vital de la persona.
Una vez prestado el consentimiento, ¿se puede revocar?
Sí. El responsable del tratamiento ha de facilitar un canal a través del cual se pueda revocar el consentimiento de una forma rápida, sencilla y gratuita.