Edades de la UE para el consentimiento en línea

GDPR: Consentimiento como fundamento legal para el procesamiento de datos personales

Para procesar datos personales, debe tener bases legales para el procesamiento, según lo dispuesto en el Reglamento general de protección de datos ( GDPR ). Es probable que el consentimiento sea el motivo apropiado en el que desea ofrecer una opción real a las personas, por ejemplo, si desean recibir sus correos electrónicos de marketing.

Mucha gente piensa que GDPR tiene que ver con el consentimiento, pero eso no es cierto: el consentimiento es solo uno de los seis posibles motivos legales para procesar datos personales.

Considere detenidamente el consentimiento como base legal para el procesamiento:

  • El consentimiento siempre se puede retirar, por lo que si necesita los datos para los fines indicados, siempre es aconsejable basarse en otros motivos legales para el procesamiento cuando sea posible.

O en otras palabras, si el sujeto de los datos retira su consentimiento y usted intentará continuar procesando los datos bajo un fundamento legal diferente, el consentimiento no es el fundamento apropiado para el procesamiento.

  • Si la relación tiene un desequilibrio de poder (como durante el empleo o durante el procesamiento por parte de una autoridad pública), es difícil demostrar que el consentimiento se otorga libremente (uno de los elementos de un consentimiento válido).
  • El consentimiento otorga a los interesados ​​derechos más sólidos en relación con sus datos que otros motivos para el procesamiento, por ejemplo, el derecho a la supresión y el derecho a la portabilidad de los datos.

Un consentimiento válido tiene varios elementos. El consentimiento debe ser

  • Dado libremente
  • Específico
  • Informado
  • Una indicación inequívoca de deseos.

Consentimiento dado libremente

Entregado libremente significa que el interesado es libre de elegir si da su consentimiento, sin ningún perjuicio, y tiene una elección y control genuinos sobre los datos personales que proporciona.

Es posible incentivar el consentimiento. Si ofrece vales de descuento / descuento por suscribirse a una lista de marketing por correo electrónico, por ejemplo, este consentimiento seguirá siendo válido. No obstante, si el interesado sufre un perjuicio o es sancionado injustamente por no prestar su consentimiento, los consentimientos obtenidos no son válidos. Un ejemplo de perjuicio es cobrar precios más altos por un servicio si el interesado se niega a dar su consentimiento para que sus datos se compartan con terceros.

Si los consentimientos se agrupan para que un interesado solo pueda dar su consentimiento para todo el procesamiento, este consentimiento no es válido porque el consentimiento no se ha otorgado libremente; tal vez el interesado quería registrarse para un tipo de procesamiento pero se vio obligado para inscribirse en otro también, porque los consentimientos estaban agrupados. El consentimiento debe ser granular, como se muestra en la siguiente figura.

Requisito de consentimiento de GDPR
Un ejemplo de consentimiento granular para diferentes tipos de procesamiento y propósitos, del sitio web de Guardian UK.

Debe ofrecer consentimientos separados para uno de estos:

  • Diferentes tipos de procesamiento: por ejemplo, para ser contactado por correo electrónico, teléfono o correo postal
  • Diferentes propósitos: por ejemplo, enviar marketing por correo electrónico y compartir detalles con terceros

Tenga en cuenta que el formulario de preferencias de la figura requiere el consentimiento de aceptación para las actualizaciones por SMS (texto), pero el consentimiento de exclusión para las comunicaciones por correo postal o por teléfono. Esto se debe a que la Directiva de privacidad electrónica (implementada en el Reino Unido como Regulaciones de privacidad y comunicaciones electrónicas, conocida como PECR) requiere consentimiento para el marketing de texto (entre otros marketing electrónico) pero no para el marketing postal o telefónico. Por lo tanto, esta organización se basa en el consentimiento (que debe ser del tipo opt-in para ser válido según el GDPR) para el marketing de texto y en los motivos de intereses legítimos para el procesamiento para enviar marketing postal y telefónico; esto cumple con el GDPR. Si confía en los motivos de intereses legítimos para el procesamiento, debe proporcionar la capacidad a los interesados ​​de optar por no participar en cualquier momento, y eso es lo que está haciendo esta página web.

La Directiva de privacidad electrónica (implementada en los estados miembros de la UE a través de su legislación nacional) requiere el consentimiento para ciertas comunicaciones electrónicas de marketing directo. Si la legislación nacional relevante (como el PECR en el Reino Unido) requiere consentimiento, entonces el GDPR también requerirá consentimiento para dicho procesamiento.

Si el consentimiento para el procesamiento de datos personales es una condición del servicio y el proveedor del servicio no prestará el servicio sin el consentimiento para el procesamiento, entonces el consentimiento no se otorga libremente. Sin embargo, si los datos son necesarios para cumplir con el servicio (por ejemplo, pasar el nombre y la dirección de un cliente a una empresa de entrega), la base legal apropiada para el procesamiento sería la necesidad contractual y no se requeriría el consentimiento.

Es difícil para los empleadores demostrar que el consentimiento de los empleados se ha otorgado libremente, debido al desequilibrio de poder en la relación laboral. Como tal, los empleadores deben considerar otros motivos de procesamiento legal de datos clave de los empleados y depender del consentimiento solo para el procesamiento de dichos datos personales como respuestas a encuestas, concursos o asuntos similares. Además, siempre se puede retirar el consentimiento, por lo que si necesita conservar ciertos datos clave de los empleados, no es aconsejable confiar en el consentimiento como base legal para el procesamiento.

Consentimiento específico

El consentimiento debe darse para un propósito específico, como el envío de correos electrónicos de marketing. De acuerdo con el principio de transparencia, debe aclarar para qué se utilizan los datos personales y debe ser lo más específico posible. Si está procesando datos personales para múltiples propósitos, debe obtener el consentimiento para cada propósito.

LEER  Cómo utilizar la alfombrilla de ratón para portátil

La especificidad a menudo es problemática porque es posible que no sepa para qué desea utilizar los datos en una fecha posterior después de haberlos recopilado. El RGPD prevé el procesamiento con fines compatibles. Sin embargo, si su base legal para el procesamiento es el consentimiento, incluso si el nuevo propósito es compatible, para cumplir con los principios de equidad y legalidad, debe obtener un nuevo consentimiento para el nuevo propósito.

Una excepción a esta regla se relaciona con el procesamiento con fines de investigación científica. El GDPR establece que, cuando no sea posible identificar completamente el propósito del procesamiento de datos para fines de investigación científica, los interesados ​​pueden legalmente dar su consentimiento a ciertas áreas de investigación científica de acuerdo con los estándares éticos reconocidos para la investigación científica.

El propósito especificado debe establecerse en su Aviso de privacidad, así como en cualquier registro de procesamiento que pueda estar obligado a mantener en virtud del Artículo 30 del GDPR.

Debe revisar periódicamente su procesamiento teniendo en cuenta su propósito declarado y, si nota algún “cambio de propósito”, obtenga un nuevo consentimiento si los nuevos propósitos no son compatibles con los propósitos originales. Tenga en cuenta que el consentimiento debe obtenerse antes del comienzo del procesamiento para el nuevo propósito.

Consentimiento informado

Debe proporcionar al interesado toda la información necesaria sobre el procesamiento en el momento en que la persona brinda su consentimiento. El lugar para esta información está en su Aviso de Privacidad. Esto debe estar en una forma y en un idioma que sean fáciles de entender. El lenguaje que pueda confundir (como los dobles negativos y la terminología inconsistente) invalidará los consentimientos.

El considerando 32 del RGPD deja en claro que si se va a dar un consentimiento por medios electrónicos, como marcar una casilla en un formulario en línea, la solicitud de consentimiento debe ser clara, concisa y no perturbar innecesariamente la experiencia del usuario. Supongamos que aparece un Aviso de privacidad extenso y confuso que bloquea el contenido hasta que el usuario del sitio web hace clic para hacerlo desaparecer. Tener que hacer clic en el aviso es perjudicial para la experiencia del usuario y no cumple con esta disposición.

Una mejor estrategia aquí es utilizar un Aviso de privacidad en capas como el que se muestra en la siguiente figura.

Aviso de Privacidad
Así es como British Airways presenta su Aviso de privacidad.

Siempre que sea posible, debe combinar este tipo de aviso con un aviso justo a tiempo, una nota en una página web que aparece en el punto donde el interesado ingresa datos personales, como se muestra en la siguiente figura. (Tenga en cuenta que un aviso justo a tiempo proporciona un mensaje breve sobre cómo se utilizará la información enviada y un enlace a la Política de privacidad más larga). Es posible que sea necesario algún nivel de interrupción para obtener el consentimiento, pero puede minimizarlo ya que tanto como sea posible.

aviso justo a tiempo
Un ejemplo de un aviso justo a tiempo de la Asociación de Marketing Directo (DMA) del Reino Unido.

Para que el interesado esté informado, la persona debe conocer al menos la identidad del responsable del tratamiento y los fines del tratamiento. Si comparte los datos con terceros que se basan en ese consentimiento, también se deben nombrar las identidades de esos terceros.

No es necesario que nombre a todos los terceros a los que divulga los datos, porque muchos se basan en otros motivos legales para el procesamiento de los datos (necesidad contractual, por ejemplo). Si está compartiendo datos con un tercero con el fin de que comercialicen al interesado, el consentimiento es el motivo probable para el procesamiento. En este caso, el tercero debe figurar en el consentimiento del controlador de datos original, como debe ser en cualquier otro caso en el que el tercero se basará en ese consentimiento para procesar los datos.

Debe asegurarse de que el consentimiento esté separado de otros términos y condiciones para que no esté enterrado en mucha jerga legal.

Indicación inequívoca de deseos

Para que el consentimiento sea válido, no debe haber ninguna duda sobre los deseos del interesado. Si existe alguna duda sobre si el interesado ha dado su consentimiento, se presume que no ha dado su consentimiento.

El considerando 32 del RGPD establece que un acto claro y afirmativo puede incluir una declaración escrita, incluso por medios electrónicos o una declaración oral. Esto podría incluir que el usuario marque una casilla cuando visite un sitio web, elija la configuración técnica para los servicios en línea o actúe de una manera que indique claramente la aceptación del procesamiento (por ejemplo, pedirle a las personas que dejen sus tarjetas de presentación en un recipiente si desea recibir su newsletter).

En este contexto, un acto claro y afirmativo significa que alguien ha tomado una acción deliberada y específica para dar su consentimiento al procesamiento. Por lo tanto, las casillas previamente marcadas y las acciones de exclusión voluntaria no son formas de obtener un consentimiento válido, porque el interesado no ha tenido que tomar una acción afirmativa. Por lo tanto, esta no es una indicación inequívoca de los deseos de la persona. Es posible que simplemente no hayan visto la casilla de verificación o la oportunidad de excluirse.

LEER  Cómo migrar sus archivos de su vieja computadora portátil a su computadora portátil con Windows 10

Del mismo modo, el silencio no constituye un consentimiento efectivo. Por ejemplo, si le pide a alguien por teléfono que diga algo específico para excluirse del procesamiento de sus datos, el silencio del interesado no es un consentimiento válido, porque es posible que la persona ni siquiera esté escuchando. Para confirmar activamente el consentimiento por teléfono o en persona, el interesado debe decir ciertas palabras, como “Sí, doy mi consentimiento”. Mantener registros de este consentimiento verbal es vital.

Un elemento de consentimiento implícito puede venir con un acto positivo que deja en claro que el interesado está dando su consentimiento para el procesamiento. Por ejemplo, si pide a los asistentes a un evento que coloquen sus tarjetas de presentación en un cuenco para tener la oportunidad de ganar un premio, eso implicaría su consentimiento para participar en ese sorteo. Sin embargo, los datos no se pueden utilizar para marketing dirigido a esas personas sin su consentimiento adicional.

El consentimiento obtenido mediante coacción o coacción no constituye un consentimiento válido.

Obtenga un nuevo consentimiento

El GDPR ha introducido un estándar de consentimiento más alto que el que existía bajo las regulaciones anteriores. Si sus consentimientos existentes no cumplen con el nuevo estándar GDPR (anteriormente confiaba en casillas previamente marcadas para indicar consentimiento o no tiene registros satisfactorios de sus consentimientos, por ejemplo), debe actualizar esos consentimientos para cumplir con el estándar más alto. Ser válido.

Tenga cuidado de intentar obtener un nuevo consentimiento para las comunicaciones de marketing enviando un correo electrónico a los interesados ​​en su lista de correo; hacerlo sería procesar los datos sin una base legal válida para el procesamiento. Además, generalmente se requiere el consentimiento para las comunicaciones de marketing por correo electrónico y texto en virtud de la Directiva de privacidad electrónica.

Puede tener en su sitio web un cuadro de registro para obtener un nuevo consentimiento para las comunicaciones de marketing por correo electrónico (y utilizar varios métodos de publicidad para dirigir a las personas a él), pero, obviamente, lleva algo de tiempo obtener los consentimientos de esta manera, y las personas que han dado su consentimiento previamente pueden invariablemente “perderse”.

La Directiva sobre privacidad electrónica y el consentimiento

Se requiere el consentimiento para las comunicaciones cubiertas por la Directiva de privacidad electrónica, como para el marketing por correo electrónico y mensajes de texto dirigidos a personas. Actualmente, la Directiva de privacidad electrónica (tal como se implementa en la legislación nacional de los estados miembros de la UE) se aplica solo a las organizaciones que brindan servicios de comunicaciones electrónicas dentro de ese estado miembro, pero pronto se ampliará para tener un alcance global similar al del RGPD. Tenga en cuenta estas regulaciones cuando decida sus motivos legales para el procesamiento. Si necesita obtener el consentimiento en virtud de la Directiva de privacidad electrónica, debe cumplir con el mismo estándar de consentimiento que el GDPR.

Retirar el consentimiento

Si confía en el consentimiento como base legal para el procesamiento, debe informar a los interesados ​​de su derecho a retirar el consentimiento. El lugar para hacer esto es en su Aviso de privacidad.

También debe ofrecer a los interesados ​​formas fáciles y gratuitas de retirar el consentimiento. Es posible que desee considerar el uso de una herramienta de administración de preferencias para hacerlo, como se muestra aquí. También puede incluir un formulario en línea para retirar el consentimiento en la parte inferior de cada página de su sitio web.

herramienta de gestión de preferencias
Una herramienta de gestión de preferencias de British Airways proporciona una forma para que los interesados ​​se den de baja o se den de baja.

El RGPD establece que los interesados ​​deben poder retirar su consentimiento en cualquier momento. Podría decirse que simplemente tener una opción para cancelar la suscripción en la parte inferior de los correos electrónicos no sería suficiente, ya que un correo electrónico no está disponible para un sujeto de datos en todo momento; es posible que haya recibido uno y lo haya eliminado y, por lo tanto, no tenga un enlace para cancelar la suscripción cuando lo desee .

Tenga en cuenta los siguientes puntos al considerar cómo permitir que los interesados ​​retiren su consentimiento:

  • Retirar el consentimiento debe ser tan fácil como proporcionarlo. Si un sujeto de datos proporcionó su consentimiento al marcar una casilla en un formulario en línea, especificar en su Aviso de privacidad que tiene que llamar a un número de teléfono o incluso escribir a una dirección de correo electrónico para retirar el consentimiento no es compatible. Sin embargo, si el consentimiento se obtuvo por teléfono, es conforme con proporcionar un número de teléfono para que el interesado llame para retirar su consentimiento.
  • Un interesado no debe sufrir ningún perjuicio al retirar su consentimiento. Si el interesado sufre, el consentimiento no es válido.
  • Cuando se retira el consentimiento, debe dejar de procesar los datos de inmediato. Cuando esto no sea posible, debe detenerse lo antes posible.
  • Si un interesado retira su consentimiento, no es necesario que elimine todos sus datos. Por ejemplo, si un sujeto de datos opta por no participar en el marketing por correo electrónico (retirando efectivamente su consentimiento para procesar sus datos para enviar marketing por correo electrónico), puede mantener estos datos en una lista de supresión (de modo que tenga un registro de la opción del interesado fuera).
LEER  Cómo mantener su computadora portátil segura cuando viaja

Del mismo modo, si necesita retener datos con fines legales o de auditoría, puede hacerlo, pero en el momento de obtener el consentimiento debe ser sincero con el interesado sobre sus intenciones de continuar procesando los datos para ciertos fines. El lugar para hacer esto es, por supuesto, en su Aviso de privacidad.

  • Un tercero puede retirar el consentimiento en nombre de un interesado. Sin embargo, debe asegurarse de que el tercero tiene la autoridad para hacerlo. Esto puede causar dificultades cuando los interesados ​​utilicen herramientas de software automatizadas para cancelar la suscripción.
  • Ningún límite de tiempo establecido dicta cuánto tiempo son válidos los consentimientos. Sin embargo, debe monitorear los consentimientos y actualizarlos cuando sea necesario según el contexto, incluidas las expectativas de los interesados ​​y la frecuencia con la que los envía por correo electrónico. Por ejemplo, si no ha enviado correos electrónicos a las personas durante mucho tiempo, es posible que deba obtener nuevos consentimientos. En caso de duda, la autoridad supervisora ​​del Reino Unido, la ICO, recomienda renovar los consentimientos cada dos años. También debe considerar ponerse en contacto con los interesados ​​con regularidad (cada seis meses, por ejemplo), para recordarles su derecho a retirar el consentimiento.

Consentimiento del documento

Debe poder demostrar que se ha otorgado el consentimiento y debe mantener registros de dichos consentimientos. Si se presentan quejas o las investigaciones comienzan en el futuro, deberá presentar esta evidencia. Debe mantener registros de la siguiente información relacionada con el consentimiento:

  • Quién dio su consentimiento, como el nombre u otro identificador en línea (nombre de usuario, por ejemplo)
  • La fecha en la que se otorgó el consentimiento
  • Detalles que se proporcionaron en el momento sobre el procesamiento y los fines
  • Cómo alguien dio su consentimiento (por ejemplo, por escrito o enviando datos en un formulario de suscripción en línea para la suscripción al boletín)
  • Si la persona ha retirado el consentimiento y, de ser así, en qué fecha

Puede lograr documentar los detalles del procesamiento y los propósitos que se proporcionaron en el momento del procesamiento consultando su Aviso de Privacidad que estaba vigente en ese momento. Tome nota de cómo se modifican los Avisos de privacidad con el tiempo para saber qué versión se mostró a cada sujeto de datos. Esto puede ser tan sencillo como mantener una copia impresa de los Avisos de privacidad y escribir las fechas en la parte superior desde cuándo y hasta que entraron en vigencia.

Consentimiento de los niños para los servicios en línea

Si un niño se está inscribiendo para utilizar servicios en línea (que no sean servicios preventivos o de asesoramiento), como juegos en línea o plataformas educativas, y la base legal en la que confía para procesar sus datos es el consentimiento, entonces el consentimiento debe obtenerse de uno de los padres o tutor si el niño es menor de cierta edad. Esta lista incluye cuestiones que debe considerar al obtener el consentimiento para el uso de servicios en línea por parte de los niños:

  • La edad de consentimiento pertinente para los niños varía de un país a otro. En el Reino Unido, es 13. El mapa que se muestra en la siguiente figura muestra la edad relevante para otros países.
  • Es posible que deba tomar medidas de verificación de edad: por ejemplo, si elige confiar en el consentimiento del niño porque declara que es mayor que la edad relevante, debe verificar su edad.

Por ejemplo, si elige confiar en el consentimiento del niño porque declara que es mayor de la edad requerida para el consentimiento de los padres, es posible que deba tomar medidas adicionales para verificar su edad, no solo confíe en su palabra.

  • Es posible que deba confirmar la responsabilidad de los padres: si se proporciona el consentimiento de los padres, debe realizar esfuerzos razonables para verificar la responsabilidad de los padres sobre el niño.
  • El consentimiento de los padres no caduca automáticamente cuando el niño alcanza la edad de consentimiento: es posible que deba actualizar este consentimiento con más frecuencia.
Edades de la UE para el consentimiento en línea
Edades de consentimiento para niños en estados miembros individuales de la UE

Consentimiento de terceros

Un tercero puede dar su consentimiento en nombre de otra persona, pero debe asegurarse de que esté debidamente autorizado para hacerlo. Si un tercero da su consentimiento, el interesado aún debe estar completamente informado sobre el procesamiento y los propósitos a través de un Aviso de privacidad.

En la práctica, es probable que un tercero proporcione su consentimiento para el procesamiento de datos personales de adultos solo en circunstancias en las que el tercero tenga poder para el interesado y pueda actuar en su nombre.

Puede asumir que los adultos tienen la capacidad de dar su consentimiento, a menos que tenga alguna razón para creer lo contrario.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *