Obtener el consentimiento del usuario al solicitar datos personales
El consentimiento debe darse mediante una acción afirmativa clara que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado y debe otorgarse para todas las actividades de tratamiento realizadas. Cuando el tratamiento tenga varias finalidades, el consentimiento debe darse por cada una de ellas. Si debe darse a raíz de una solicitud por medios electrónicos, esta debe ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
Este consentimiento expreso puede trasladarse a un formulario web a través de la implementación de unas casillas de verificación que estén desmarcadas por defecto, esto es vital, para poder demostrar esta voluntad por parte de la persona para tratar sus datos personales.
Las casillas de pre-marca, el silencio y la inacción del interesado no constituyen un tratamiento lícito de datos, por lo que estas fórmulas no deben utilizarse.
Hemos hablado en el apartado anterior de fines específicos, es decir, cuando alguien proporciona sus datos es necesario detallar de forma clara, inequívoca y transparente cuáles serán las condiciones de tratamiento de los datos.
Al ser un consentimiento explícito ligado a una finalidad específica es necesario demostrar que se ha recogido siguiendo estos preceptos y la carga probatoria recae sobre la organización que recibe y trata estos datos.
Un ejemplo de cómo poder demostrar que nos han autorizado es que cada alta genere un e-mail de respuesta automática con los datos de la persona solicitada, su IP, acepto, fecha, hora exacta y navegador que utilizó. Este e-mail debe guardarse como justificante en caso de conflicto con el usuario.
Primera capa de información básica
Con los requisitos y principios introducidos por el RGPD, respecto a la obligación de informar, la simple remisión a la política de privacidad desde los formularios web ya no es suficiente para cumplir con estas obligaciones.
Las Autoridades de Protección de Datos de la Unión Europea, recomiendan utilizar un modelo de información por capas, presentando una primera capa, con una información básica sobre protección de datos y remitir desde esta, más sencilla e inmediata, a una segunda capa con la información restante.
En la Guía para el Cumplimiento del Deber de Informar, de la AEPD establece que esta primera capa informativa debe reunir los siguientes requisitos:
– La información debe ponerse a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.
– Esta obligación debe cumplirse sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.
– Debe estar claramente identificada con un título tal como “Información básica sobre protección de datos”.
– El responsable del tratamiento debe garantizar que esta información quede “dentro del campo de visión” del interesado.
– Los interesados deben recibir una copia donde se incluya esta información básica.
La LOPDGDD en su artículo 72 tipifica como INFRACCIÓN MUY GRAVE la omisión del deber de informar al afectado sobre el tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/ 679 (RGPD).