Volver

Directrices 5/2020 sobre el consentimiento en el marco RGPD y en qué va a afectar a las Cookies.

Publicaciones
13-may-20

El 4 de mayo, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) publicó sus Directrices sobre el consentimiento, afectando a la última “Guía sobre el uso de las cookies” publicada por la Agencia Española de Protección de Datos (AEPD) en noviembre del año pasado. Estas directrices buscan aportar claridad a la confusión generada sobre este concepto.

El Comité insiste en la definición de consentimiento, recordando que se trata de “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El consentimiento debe ser, por tanto, una decisión reversible y que el interesado pueda tener un grado de control sobre el mismo.

Existen ciertos elementos en el Reglamento Europeo de Protección de Datos (RGPD) que deben tenerse en cuenta:

  • Consentimiento libre / prestado de forma libre: si el interesado no tiene un poder de decisión, se siente obligado a consentir o soporta consecuencias negativas en caso de no prestarlo, el consentimiento no será válido. Igualmente, no será prestado libremente si el interesado es incapaz de rechazar o retirar su consentimiento. Esto implica que cualquier elemento de presión o influencia inapropiada sobre el interesado, hará que el consentimiento no sea válido.
  • Desequilibrio de poder: el consentimiento será prestado de forma válida si el interesado es capaz de ejercer una elección real, en la que no haya riesgo de engaño, intimidación, coacción o aplicación de consecuencias negativas en caso de que no lo preste.
  • Condicionalidad: el tratamiento de los datos personales para los cuales el consentimiento que se busca no puede convertirse directa o indirectamente en la contraprestación de un contrato.
  • Granularidad: los interesados deben tener la libertad de elegir qué finalidad que aceptan, en lugar de tener que consentir un paquete de finalidades de tratamiento. En este sentido, el Considerando 43 del RGPD aclara que se presume que el consentimiento no se da de forma libre si el proceso para obtenerlo no permite a los interesados dar su consentimiento por separado. A su vez, el considerando 32 establece que el consentimiento debe abarcar todas las actividades de tratamiento realizadas con la misma finalidad. Si el consentimiento se tiene que dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
  • Perjuicio para el interesado: el Responsable del Tratamiento debe demostrar que es posible denegar o retirar el consentimiento sin perjuicio alguno, que no conlleve coste alguno para el interesado y que no suponga una clara desventaja al retirarlo.
  • Específico: el consentimiento debe darse en relación con “uno o más fines específicos” y pueda elegir en relación con cada uno de ellos. Esto tiene como finalidad el garantizar un mayor grado de control al usuario y transparencia.
  • Informado: para que el consentimiento sea informado, se debe aportar la siguiente información:
  • La identidad del Responsable del Tratamiento.
  • La finalidad de cada uno de los tratamientos para los que se solicita el consentimiento.
  • Qué datos se recogen y se utilizarán.
  • La existencia del derecho a retirar el consentimiento.
  • Información sobre la utilización de los datos para la adopción de decisiones automatizadas cuando proceda.
  • Riesgos sobre los posibles riesgos de las transferencias internacionales de datos y las garantías de seguridad ofrecidas para dichas transferencias.
  • Obtener consentimiento explícito: el consentimiento debe ser una “declaración o una clara acción afirmativa”. Esto significa que el interesado debe dar una declaración expresa de consentimiento. Es importante destacar el hecho de que el artículo 7.1 del RGPD indica que el Responsable del tratamiento tiene la obligación de demostrar el consentimiento que ha prestado el interesado (la carga de la prueba recae sobre el responsable). El consentimiento debe darse antes de realizar el tratamiento.
  • Retirar el consentimiento: el Responsable del tratamiento debe velar por que el interesado pueda retirar su consentimiento con la misma facilidad con lo que lo da y debe poder hacerlo en cualquier momento.

¿En qué afecta a las Cookies?

En el contexto digital, muchos servicios necesitan datos personales para funcionar, por lo que los interesados reciben múltiples solicitudes de consentimiento que requieren respuestas mediante clicks y movimientos de ratón todos los días, lo que hace que el efecto de advertencia real de los mecanismos de consentimiento disminuye.

El Comité señala que “para que el consentimiento se otorgue libremente, el acceso a los servicios no debe condicionarse al consentimiento del usuario para almacenar información, o acceder a información ya almacenada, en el terminal del usuario”. Esta situación podemos encontrarla en las denominadas “Cookie walls” que son ventanas que bloquean el contenido del sitio web al que se intenta acceder y que no desaparecen hasta que el usuario no marca “Aceptar”. En este caso, el consentimiento no sería válido puesto que no se da libremente.

Además, en tal caso, será difícil proporcionar al usuario una forma de retirar el consentimiento de una manera que sea tan fácil como otorgarlo.

Hacer “scroll” o la modalidad de “seguir navegando” por la web no serán considerados como una clara acción afirmativa. Este punto choca frontalmente con los argumentos esgrimidos por la AEPD en su “Guía sobre el uso de cookies” en los que argumentaba que “determinados movimientos del ratón o la pulsación de teclas concretas, previa información al usuario, también pueden considerarse acciones afirmativas válidas para la obtención del consentimiento”

El Comité aclara, sobre la base del considerando 32 del RGPD que, “acciones tales como el desplazamiento o la navegación por una página web o una actividad similar de los usuarios no satisfarán en ninguna circunstancia el requisito de una acción afirmativa clara: esas acciones pueden ser difíciles de distinguir de otra actividad o interacción de un usuario y, por lo tanto, tampoco será posible determinar que se ha obtenido un consentimiento inequívoco.”

Conclusiones

El Comité Europeo de Protección de Datos es el organismo que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea. Con la publicación de estas Directrices se clarifica la interpretación de qué se entiende por consentimiento, qué requisitos deben cumplirse para que sea considerado válido y acorde al RGPD, así como dar claridad a las interpretaciones que las Autoridades de Control europeas en materia de protección de datos han realizado al respecto.

La última Guía de Cookies publicada por la AEPD contradice lo expuesto por las Directrices en lo referente a la modalidad de “seguir navegando” o hacer “scroll” por la web en cuanto a formas válidas de obtener dicho consentimiento, por lo que, en ese sentido, se espera a que la AEPD se pronuncie a este respecto.

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más