José Leandro Núñez García: Consentimiento… ¿explícito?
Día Europeo de Protección de Datos 2016
Monográfico de la Asociación Profesional Española de Privacidad
+
+
José Leandro Núñez García
Socio Audens
El largo proceso que va a llevar, con casi total probabilidad, a la aprobación del nuevo Reglamento europeo de protección de datos, además de servir de práctico recordatorio del complejo procedimiento legislativo de la Unión, ha dado lugar al replanteamiento de algunos de los elementos básicos que, hasta ahora, definían este derecho fundamental. Terminados los trílogos, el texto aprobado por la comisión LIBE el pasado 17 de diciembre refleja los acuerdos alcanzados tras las negociaciones interinstitucionales. Uno de los aspectos en torno a los que giraron las discusiones fue, precisamente, la definición de consentimiento: uno de los pilares del sistema. ¡Ahí es nada!
Los que hayan leído la propuesta inicial de la Comisión recordarán que añadía un nuevo elemento a los que tradicionalmente conformaban este concepto. La definición rezaba como sigue:
“«consentimiento del interesado»: toda manifestación de voluntad, libre, específica, informada y explícita [la negrita es mía] mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen;”
La inclusión de la palabra “explícita” en la definición, hasta entonces reservada para el tratamiento de las “categorías especiales de datos” (los mal llamados “datos sensibles”), suponía toda una declaración de intenciones, reforzada por los múltiples pronunciamientos de la comisaria Viviane Reding en los que invitaba a no interpretar el silencio del afectado como una manifestación de consentimiento. Las alarmas saltaron, especialmente, en el entorno online; máxime porque el documento recogía, pocos párrafos más adelante, que el consentimiento no sería considerado una base jurídica válida de existir “un desequilibro claro entre la posición del interesado y el responsable del tratamiento”.
La postura del Consejo, manifestada en su orientación general aprobada el 15 de junio, dio buena muestra de que los Estados miembros no estaban dispuestos a reabrir un debate que ya se vivió en los primeros años 90, durante la aprobación de la Directiva 95/46/CE. Por aquel entonces, la Comisión ya pretendía que el consentimiento fuese otorgado siempre de forma expresa, pero las presiones del Consejo dieron su fruto y la expresión desapareció del texto finalmente aprobado. En el contexto actual, la reacción de los gobiernos ha sido exactamente la misma: tanto la palabra “explícita” como la cuestión del desequilibrio fueron despachadas con la tecla de borrado, y con un clarificador párrafo en la exposición de motivos del documento:
“Se debe dar el consentimiento de forma inequívoca por cualquier medio apropiado que permita la manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración escrita, también electrónica, oral o, cuando lo exijan las circunstancias, cualquier otra acción afirmativa clara del interesado que manifieste su aprobación del tratamiento de datos de carácter personal que le afecten. Entre otros medios podría recurrirse a la selección de una casilla de un sitio web en Internet o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales (…)”.
En el III Congreso Nacional de Privacidad, organizado por APEP el pasado mes de junio, Karolina Mojzesowicz (representante de la Comisión) nos adelantaba que el tema del consentimiento iba a ser uno de los seis grandes puntos de divergencia durante los trílogos… y, como cabía esperar, el Consejo se salió nuevamente con la suya. El texto pactado sustituye la palabra “explícita” por otra expresión de honda raigambre en el mundo del dato: “inequívoca”, ya incluida en el artículo 7.a) de la Directiva y en el 3.h) de la LOPD. Y en cuanto al asunto del desequilibrio, opta por trasladarlo a un simple considerando: en aquellos casos concretos en los que el claro desequilibrio entre las partes indique que el consentimiento no ha sido otorgado libremente, no debería (nótese el condicional) aceptarse como base de legitimación para el tratamiento. En su lugar incluye un párrafo mucho menos agresivo, que traducido al castellano quedaría, más o menos, así:
“Para evaluar si el consentimiento es otorgado libremente, se tendrá muy en cuenta el hecho de si, entre otros, se condiciona la ejecución de un contrato, incluyendo la prestación de un servicio, al consentimiento para el tratamiento de datos que no sean necesarios para la ejecución de dicho contrato.”
Una redacción que, por otra parte, recuerda al régimen previsto en el artículo 15 del Reglamento de la LOPD, dedicado a la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma. Les suena, ¿verdad?
Concluyendo, el hecho de que la definición de consentimiento no sufra grandes variaciones con respecto a la regulación anterior ha debido, sin duda, de tranquilizar a muchas empresas. Sin embargo, otros aspectos relacionados con su validez y prueba, que sí se recogerán en la nueva normativa, pueden igualmente quitar el sueño a más de uno. En otra ocasión, y gozando de más espacio, esperamos poder abordarlos. A poder ser. con el nuevo Reglamento ya publicado.
+
José Leandro Núñez García
Socio, Audens
+
+
Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.