COMPLY.ORG

Un debate abierto sobre el cumplimiento de ePrivacy y RGPD

Fundamentos jurídicos

Textos legales

EU: Artículo 5.3 de la Directiva "ePrivacy"*

Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE (el RGPD).

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

*Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, modificada por la Directiva 2009/136/CE.

España: Artículo 22.2 de la LSSI**

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (el RGPD).

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

**Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico, modificada por el Real Decreto-ley 13/2012.

Reglamento General de Protección de Datos (definición y requisitos del consentimiento desde el 25 de mayo de 2018)

Artículo 4.11

"consentimiento del interesado": toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

Artículo 7

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Considerando 32

  • El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
  • Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.
  • Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.
  • El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.
  • Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Directrices oficiales

Directrices del Comité Europeo de Protección de Datos sobre el consentimiento, revisadas por última vez y adoptadas el 10 de abril de 2018 (extracto)

Sobre los requerimientos de una manifestación de voluntad libre

Disociación de los fines del tratamiento de datos ("granularidad")

[...] Si el responsable del tratamiento ha combinado varios fines para el tratamiento y no ha intentado obtener el consentimiento para cada fin por separado, no puede considerarse que haya libertad.

En la misma solicitud de consentimiento un minorista pide a sus clientes el consentimiento para utilizar sus datos para enviarles publicidad por correo electrónico y para compartir sus datos con otras empresas de su grupo. Este consentimiento no es granular ya que no es posible consentir por separado a estos dos fines distintos y, por tanto, el consentimiento no será válido. En este caso, debería obtenerse un consentimiento específico para enviar los datos de contacto a socios comerciales. Dicho consentimiento específico se considerará válido para cada socio cuya identidad se haya facilitado al interesado en el momento de la obtención de su consentimiento y en la medida en que se envíe para el mismo fin (en este ejemplo, un fin comercial).

No perjuicio

[...] Si el responsable del tratamiento puede demostrar que un servicio incluye la posibilidad de retirar el consentimiento sin que se produzca ninguna consecuencia negativa, por ejemplo, sin que disminuya el nivel en la prestación del servicio en detrimento del usuario, ello bastará para probar que el consentimiento se prestó libremente.

Cuando se descarga una aplicación de estilo de vida para teléfono móvil, la aplicación pide el consentimiento para acceder al acelerómetro del teléfono. Esto no es necesario para que la aplicación funcione, pero resulta útil para el responsable del tratamiento que desee saber más sobre los movimientos y niveles de actividad de sus usuarios. Cuando posteriormente el usuario retira su consentimiento, descubre que la aplicación solo funciona de forma limitada. Este es un ejemplo de perjuicio en el sentido del considerando 42, es decir, que el consentimiento no se obtuvo de manera válida (y, por tanto, el responsable del tratamiento debe eliminar todos los datos personales sobre los movimientos del usuario que se recogieron de esa manera).

Sobre una manifestación de voluntad informada

[...] Con el fin de ajustarse a pantallas pequeñas o a situaciones en las que haya poco espacio para la información, puede considerarse, si procede, facilitar la información en niveles, para evitar perturbar en exceso la experiencia del usuario o el diseño del producto.

Sobre el consentimiento como manifestación de voluntad inequívoca

El RGPD establece claramente que el consentimiento requiere una declaración del interesado o una clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción o declaración. Debe resultar evidente que el interesado ha dado su consentimiento a una operación concreta de tratamiento de datos.

[...] La aceptación global de los términos y condiciones generales no puede considerarse una clara acción afirmativa destinada a dar el consentimiento al uso de datos personales. El RGPD no permite que los responsables del tratamiento ofrezcan casillas marcadas previamente o mecanismos de exclusión voluntaria que requieran la intervención del interesado para evitar el acuerdo [...].

[...] No obstante, en el marco de los requisitos del RGPD, los responsables del tratamiento tienen libertad para crear un flujo de consentimiento que convenga a su organización. A este respecto, los movimientos físicos pueden considerarse como una acción afirmativa clara con arreglo al RGPD.

[...] Por lo tanto, continuar simplemente con el uso normal de un sitio web no es una conducta de la que pueda inferirse una indicación de que el interesado desee manifestar su acuerdo con respecto a una operación de tratamiento propuesta.

Arrastrar una barra en una pantalla, saludar con la mano ante una cámara inteligente, hacer girar un teléfono inteligente en el sentido de las agujas del reloj o moverlo haciendo la forma de un ocho pueden ser opciones para indicar el acuerdo, siempre que se facilite información clara y esté claro que el movimiento en cuestión significa dar el consentimiento a una solicitud concreta (por ejemplo, si mueve esta barra hacia la izquierda, estará de acuerdo con el uso de la información X para el fin Y. Repita el movimiento para confirmarlo). El responsable debe ser capaz de demostrar que el consentimiento se obtuvo de este modo y los interesados deben poder retirar su consentimiento de una manera tan sencilla como lo prestaron.

Desplazarse hacia abajo o navegar por un sitio web no satisface el requisito de una clara acción afirmativa. Ya que la advertencia de que seguir moviéndose por un sitio web constituye una manifestación del consentimiento puede ser difícil de distinguir o un interesado puede pasarlo por alto cuando se mueve a gran velocidad por un texto extenso, y dicha acción no es lo suficientemente inequívoca.

[...] En cualquier caso, el consentimiento siempre debe obtenerse antes de que el responsable del tratamiento comience a tratar datos personales para los que se requiere consentimiento. El GT29 ha mantenido en dictámenes anteriores que el consentimiento debe darse antes de que comience la actividad de tratamiento. Aunque el RGPD no prescribe textualmente en el artículo 4, apartado 11, que el consentimiento deba darse antes de que comience la actividad de tratamiento, este punto está claramente implícito. El encabezamiento del artículo 6, apartado 1, y el término "dio" que aparece en el artículo 6, apartado 1, letra a), corroboran esta interpretación.

[Texto completo de las Directrices CEPD sobre el consentimiento]

Condiciones de la CNIL* para utilizar cookies de medición de audiencias sin la obtención de consentimiento

Para estar exentos de la obtención del consentimiento, las herramientas de medición de audiencia deben cumplir las siguientes condiciones:

  • El editor del sitio debe proporcionar información clara y completa;
  • Un mecanismo de oposición debe ser accesible y debe poder utilizarse en todos los navegadores y en todos los tipos de terminales (incluidos teléfonos inteligentes y tabletas).
  • Los datos recopilados no deben verificarse con otros tratamientos (archivos de clientes o estadísticas de otros sitios, por ejemplo).
  • La cookie depositada solo debe utilizarse para la producción de estadísticas anónimas;
  • La cookie no debe permitir seguir la navegación del internauta en otros sitios.
  • La dirección IP utilizada para etiquetar geográficamente al usuario no debe ser más precisa que la escala de la ciudad. En términos concretos, los dos últimos octetos de la dirección IP deben ser eliminados.
  • Las cookies que permiten la trazabilidad de los usuarios de Internet y las direcciones IP no deben mantenerse más de 13 meses desde la primera visita;
  • Los datos brutos de audiencia vinculados a un identificador tampoco deben conservarse durante más de 13 meses.

*Autoridad Supervisora francesa (Commission nationale de l'informatique et des libertés). Texto original: https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience