🤶 👩🏿 🤟🏿 GDPR: consentimiento para el procesamiento de datos personales 👎 📪 🚝

Esta es una traducción del manual de consentimiento oficial para el procesamiento de datos personales (Directrices sobre el consentimiento en virtud del Reglamento 2016/679 wp259rev.01) del grupo de trabajo de la Comisión Europea. El original se publica en 23 idiomas oficiales de la Unión Europea. A pesar de que el ruso no es uno de ellos, es muy común en Europa. Si su empresa presta servicios a clientes de la UE, está obligado a cumplir con el Reglamento general de protección de datos personales ( Reglamento general de protección de datos ), que entró en vigor el 25 de mayo de 2018.

El consentimiento para el procesamiento de datos personales es lo primero que encuentra su cliente. A pesar de la aparente simplicidad, la Guía ocupa 30 páginas y sigue causando dificultades: la filtración de datos personales en los sitios web de la UE oscila entre el 12% y el 41% , y las multas de los reguladores de miles a decenas de millones de euros. Las grandes empresas con un equipo de abogados e ingenieros tienen la capacidad de responder rápidamente a los cambios en el entorno empresarial, pero los empresarios individuales y las pequeñas empresas a menudo tienen que depender solo de sí mismos, asumiendo todos los riesgos.

El autor trató de transmitir las disposiciones de la Guía lo más cerca posible del original, suavizando el clero particularmente duro. La traducción está hecha de los originales en dos idiomas, no tiene fuerza legal. El autor no ofrece garantías y no es responsable de ningún reclamo, pérdida o pérdida de ganancias. Pero se alegrará de recibir comentarios razonables y mejoras en la redacción.

1. Introducción

Esta guía proporciona un análisis exhaustivo del concepto de consentimiento contenido en el Reglamento 2016/679 - Reglamento general sobre la protección de datos personales (GDPR). Hasta la fecha, el concepto de consentimiento utilizado en la Directiva de protección de datos (Directiva 95/46 / CE) y la Directiva sobre confidencialidad y comunicaciones electrónicas (Directiva 2002/58 / CE) ha evolucionado. El GDPR proporciona más aclaraciones y aclaraciones sobre los requisitos para obtener y demostrar un Consentimiento legalmente vinculante. Esta guía se centra en estos cambios y ofrece orientación práctica sobre cómo garantizar el cumplimiento del GDPR, según la Conclusión 15/2011. El deber de los controladores de datos personales es introducir innovaciones y buscar nuevas soluciones en el marco de la ley,que contribuyen a la protección de datos personales y los intereses de los interesados.

De conformidad con el artículo 6 del RGPD, el consentimiento es uno de los seis motivos para el procesamiento legítimo de datos personales. Al iniciar actividades relacionadas con el procesamiento de datos personales, el controlador siempre debe tener en cuenta la base legal para el procesamiento previsto.

Como regla general, el consentimiento puede ser una razón legítima solo si al interesado se le ofrece control y libre elección con respecto a la aceptación o rechazo de las condiciones propuestas sin consecuencias adversas. Al solicitar el consentimiento, el controlador debe evaluar si cumplirá con todos los requisitos disponibles. Consentimiento obtenido en total cumplimiento con el GDPR, es una herramienta que le da a los interesados el control sobre si sus datos personales serán procesados o no. De lo contrario, el interesado no tendrá control real, y dicho consentimiento se considera una base ilegal para el procesamiento.

Las conclusiones existentes del grupo de trabajo (WP29) sobre el Consentimiento siguen siendo relevantes siempre que sean consistentes con la nueva legislación, ya que las directrices y recomendaciones codificadas por el GDPR, así como los elementos clave del Consentimiento, permanecen sin cambios en el GDPR. Por lo tanto, en este documento, WP29 más bien extiende y complementa las conclusiones anteriores sobre aspectos específicos del Consentimiento, que se refieren al Acuerdo en la interpretación de la Directiva 95/46 / CE, y no las reemplazan.

Como se indica en la Conclusión 15/2011 sobre la definición del término Consentimiento, una propuesta para aceptar una operación de procesamiento de datos debe estar sujeta a reglas estrictas, ya que se relaciona con las libertades fundamentales de los interesados y el deseo del controlador de participar en estas operaciones, lo que sería ilegal sin el consentimiento del interesado. El papel crucial del Consentimiento se enfatiza en los Artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. Además, el Consentimiento obtenido no excluye y de ninguna manera cambia el deber del controlador de cumplir con los principios consagrados en el GDPR, especialmente en el Artículo 5, con respecto a la imparcialidad, la necesidad, la proporcionalidad y la calidad de los datos. Incluso si el procesamiento de datos personales se basa en el consentimiento del interesado, no legaliza la recopilación de datos que no se requieren para el propósito declarado del procesamiento, por lo que se vuelve injusto.

Al mismo tiempo, WP29 tiene conocimiento de la revisión de la Directiva 2002/58 / CE. El concepto de Consentimiento en el borrador de esta Directiva aún es consistente con el GDPR. Es probable que las organizaciones requieran el consentimiento para hacerlo para la mayoría de los mensajes de marketing, llamadas y métodos de seguimiento de Internet, incluido el uso de cookies, aplicaciones u otro software. En cuanto al consentimiento, el WP29 ya ha presentado sus propuestas y direcciones al legislador europeo.

Con respecto a la versión actual de la Directiva 2002/58 / CE, WP29 señala que las referencias a la Directiva derogada 95/46 / CE deben interpretarse como referencias al GDPR. Esto también se aplica a las referencias al Consentimiento en la Directiva 2002/58 / CE, ya que expira el 25 de mayo de 2018. De acuerdo con el artículo 95 del RGPD, las obligaciones en el contexto de la provisión de servicios electrónicos disponibles públicamente en redes de comunicaciones públicas no se consideran condiciones legales "adicionales", sino más bien preliminares. Por lo tanto, los requisitos para obtener el Consentimiento en el GDPR también son aplicables en situaciones dentro del marco de la Directiva 2002/58 / CE.

2. Consentimiento en el Artículo 4 (11) del RGPD

El Artículo 4 (11) del GDPR define el Consentimiento de la siguiente manera: "una expresión voluntaria, específica, informada e inequívoca de voluntad en la cual el interesado, utilizando una declaración o una acción afirmativa clara, da su consentimiento para el procesamiento de sus datos personales".

La comprensión de la base del Consentimiento sigue siendo la misma que en la Directiva 95/46 / CE, y el Consentimiento es uno de los fundamentos legales en los que se debe basar el procesamiento de datos personales de conformidad con el Artículo 6 del RGPD. Además de la definición enmendada en el Artículo 4 (11), el GDPR proporciona más orientación en el Artículo 7 y en los párrafos 32, 33, 42 y 43 con respecto a cómo debe actuar el controlador para garantizar el cumplimiento de los elementos del Consentimiento.

Finalmente, la inclusión de reglas específicas sobre el retiro del Consentimiento confirma que el Consentimiento debe ser una decisión reversible y controlada por el interesado.

3. Elementos del consentimiento legal

El artículo 4 (11) del RGPD define el consentimiento del sujeto como:

voluntario
específico
informado y
Expresión de voluntad inequívoca, en la cual el interesado, mediante una declaración o una acción afirmativa clara, da su consentimiento para el procesamiento de sus datos personales.

A continuación se analiza el grado en que el Artículo 4 (11) del GDPR requiere que los controladores modifiquen sus solicitudes / formularios de consentimiento para garantizar el cumplimiento del GDPR.

3.1. Voluntario

Este elemento implica una verdadera elección y control para los interesados. El GDPR establece que si el interesado no tiene una opción real, se siente obligado a aceptar o sufrir daños al no estar de acuerdo, entonces dicho consentimiento se considera ilegal. Si el consentimiento se incluye en los términos del servicio como una parte invariable del mismo, entonces no se considera voluntario. En consecuencia, el Consentimiento no se considera voluntario si el interesado no puede rechazarlo o retirarlo sin consecuencias adversas para sí mismo. El concepto de desequilibrio entre el controlador y el interesado también se tiene en cuenta en el GDPR.

Al evaluar si el Consentimiento se ha otorgado voluntariamente, también se debe tener en cuenta la situación específica en la que está asociado con los acuerdos de servicio, como se describe en el Artículo 7 (4). El Artículo 7 (4) está incorrectamente redactado con las palabras "en particular", lo que significa que puede haber una serie de situaciones que caen dentro del alcance de esta regla. En general, cualquier elemento de presión o influencia sobre un interesado (que puede ocurrir de varias maneras) que impide que el interesado ejerza su libre albedrío, hace que el consentimiento sea ilegal.

1

GPS- . , . , . , .

3.1.1.

El párrafo 43 indica claramente que es poco probable que las agencias gubernamentales puedan confiar en el consentimiento, porque cuando el estado es el controlador de datos, a menudo existe un claro desequilibrio entre él y el interesado. Además, en la mayoría de los casos está claro que el interesado no tiene alternativas reales para aceptar las condiciones de dicho controlador. El WP29 considera que existen otros fundamentos legales que, en principio, son más adecuados para las actividades de los organismos estatales.

Sin embargo, el uso del Consentimiento como base legal para el procesamiento de datos por parte de las autoridades gubernamentales no es una excepción al RGPD. Los siguientes ejemplos muestran que el consentimiento puede ser apropiado en ciertas circunstancias.

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

También aparece un desequilibrio en el contexto del empleo. Dada la relación entre el empleador y el empleado, es poco probable que el interesado pueda rechazar su consentimiento para procesar datos personales sin temor o riesgo de consecuencias negativas como resultado de la negativa. Es poco probable que un empleado pueda aceptar voluntariamente, por ejemplo, activar sistemas de monitoreo, como cámaras de vigilancia en el lugar de trabajo, o completar formularios de evaluación sin experimentar ninguna presión. Por lo tanto, WP29 considera problemático que los empleadores procesen datos personales de los empleados sobre la base del Consentimiento, ya que difícilmente pueden considerarse datos voluntarios. Para la mayoría de los casos de procesamiento de datos en producción, el consentimiento de los trabajadores (Artículo 6 (1) (a) GDPR) no puede ser una razón legítima debido a la naturaleza de la relación.

Sin embargo, esto no significa que los empleadores no puedan confiar en el Consentimiento como base legal para el procesamiento de datos personales. Pueden surgir situaciones en las que el empleador puede demostrar que el consentimiento se da de forma voluntaria. Dado el desequilibrio entre el empleador y sus empleados, los empleados pueden dar su consentimiento solo de forma voluntaria en circunstancias en las que no tendrá consecuencias negativas, independientemente de si dan su consentimiento o no.

Ejemplo 5

Un equipo de filmación filmará en una parte específica de la oficina. El empleador pide a todos los empleados que trabajan en esta área que den su consentimiento para el tiroteo, ya que pueden aparecer en el fondo del video. Aquellos que no quieran actuar de ninguna manera no son castigados, sino que reciben trabajos equivalentes en otra parte de la oficina durante el rodaje.

El desequilibrio no se limita solo a los organismos estatales y los empleadores, sino que también puede ocurrir en otras situaciones. WP29 enfatiza que el Consentimiento es legal solo si el interesado puede tomar decisiones reales sin riesgo de fraude, intimidación, coerción o consecuencias negativas. El consentimiento no será voluntario cuando exista algún elemento de coerción, presión o incapacidad para ejercer el libre albedrío.

3.1.2. Opcional

El Artículo 7 (4) GDPR juega un papel importante en la evaluación de si un Consentimiento es voluntario. Señala, en particular, que "vincular" el Consentimiento para aceptar los términos del servicio o "vincular" la prestación del servicio a una solicitud de Consentimiento para procesar datos personales que no son necesarios para la ejecución del contrato es altamente indeseable. El consentimiento otorgado en tal situación no se considera voluntario (párrafo 43). El artículo 7 (4) tiene como objetivo garantizar que el propósito del procesamiento de datos personales no esté disfrazado o asociado con un contrato para el que estos datos no son necesarios. El RGPD afirma que el procesamiento de datos personales para los que se solicita el consentimiento no puede convertirse directa o indirectamente en una reconvención.Dos razones para el procesamiento legítimo de datos personales (consentimiento y prestación de servicios) no se pueden combinar y difuminar.

La coerción para consentir el uso de datos personales más allá de los límites necesarios para la elección del interesado e impide el ejercicio del libre albedrío. Dado que la ley busca proteger los derechos fundamentales, el control de datos es crítico. Se argumenta que el consentimiento para el uso de datos personales en exceso de lo necesario no puede ser una suposición obligatoria a cambio de la ejecución de un contrato o la prestación de servicios.

Siempre que el Consentimiento esté relacionado con la ejecución del contrato, el interesado, que no desea proporcionar datos personales, corre el riesgo de recibir una denegación de servicio.

Para evaluar si hay "vinculante" o "vinculante", es importante determinar el alcance del contrato y los datos necesarios para su ejecución. De acuerdo con la Conclusión 06/2014 WP29, el término "necesario para la ejecución del contrato" debe interpretarse de manera limitada. El procesamiento debe ser necesario para ejecutar un contrato con cada sujeto de datos individual. Por ejemplo, en el contexto de una tienda en línea, esta puede ser la dirección de entrega de los productos o los detalles de la tarjeta de crédito. En el contexto del empleo, esto puede ser información salarial y detalles de la cuenta bancaria. Debe haber una conexión directa y objetiva entre los datos y el propósito de su uso en el contrato.

Si el controlador desea procesar datos personales que son realmente necesarios para la ejecución del contrato, entonces el consentimiento no es obligatorio.

El Artículo 7 (4) se aplica solo en los casos en que los datos solicitados no son necesarios para la ejecución del contrato, y la ejecución depende de la recepción de estos datos a través del Consentimiento. Por el contrario, si los datos son necesarios para la ejecución del contrato, entonces el artículo 7 (4) no se aplica.

Ejemplo 6 Un

banco solicita a los clientes su consentimiento para permitir que terceros utilicen sus datos para marketing directo. Esta actividad no es necesaria para la ejecución del contrato y la prestación de servicios ordinarios. Si la negativa de un cliente a dar su consentimiento lleva a una negativa a proporcionar servicios bancarios, al cierre de la cuenta o a un aumento de la comisión, dicho consentimiento no se considera voluntario.

Centrarse en la facultativa como una presunción de falta de libertad de consentimiento, demuestra que las condiciones para su ocurrencia deben ser cuidadosamente controladas. El término "prestar la mayor atención" en el Artículo 7 (4) significa que el controlador debe tener especial cuidado cuando el contrato contiene una solicitud de Consentimiento para el procesamiento de datos personales.

Dado que la redacción del Artículo 7 (4) no es absoluta, puede haber casos en que la opcionalidad no haga que el Consentimiento sea ilegal. Sin embargo, la palabra "presunto" en el párrafo 43 indica que tales casos serán extremadamente raros.

En cualquier caso, la carga de la prueba prevista en el artículo 7, apartado 4, recae en el responsable del tratamiento. Esta regla refleja el principio general de responsabilidad, que opera en todo el GDPR. Sin embargo, al aplicar el Artículo 7 (4), será más difícil para el controlador probar que el interesado ha dado su consentimiento voluntariamente.

El controlador puede argumentar que la organización ofrece a los interesados una opción real si pueden elegir entre un servicio que requiere consentimiento para usar datos personales para fines adicionales y un servicio idéntico que no requiere dicho consentimiento. Mientras sea posible ejecutar un contrato sin obtener el Consentimiento para usar datos adicionales, no se considera opcional. En este caso, ambos servicios deberían ser prácticamente idénticos.

WP29 considera que el Consentimiento no se considera voluntario si el controlador afirma que hay una opción entre un servicio que requiere el Consentimiento para usar datos personales para fines adicionales y un servicio idéntico de otro controlador que no requiere dicho Consentimiento. En este caso, la libertad de elección dependerá de si el interesado encuentra los servicios prácticamente idénticos. Además, se requerirá que el controlador monitoree el mercado para garantizar la validez continua de dicho consentimiento, ya que un competidor puede cambiar el servicio más adelante. Por lo tanto, dicho argumento significa que el Consentimiento no cumple con los requisitos del GDPR.

3.1.3. Detalle

Un servicio puede incluir varias operaciones de procesamiento de datos para más de un propósito. En tales casos, los interesados deben poder elegir para qué propósito dan su consentimiento por separado. De acuerdo con el GDPR, se pueden solicitar varios Consentimientos para comenzar a proporcionar un servicio.

El párrafo 43 aclara que el Consentimiento no se considera voluntario si el proceso de recepción no permite que los interesados consientan en ciertas transacciones. El párrafo 32 dice: “El consentimiento abarcará todos los métodos de procesamiento de datos personales realizados para lograr el mismo objetivo. En el caso de que el procesamiento de datos personales tenga varios propósitos, es necesario obtener el consentimiento de cada uno de ellos ".

Si el controlador combinó varios objetivos de procesamiento y no intentó obtener un Consentimiento separado para cada uno de ellos, esto significa una falta de libertad. Los detalles están estrechamente relacionados con la necesidad de concretar el Consentimiento, que se describe en la sección 3.2. abajo. Cuando el procesamiento de datos se lleva a cabo para varios propósitos, una condición de Consentimiento legal es la separación de estos objetivos y la obtención del Consentimiento para cada uno.

7

, . , . . (. 3.3.1), , , .

3.1.4.

El controlador está obligado a demostrar al interesado que puede retirar el consentimiento sin perjuicio de sí mismo (párrafo 42). Por ejemplo, el controlador debe demostrar que revocar el Consentimiento no conlleva costos para el interesado y no crea inconvenientes obvios para él.

Otros ejemplos de daños son el engaño, la intimidación, la coacción o consecuencias negativas significativas si el interesado no da su consentimiento. Se requiere que el controlador demuestre que el interesado tiene la libre elección de dar su consentimiento, y que puede retirarlo sin perjuicio de sí mismo.

Si el controlador muestra que el servicio incluye la capacidad de revocar el Consentimiento sin consecuencias negativas, por ejemplo, sin comprometer la calidad, esto puede servir como evidencia de un Consentimiento voluntario. El RGPD no incluye todos los incentivos, pero la carga de la prueba de la voluntariedad de este consentimiento recae en el controlador en todos los casos.

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

El Artículo 6 (1) (a) confirma que se debe dar el Consentimiento en relación con "uno o más objetivos específicos" y que el interesado tiene una opción en relación con cada uno de ellos. El requisito de que el consentimiento debe ser específico tiene como objetivo garantizar el control del usuario y la transparencia para el interesado. El RGPD no ha cambiado este requisito y sigue estrechamente relacionado con el requisito del consentimiento informado. Al mismo tiempo, debe interpretarse de acuerdo con el requisito de detalle para obtener un consentimiento voluntario. En general, para ser específico, el controlador debe:

indicar el objetivo como medida de protección contra su expansión,
detallar la solicitud de consentimiento y,
separe claramente la información relacionada con la obtención del Consentimiento de cualquier otra.

Suplemento a 1. De conformidad con el Artículo 5 (1) (b) del RGPD, la obtención del Consentimiento siempre va precedida de la determinación del propósito específico, explícito y legal del procesamiento de datos previsto. La necesidad de un Consentimiento específico, combinado con el concepto de restricción de objetivos en el Artículo 5 (1) (b), sirve como protección contra la expansión gradual del objetivo de la recopilación de datos después de que la entidad haya otorgado el Consentimiento. Este fenómeno, también conocido como fluencia funcional, representa un riesgo para los interesados, ya que puede conducir al uso imprevisto de datos personales por parte del controlador o de terceros, y la pérdida de control.

Si el controlador se basa en el Artículo 6 (1) (a), los interesados siempre deben dar su consentimiento para el propósito específico del procesamiento. De acuerdo con el concepto de restricción de objetivos, el Artículo 5 (1) (b) y el párrafo 32, el Consentimiento puede cubrir varias operaciones si tienen el mismo propósito. Por supuesto, un Consentimiento específico solo puede obtenerse cuando los interesados están informados con precisión de los objetivos de procesamiento previstos.

A pesar de la capacidad de combinar objetivos, el consentimiento debe ser específico para cada uno. Los interesados deben estar de acuerdo con el entendimiento de que controlan la situación, y sus datos se procesarán solo para los fines especificados. Si el controlador procesa legítimamente los datos para un propósito y desea procesarlos también para otro, entonces el controlador debe solicitar un Consentimiento adicional para ello, a menos que haya otra base legal que refleje mejor la situación.

11

, , . , ( ) . .

Suplemento de 2. Los mecanismos de consentimiento no solo deben detallarse para cumplir con el requisito de "voluntario", sino también para cumplir con el elemento de "especificidad". Esto significa que el controlador que solicita el consentimiento para diversos fines debe proporcionar una opción para cada uno de ellos para permitir que los usuarios den su consentimiento para un propósito de procesamiento específico.

Suplemento a 3. Finalmente, se requiere que los supervisores proporcionen información específica en cada solicitud de consentimiento individual para cada propósito, de modo que los interesados sean conscientes del impacto de las diferentes opciones. Por lo tanto, los interesados tienen la oportunidad de dar su consentimiento específico. Este punto está relacionado con la obligación de proporcionar información clara en la cláusula 3.3. abajo.

3.3. Informado

El GDPR requiere que el consentimiento sea informado. Según el artículo 5 del RGPD, el requisito de transparencia es uno de los principios fundamentales que están estrechamente relacionados con los principios de justicia y legalidad. Brindar información a los interesados antes de obtener su Consentimiento es importante para que tomen una decisión informada, comprendan exactamente con qué están de acuerdo y, por ejemplo, comprendan el derecho a retirar su Consentimiento. Si el controlador no proporciona información accesible, el interesado no recibe el control real, y dicho consentimiento se considera una base ilegal para el procesamiento.

La consecuencia del incumplimiento del requisito de consentimiento informado es su ilegalidad, y el controlador puede estar violando el artículo 6 del RGPD.

3.3.1 Requisitos mínimos de contenido para obtener el consentimiento informado

Para que el consentimiento sea informado, es necesario proporcionar al interesado varios elementos que son cruciales para que él tome una decisión. Por lo tanto, WP29 opina que se requiere al menos la siguiente información para obtener un Consentimiento legal:

nombre del controlador
fines de procesamiento para los que están destinados los datos personales,
los tipos de datos que se recopilarán y usarán,
derecho a revocar el consentimiento,
información sobre el procesamiento automático de datos de conformidad con el Artículo 22 (2) (c), cuando corresponda, y
información sobre los posibles riesgos de transmisión de datos debido a la falta de una solución adecuada y las medidas de protección descritas en el artículo 46.

Con respecto a los párrafos 1. y 3., WP29 señala que en el caso en que el consentimiento solicitado debe ser obtenido por varios controladores (conjuntos), o si los datos deben ser transmitidos o procesados por otros controladores que deseen unirse a dicho consentimiento, entonces todos ellos deben ser están listados. Es posible que no se indiquen los procesadores de datos, aunque los controladores deben proporcionar una lista completa de los destinatarios de datos o sus categorías, incluidos los procesadores, para cumplir con los artículos 13 y 14 del GDPR. En conclusión, WP29 señala que, dependiendo de las circunstancias, el interesado puede necesitar información adicional para comprender claramente las operaciones de procesamiento de datos.

3.3.2. Cómo proporcionar información

El RGPD no describe la forma o el tipo de cómo se debe proporcionar la información para cumplir con el requisito de consentimiento informado. Esto significa que se puede representar de varias maneras, como declaraciones escritas u orales, mensajes de audio o video. Sin embargo, en el GDPR hay varios requisitos para el consentimiento informado, principalmente en el artículo 7 (2) y la cláusula 32. Lo que mejora la claridad y la accesibilidad.

Al solicitar el consentimiento, el controlador siempre debe usar un lenguaje claro y simple. Esto significa que el mensaje debe ser fácilmente entendido por una persona común, no solo por un abogado. Los supervisores no deben usar políticas de privacidad largas que sean difíciles de entender o jerga legal. El consentimiento debe ser claro, distinguible de otros asuntos y otorgado de manera comprensible y fácilmente accesible. Este requisito significa que la información relacionada con la adopción de una decisión informada sobre consentimiento o desacuerdo no puede ocultarse en las condiciones generales de servicio.

Se requiere que el controlador se asegure de que se obtenga el Consentimiento sobre la base de información que permita al interesado reconocer fácilmente quién es el controlador y con qué está exactamente de acuerdo. El controlador deberá describir claramente el propósito del procesamiento para el cual se solicita el consentimiento.

WP29 incluye otras pautas específicas de accesibilidad en términos de transparencia. Si el consentimiento se otorga electrónicamente, la solicitud debe ser clara y concisa. La información completa y detallada es más adecuada para las obligaciones bilaterales: precisa y completa por un lado, y comprensible por el otro.

Se requiere que el controlador evalúe el público objetivo, que transmite datos personales. Por ejemplo, si incluye menores, el controlador debe asegurarse de que la información sea comprensible para ellos. Después de dicha evaluación, se requiere que el controlador determine qué información y cómo debe proporcionar a los interesados.

El Artículo 7 (2) considera declaraciones escritas de consentimiento preparadas de antemano que se relacionan con otros asuntos. Cuando se solicita el consentimiento en virtud de un contrato (en papel), dicha solicitud debe estar claramente separada de otras cuestiones. Si el contrato en papel contiene aspectos que no están relacionados con el Consentimiento, entonces la cuestión debe considerarse de tal manera que se destaque claramente o se proponga como un documento separado. Del mismo modo, si el consentimiento se solicita electrónicamente, la solicitud debe estar separada y no puede ser solo un párrafo en los términos del servicio, de acuerdo con el párrafo 32. Cuando se coloca en pantallas pequeñas o en un espacio limitado, una forma integral de proporcionar información puede ser apropiada para evitar una interacción excesiva con violaciones de diseño de usuario o producto.

El controlador, que se refiere al Consentimiento, también debe cumplir con los requisitos establecidos en los Artículos 13 y 14 para cumplir con el GDPR. En la práctica, se puede adoptar un enfoque integrado para cumplir con estos requisitos y para cumplir con el requisito de consentimiento informado. Sin embargo, esta sección de la Guía está escrita en el contexto de que se puede obtener el Consentimiento legítimo "informado" incluso si no se mencionan todos los elementos de los Artículos 13 y / o 14 en el proceso de recepción (estos puntos, por supuesto, deberían mencionarse en otra parte, por ejemplo, en política de privacidad). WP29 emitió recomendaciones separadas con respecto a la transparencia.

Ejemplo 12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

El RGPD determina que el consentimiento requiere una declaración o una acción afirmativa clara por parte del interesado. Debería ser obvio que el interesado ha dado su consentimiento para el procesamiento específico.
El artículo 2 (h) de la Directiva 95/46 / CE describe el Consentimiento como "la expresión de voluntad por la cual el interesado expresa su Consentimiento para el procesamiento de datos personales relacionados con él". El Artículo 4 (11) del GDPR se basa en esta definición, aclarando que un Consentimiento legal requiere una expresión expresa de voluntad por medio de una declaración o una acción afirmativa clara, de acuerdo con las instrucciones previas del WP29.

"Acción afirmativa clara" significa que el sujeto acepta conscientemente un tratamiento específico. La Sección 32 proporciona más orientación sobre este tema. El consentimiento se puede obtener por escrito o (grabado) declaración oral, así como electrónicamente.

Quizás la forma más fácil de cumplir con el requisito de una "declaración escrita" es asegurarse de que el interesado haya explicado al controlador lo que está de acuerdo por carta o correo electrónico. A menudo esto no es factible. Las respectivas declaraciones escritas de GDPR pueden variar.

Sin perjuicio de la legislación contractual (nacional) existente, se puede obtener el consentimiento mediante comunicación oral grabada, habiendo tenido en cuenta previamente la información disponible para el interesado. Según el GDPR, el uso de opciones preseleccionadas no está permitido. El silencio, la inacción o el trabajo continuo con el servicio no se considera una señal de elección.

Ejemplo 14

Durante la instalación, la aplicación solicita el consentimiento del interesado para usar informes de fallas personalizados para mejorar su calidad. Se adjunta a la solicitud de consentimiento una política de privacidad integral que contiene toda la información necesaria. Al marcar activamente el campo opcional con la inscripción "Acepto", el usuario realiza una acción afirmativa clara, que da su consentimiento para el procesamiento.

El controlador debe tener en cuenta que el consentimiento no puede obtenerse simultáneamente con el contrato para la prestación de servicios. La aceptación de los términos del servicio no puede considerarse como una acción afirmativa clara sobre el uso de datos personales. El RGPD prohíbe las opciones preseleccionadas (por ejemplo, el campo "cancelar suscripción") u otros métodos que requieren la intervención del interesado para revocar el consentimiento.

Cuando el consentimiento se otorga electrónicamente, la solicitud no debe interrumpir innecesariamente el trabajo con el servicio. Puede ser necesaria una acción afirmativa clara mediante la cual el interesado proporcione el Consentimiento si una forma menos disruptiva de obtenerlo conduce a la ambigüedad. Por lo tanto, para solicitar el consentimiento, puede ser necesario suspender parcialmente la interacción con el usuario para que la solicitud sea legítima.

De acuerdo con el GDPR, los controladores tienen el derecho de desarrollar independientemente el proceso de Consentimiento que mejor se adapte a la organización. En este sentido, las acciones físicas pueden calificarse como claras afirmativas.

Los supervisores deben diseñar mecanismos de consentimiento de tal manera que sean entendidos por los interesados. Los supervisores deben evitar la ambigüedad y garantizar que la acción por la cual se otorga el Consentimiento se pueda distinguir de otras acciones. Por lo tanto, el uso continuado habitual del sitio web no es una acción a partir de la cual podemos concluir que el interesado desea expresar su consentimiento para la operación de procesamiento.

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

En el mundo digital, muchos servicios requieren datos personales, por lo que los interesados reciben múltiples solicitudes de consentimiento, que deben responderse todos los días haciendo clic y deslizando la pantalla. Esto puede generar cierta apatía: cuando las solicitudes se cumplen con demasiada frecuencia, su efecto de advertencia real se reduce.

Esto lleva a una situación en la que la solicitud de consentimiento ya no se lee. Esta situación es de alto riesgo para los interesados, ya que generalmente se solicita el consentimiento para el procesamiento que sería ilegal sin él. El GDPR obliga a los supervisores a desarrollar métodos para resolver este problema.

Un ejemplo bien conocido de tal situación es obtener el consentimiento de un usuario de Internet a través de la configuración de su navegador. Dichas configuraciones deben diseñarse de acuerdo con el GDPR. Por ejemplo, el consentimiento debe ser detallado para cada uno de los objetivos y debe contener los nombres de los supervisores.

En cualquier caso, se debe obtener el consentimiento antes de que el controlador proceda con el procesamiento de datos personales. En recomendaciones anteriores, WP29 ha mantenido constantemente que se debe dar el consentimiento antes de que comiencen las actividades de procesamiento. A pesar de que el Artículo 4 (11) del GDPR no prescribe literalmente la recepción del Consentimiento antes del inicio del procesamiento, esto está claramente implícito. El título del Artículo 6 (1) y la redacción "dada" en el Artículo 6 (1) (a) respaldan tal interpretación. Del artículo 6 y del párrafo 40 se deduce lógicamente que antes de comenzar el procesamiento de datos debe existir una base legal. Por lo tanto, se debe dar el consentimiento antes del inicio del proceso de procesamiento de datos. En principio, es suficiente solicitar el consentimiento del interesado una vez. Sin embargo, se requiere que los supervisores obtengan un nuevo Consentimiento si los objetivos de procesamiento han cambiado o ha aparecido un propósito adicional.

4. Obtención del consentimiento explícito

Se requiere el consentimiento explícito en algunas situaciones donde existe un riesgo grave de protección de datos, por lo tanto, se considera apropiado un alto nivel de control individual sobre los datos personales. Según el GDPR, el consentimiento explícito desempeña un papel importante en el artículo 9 con respecto al procesamiento de categorías especiales de datos, disposiciones sobre la transferencia de datos a terceros países u organizaciones internacionales, si no hay medidas de protección previstas en los artículos 49 y 22 sobre la toma de decisiones automatizada, incluida la elaboración de perfiles.

El RGPD establece que una "declaración o acción afirmativa clara" es un requisito previo para un Consentimiento "simple". Dado que la importancia del requisito de un Consentimiento "simple" en el GDPR es mayor que en la Directiva 95/46 / CE, es necesario aclarar qué esfuerzos adicionales debe realizar el controlador para obtener el consentimiento explícito del interesado de acuerdo con el GDPR.

El término explícito se refiere a un método para expresar el consentimiento de un interesado. Esto significa que el interesado debe dar su consentimiento explícito. La forma obvia de asegurarse de que el consentimiento sea explícito es dar el consentimiento por escrito. En tales casos, el controlador puede asegurarse de que la declaración escrita esté firmada por el interesado para eliminar todas las posibles dudas y la posible falta de evidencia en el futuro.

Sin embargo, una declaración escrita no es la única forma de obtener un Consentimiento explícito, y no se puede decir que el RGPD requiera que obtenga un Consentimiento por escrito en todos los casos que requieran un Consentimiento explícito legítimo. Por ejemplo, en el mundo digital, un sujeto de datos puede dar su consentimiento al completar un formulario electrónico, enviar un correo electrónico, descargar un documento escaneado con una firma o usar una firma electrónica. Teóricamente, el uso de declaraciones orales también puede ser suficiente para obtener un Consentimiento explícito legítimo, pero será más difícil para el controlador probar que se han cumplido todas las condiciones del Consentimiento explícito legítimo al registrar dicha declaración.

Una organización también puede obtener el consentimiento explícito por teléfono siempre que la información de selección sea justa, comprensible y clara, y se solicite una acción específica al interesado (por ejemplo, presionar un botón o proporcionar confirmación verbal).

Ejemplo 17 Un

controlador de datos puede obtener el consentimiento explícito de un visitante a su sitio web al ofrecer la pantalla de consentimiento, que contiene las banderas Sí y No, siempre que el texto indique claramente el consentimiento. Por ejemplo, "Por la presente doy mi consentimiento para el procesamiento de mis datos", y no, digamos, "Es claro para mí que se procesarán mis datos". Por supuesto, se deben observar otras condiciones para obtener el consentimiento legal.

Ejemplo 18

, . - . , , , .

Una verificación de consentimiento en dos pasos también puede ser una forma de confirmar que el consentimiento explícito es válido. Por ejemplo, el interesado recibe un correo electrónico informando al controlador de su intención de procesar sus datos médicos. El controlador explica que está solicitando el Consentimiento para usar un conjunto de datos específico para un propósito específico. Si el interesado acepta dicho procesamiento, el controlador solicita responder por correo electrónico con el texto "Acepto". Después de enviar la respuesta, el interesado recibe un enlace de transferencia, o SMS con un código, para confirmar el acuerdo.

El Artículo 9 (2) no reconoce la "necesidad de la ejecución del contrato" como una excepción a la prohibición general de procesar categorías especiales de datos. Por lo tanto, los controladores y los países de la UE que se enfrentan a esta situación deben estudiar las excepciones contenidas en los párrafos (b) a (j) del Artículo 9 (2). Si ninguno de ellos es aplicable, obtener el Consentimiento explícito de acuerdo con el GDPR sigue siendo la única excepción legal posible al procesamiento de dichos datos.

Ejemplo 19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5. Condiciones adicionales para obtener el consentimiento legal

El GDPR introduce requisitos para que los supervisores tomen medidas adicionales para garantizar que reciban, apoyen y puedan demostrar su consentimiento legal. El artículo 7 del RGPD describe estas medidas adicionales con disposiciones específicas para mantener el diario de consentimiento y el derecho de revocación fácil del consentimiento. El Artículo 7 también se aplica al Consentimiento mencionado en otros artículos del RGPD, por ejemplo, en los Artículos 8 y 9. A continuación se brinda orientación sobre requisitos adicionales para la demostración de un Consentimiento legal y para su revocación.

5.1. Demostración de consentimiento

La Sección 7 (1) del GDPR define la obligación explícita del controlador de demostrar el consentimiento del interesado. De acuerdo con la Sección 7 (1), la carga de la prueba recae en el controlador.

El párrafo 42 dice: "Si el procesamiento se basa en el consentimiento del interesado, el controlador debe poder demostrar que el interesado ha dado su consentimiento para la operación de procesamiento".

Los supervisores pueden desarrollar sus propios métodos para cumplir con este requisito de tal manera que se adapten mejor a sus actividades. Al mismo tiempo, la obligación de demostrar el consentimiento legal obtenido en sí mismo no debe conducir a un procesamiento de datos adicional excesivo. Esto significa que los controladores deben tener suficientes datos para demostrar una conexión con el procesamiento (mostrar la recepción del Consentimiento), pero no están obligados a recopilar datos más allá de lo necesario.

Se requiere que el controlador demuestre que el consentimiento actual se ha obtenido del interesado. El GDPR no especifica exactamente cómo se debe hacer esto. Sin embargo, el controlador debe probar que el interesado ha dado su consentimiento. Si bien las actividades de procesamiento de datos están en curso, existe la obligación de demostrar el consentimiento. Al finalizar el procesamiento, de conformidad con el Artículo 17 (3) (b) y (e), la evidencia del Consentimiento no se conservará más tiempo del estrictamente necesario para el cumplimiento de las obligaciones legales, presentación, ejecución o defensa de los requisitos legales.

Por ejemplo, el controlador puede almacenar un protocolo de las declaraciones de consentimiento recibidas para mostrar cómo y cuándo se recibió, y qué información se proporcionó al interesado en ese momento. También se requiere que el controlador demuestre que el interesado fue informado y que el proceso de recepción cumplió con todos los criterios para el consentimiento legal. La razón lógica de esta obligación del GDPR es que los supervisores deben asumir la responsabilidad de obtener el consentimiento legal del sujeto y sus mecanismos para obtenerlo. Por ejemplo, en un contexto en línea, el controlador puede almacenar información sobre la sesión durante la cual se dio el Consentimiento junto con la documentación del proceso de recepción y una copia de la información que se presentó al interesado en ese momento. No es suficiente solo referirse a la configuración correcta del sitio web.

21

- « X», . , . . , « X».

El GDPR no especifica una fecha de vencimiento específica para el Consentimiento. La vida útil depende del contexto, el alcance y las expectativas del interesado. Si las operaciones de procesamiento varían significativamente, entonces el Consentimiento original ya no es válido. En este caso, debe obtener un nuevo permiso.

WP29 recomienda actualizar el Consentimiento de vez en cuando. El reaprovisionamiento de información ayuda a garantizar que el interesado conozca bien sus derechos y uso de datos.

5.2. Revocación del Consentimiento

La revocación del consentimiento ocupa un lugar importante en el GDPR. Las normas y requisitos del RGPD para revocar el consentimiento pueden considerarse como una codificación de la interpretación existente de este tema en las conclusiones del WP29.

El artículo 7 (3) del GDPR prescribe que el controlador debe garantizar que el interesado pueda revocar el consentimiento en cualquier momento tan fácilmente como se le otorgó. El RGPD no exige que la provisión y la revocación del consentimiento sean la misma acción.

Sin embargo, si el Consentimiento se obtiene electrónicamente con solo un clic del mouse, deslizando la pantalla o presionando una tecla, los interesados deben poder revocar este Consentimiento con la misma facilidad. En los casos en que el Consentimiento se obtiene a través de la interfaz de usuario (por ejemplo, a través de un sitio web, una aplicación, una cuenta de inicio de sesión, una interfaz de dispositivo de Internet de las cosas o por correo electrónico), el interesado debe poder revocar el Consentimiento a través de la misma interfaz, desde que se cambió otra interfaz por la única razón de revocar el Consentimiento requerirá esfuerzos injustificados. Además, el interesado debe poder retirar su consentimiento sin perjuicio de sí mismo. Esto significa, en particular, que el controlador está obligado a revocar el consentimiento de forma gratuita o sin comprometer la calidad del servicio.

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

El requisito de retirada fácil se describe como un requisito necesario de Consentimiento legal en el GDPR. Si el derecho de desistimiento no cumple con los requisitos del GDPR, entonces todo el proceso de procesamiento del Consentimiento por parte del controlador no cumple con los requisitos del GDPR. Como ya se mencionó en la sección 3.1. sobre los requisitos del consentimiento informado, el controlador está obligado a informar al interesado sobre el derecho a revocar el consentimiento antes de su recepción real, de conformidad con el artículo 7 (3) GDPR. Además, se requiere que el controlador, en el marco de garantizar la transparencia, informe al interesado sobre el método para ejercer este derecho.

Por lo general, cuando se revoca el Consentimiento, las operaciones de procesamiento de datos que se construyeron sobre él y se realizaron antes de la revocación del Consentimiento siguen siendo legales, sin embargo, a partir de ese momento, el controlador debe detener el procesamiento. Si no hay otros motivos legales para procesar datos (por ejemplo, almacenamiento adicional), deben eliminarse.

Como se mencionó anteriormente, es muy importante que los controladores determinen los objetivos y los fundamentos legales para el procesamiento real de los datos antes de que comience la recopilación de datos. A menudo, las empresas necesitan datos personales para varios propósitos a la vez, y el procesamiento se basa en más de una base legal, por ejemplo, los datos del cliente pueden estar tanto en el contrato como en el Consentimiento. Luego, la retirada del Consentimiento no significa que el controlador esté obligado a eliminar los datos que se procesan para cumplir el contrato. Por lo tanto, el controlador está obligado desde el principio a indicar exactamente qué propósito se relaciona con cada elemento de datos y en qué base legal se basa.

El controlador está obligado a eliminar los datos procesados sobre la base del consentimiento tan pronto como se revoque, siempre que no haya otra razón que justifique un mayor almacenamiento. Además de esta situación descrita en el Artículo 17 (1) (b), el interesado puede solicitar la eliminación de sus otros datos, que se procesan sobre otra base legal, por ejemplo, sobre la base del Artículo 6 (1) (b). El controlador debe evaluar la idoneidad del procesamiento posterior de los datos incluso en ausencia de una solicitud de eliminación.

En los casos en que el interesado retire su consentimiento, pero el controlador desea continuar procesando datos personales sobre otra base legal, no puede pasar silenciosamente del consentimiento (que se retira) a otra base legal. Cualquier cambio en la base legal para el procesamiento debe señalarse al interesado de conformidad con los requisitos de información establecidos en los artículos 13 y 14 y con el principio de transparencia.

6. Interacción del consentimiento con otros fundamentos legales en el artículo 6 del RGPD

El artículo 6 establece las condiciones para el procesamiento legítimo de datos personales y describe seis motivos legales en los que puede confiar el controlador. La aplicación de uno de estos seis motivos debe establecerse antes del inicio del procesamiento y ser relevante para el propósito específico.

Es importante señalar aquí que si el controlador decide confiar en el Consentimiento con respecto a cualquier parte del procesamiento, debe estar preparado para terminarlo si la persona retira su Consentimiento. La notificación de que los datos se procesan sobre la base del Consentimiento, cuando de hecho se aplica otra base legal, es en principio injusto para el interesado.

En otras palabras, el controlador no puede reemplazar el Consentimiento con otra base legal. Por ejemplo, no está permitido utilizar retrospectivamente intereses legítimos como base legal para legalizar el procesamiento si surgen problemas con la legalidad del Consentimiento. Teniendo en cuenta el requisito de revelar la base legal sobre la cual el controlador se basa en la recopilación de datos personales, está obligado a decidir de antemano qué base legal es aplicable.

7. Disposiciones especiales de GDPR

7.1. Niños (artículo 8)

En comparación con la directiva actual, el GDPR crea un nivel adicional de protección en el que se procesan los datos personales de las personas más vulnerables, especialmente los niños. El artículo 8 introduce obligaciones adicionales para proporcionar un mayor nivel de protección para estos niños en relación con los servicios de información. Las razones para la protección mejorada se indican en el párrafo 38: "... ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos asociados con el procesamiento de datos personales ..." El párrafo 38 también establece que "Tal protección especial debería, en particular, aplicarse al uso de datos personales de niños con fines de marketing o para crear perfiles personales (de usuario) y para recopilar datos personales relacionados con niños en el proceso de usarlos servicios dirigidos específicamente a niños."La redacción" en particular "indica que la protección no se limita al marketing o la creación de perfiles, sino que incluye una" recopilación de datos personales de los niños "más amplia.

El Artículo 8 (1) determina que en los casos en que se aplica el Consentimiento para ofrecer servicios de información directamente al niño, el procesamiento de datos personales se considera legal si tiene al menos 16 años de edad. Si el niño tiene menos de 16 años, dicho procesamiento es legal solo si y en la medida en que el consentimiento sea otorgado por una persona que represente los intereses del niño. Con respecto al límite de edad del Consentimiento, el GDPR permite a los países de la UE establecer un umbral mínimo por su cuenta, pero no puede ser inferior a 13 años.

Como se menciona en la sección 3.1. con respecto al consentimiento informado, el mensaje debe ser claro para el público objetivo, al que se dirige el controlador, prestando especial atención a la opinión del niño. Para recibir el "consentimiento informado" del niño, el controlador debe explicar en un lenguaje simple y comprensible para los niños cómo planea procesar los datos recopilados. Si el padre da su consentimiento, entonces se puede requerir un conjunto de información para permitir que el adulto tome una decisión informada.

De lo anterior se desprende que el artículo 8 se aplica solo si se cumplen las siguientes condiciones:

el procesamiento está relacionado con la provisión de servicios de información directamente al niño,
el procesamiento se basa en el consentimiento.

7.1.1 Servicios de información

Para determinar el alcance del término "servicio de información" en el artículo 4 (25), el RGPD se refiere a la Directiva 2015/1535.

Al evaluar el alcance de esta definición, WP29 también se refiere a la práctica del Tribunal Europeo. El tribunal dictaminó que los servicios de información cubren contratos u otros servicios que se concluyen o se comprometen en línea. Si un servicio tiene dos componentes económicamente independientes, el primero de los cuales está en línea, por ejemplo, una oferta y su aceptación está asociada con la celebración de un contrato o información sobre productos y servicios, incluido el marketing, entonces dicho componente se considera un servicio de información. A su vez, el segundo componente, que es el suministro físico o la distribución de bienes, no se incluye en el concepto de servicio de información. La provisión de un servicio en línea está de acuerdo con la definición del término "servicio de información" que figura en el Artículo 8 del RGPD.

7.1.2. Ofrecido directamente a un niño

La inclusión de la frase "ofrecido directamente al niño" indica que el artículo 8 se aplica solo a ciertos servicios de información. Si el proveedor de servicios de información deja claro a los usuarios potenciales que ofrece servicios solo a personas mayores de 18 años, y esto no es refutado por otra evidencia (por ejemplo, el contenido del sitio web o los planes de marketing), entonces dicho servicio no se considera "ofrecido directamente al niño", y El artículo 8 no se aplica.

7.1.3. Años

El RGPD determina que "los países de la UE pueden establecer legislativamente una edad menor para estos fines, siempre que dicha edad no sea inferior a 13 años". El controlador debe conocer las leyes locales y tener en cuenta la comunidad a la que ofrece servicios. Cabe señalar especialmente que el controlador que ofrece el servicio transfronterizo no siempre se refiere solo a las normas de su jurisdicción, sino que también puede tener que cumplir con las leyes de cada país donde ofrece servicios de información. Depende de si el país decide confiar en la jurisdicción del controlador o en el lugar de residencia del interesado. En primer lugar, al hacer esa elección, todos los países de la UE están obligados a tener en cuenta los intereses del niño. El Grupo de Trabajo pide una decisión acordada sobre este tema.

Si se brindan servicios de información a niños sobre la base del Consentimiento, se espera que los supervisores tomen medidas para asegurarse de que el usuario haya alcanzado la edad mínima de Consentimiento digital, y estas medidas deben ser proporcionales al procesamiento de datos y riesgos.

Si los usuarios afirman ser mayores de la edad mínima de consentimiento digital, entonces el controlador puede realizar una revisión para verificar esto. Si bien el RGPD no obliga a realizar dicha verificación, se requiere implícitamente, ya que el procesamiento de datos se volverá ilegal si el niño da su consentimiento, y no tendrá la edad suficiente para otorgar el consentimiento legal en su nombre.

Si el usuario afirma que no ha alcanzado la edad mínima de Consentimiento digital, entonces el controlador puede aceptar esta declaración sin verificación, pero luego deberá obtener el permiso de los padres y verificar que la persona que proporciona el Consentimiento tiene derechos parentales.

La verificación de edad no se puede atribuir al procesamiento excesivo de datos. El método seleccionado para verificar la edad del interesado debe incluir una evaluación del riesgo del tratamiento propuesto. En situaciones de bajo riesgo, puede ser suficiente pedir el año de nacimiento o completar un formulario en el que él (no) es menor de edad. En caso de duda, el supervisor debe cambiar los métodos de verificación de edad y considerar la necesidad de controles alternativos.

7.1.4. Consentimiento de los niños y derechos de los padres

El RGPD no determina cómo obtener el consentimiento de los padres o establecer quién tiene derecho a hacerlo. Por lo tanto, WP29 recomienda un enfoque proporcional de acuerdo con los Artículos 8 (2) y 5 (1) © GDPR (minimización de datos). Un enfoque proporcional es obtener una cantidad limitada de información, como los datos de contacto de un padre o tutor.

Lo que es razonable para verificar que el usuario sea lo suficientemente mayor como para proporcionar su propio consentimiento y que la persona que otorga el consentimiento del niño tiene derechos parentales, puede depender de los riesgos de procesamiento y la tecnología disponible. En situaciones de bajo riesgo, la confirmación por correo electrónico puede ser suficiente. Por el contrario, en situaciones de alto riesgo, puede ser apropiado solicitar evidencia adicional para que el controlador pueda verificarla y almacenarla de acuerdo con el Artículo 7 (1) del RGPD. Los servicios de verificación de terceros pueden ofrecer soluciones que minimizan la cantidad de datos personales que el controlador debe procesar por sí mismo.

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

El ejemplo muestra que el controlador puede demostrar que se han realizado esfuerzos razonables para garantizar que haya un consentimiento legal para los servicios prestados al niño. El Artículo 8 (2) dice que "el Controlador, teniendo en cuenta las capacidades tecnológicas disponibles, debe hacer esfuerzos razonables para asegurarse de que el Consentimiento haya sido otorgado por una persona con derechos parentales con respecto al niño, o con su aprobación".

El controlador está obligado a determinar qué medidas son apropiadas en un caso particular. Por lo general, los supervisores deben evitar los controles que resultan en una recopilación excesiva de datos personales.

WP29 reconoce que puede haber situaciones en las que la verificación es complicada (por ejemplo, cuando los niños que han dado su consentimiento aún no han dejado una huella digital o cuando los derechos de los padres son difíciles de verificar. La complejidad puede tenerse en cuenta al determinar medidas razonables, pero se espera que los controladores supervisen constantemente sus procesos. y tecnologías disponibles.

Con respecto al derecho del sujeto a consentir el procesamiento de datos personales y a tener un control total sobre ellos, tan pronto como el sujeto de datos alcance la edad del consentimiento digital, el consentimiento del padre o tutor puede ser confirmado, cambiado o revocado. En la práctica, esto significa que si el niño no toma ninguna medida, el consentimiento para el procesamiento otorgado por el padre o tutor, otorgado antes de la edad del consentimiento digital, seguirá siendo la base legal para el procesamiento. Al llegar a la edad de Consentimiento digital, el niño puede revocar el Consentimiento de conformidad con el Artículo 7 (3). De acuerdo con los principios de equidad y transparencia, el controlador debe informar al niño de esta posibilidad.

Es importante tener en cuenta que, de conformidad con la cláusula 38, no se requiere el consentimiento del padre o tutor para los servicios preventivos o de asesoramiento ofrecidos directamente al niño. Por ejemplo, proporcionar servicios de protección infantil en línea no requiere el permiso de los padres.

En conclusión, el RGPD determina que las reglas para la emisión de poderes en relación con menores no afectan a "la ley general de contratos de los países de la UE, por ejemplo, en la celebración o ejecución de acuerdos con respecto al niño". Por lo tanto, los requisitos para el Consentimiento legal para usar a estos niños son parte del marco legal, que debe considerarse por separado del derecho contractual de los países. Por lo tanto, la Guía no aborda el problema de la legalidad de los contratos en línea suscritos por menores de edad. Ambos regímenes legales pueden aplicarse simultáneamente, y el alcance del RGPD no incluye la armonización del derecho contractual de los países.

7.2. Investigación científica

La definición de objetivos de investigación tiene un impacto significativo en todo el espectro de actividades de procesamiento de datos que el controlador puede llevar a cabo. El término "investigación científica" no está definido en el GDPR. El párrafo 159 establece: "... En el marco de este Reglamento, el procesamiento de datos personales para fines de investigación científica debe interpretarse de manera amplia ...", sin embargo, WP29 cree que este concepto no puede ser más amplio que su significado general, por lo tanto, "investigación científica" en este contexto significa un proyecto de investigación creado de acuerdo con las normas metodológicas y éticas de la industria y las mejores prácticas.

Cuando el Consentimiento es la base legal para llevar a cabo una investigación de acuerdo con el GDPR, debe separarse de otros requisitos del Consentimiento, cumpliendo estándares éticos u obligaciones procesales. Un ejemplo de dicha obligación procesal cuando el procesamiento no se basa en el Consentimiento sino en otra base legal se puede encontrar en el Programa de ensayos clínicos. En el contexto de los derechos de protección de datos, la última forma de consentimiento mencionada puede considerarse como una medida de protección adicional. Al mismo tiempo, el RGPD no limita la aplicación del Artículo 6 solo al Consentimiento para el procesamiento de datos con fines de investigación. Mientras existan medidas de protección, como los requisitos del artículo 89 (1), y el procesamiento sea justo, legal, transparente y de acuerdo con las normas de minimización de datos y los derechos individuales,otros fundamentos legales pueden estar disponibles, como el Artículo 6 (1) (e) o (f). Esto también se aplica a categorías especiales de datos de acuerdo con las excepciones del Artículo 9 (2) (j).

El párrafo 33 parece aportar cierta flexibilidad al grado de concreción y refinamiento del Consentimiento en el contexto de la investigación científica. Dice: "A menudo es imposible determinar completamente el propósito del procesamiento de datos personales destinados a la investigación científica en el momento de la recopilación de datos. Por lo tanto, los interesados deben tener la oportunidad de dar su consentimiento a ciertas áreas de la investigación científica, con base en la conformidad de sus objetivos con los estándares éticos reconocidos de la investigación científica. Los interesados deben poder dar su consentimiento solo en relación con ciertas áreas de investigación o parte de proyectos de investigación de acuerdo con el propósito previsto ".

Primero, debe notarse que el párrafo 33 no cancela la obligación de requerir un Consentimiento específico. Esto significa que, en principio, los proyectos de investigación pueden incluir datos personales sobre la base del Consentimiento solo si tienen un propósito bien descrito. En los casos en que los objetivos del procesamiento de datos en el marco de un proyecto de investigación no pueden determinarse al principio, el párrafo 33 permite la excepción de que el objetivo puede describirse de una manera más general.

Dadas las estrictas condiciones establecidas en el artículo 9 del RGPD con respecto al procesamiento de categorías de datos especiales, WP29 señala que en los casos en que las categorías de datos especiales se procesen sobre la base del consentimiento explícito, un enfoque flexible debe interpretarse de manera más estricta y requerir un estudio más cuidadoso.

Considerando el GDPR en su conjunto, no puede interpretarse de tal manera que permita al controlador eludir el principio clave de determinar los propósitos para los cuales se solicita el consentimiento del interesado. Cuando los objetivos de la investigación no se pueden definir por completo, el supervisor debe buscar otras formas de garantizar que la esencia de los requisitos de Consentimiento sea la más adecuada, por ejemplo, permitir que los interesados den su consentimiento al objetivo de la investigación en términos más generales y para fases específicas del proyecto de investigación que se conocen desde el principio. A medida que avanza la investigación, se puede obtener el consentimiento para el siguiente paso antes de que comience. Sin embargo, dicho Consentimiento continuará siendo consistente con los estándares éticos de la investigación científica.

Además, en tales casos, el controlador puede tomar precauciones adicionales. Por ejemplo, el Artículo 89 (1) enfatiza la necesidad de salvaguardas cuando se procesan datos con fines científicos, históricos o estadísticos. Estos objetivos "incluyen garantías de los derechos y libertades del interesado". Las posibles medidas de protección incluyen la minimización, el anonimato y la seguridad de los datos. Se prefiere el anonimato si se puede lograr el propósito del estudio sin procesar datos personales.

La transparencia es una salvaguarda adicional cuando las circunstancias del estudio no permiten un Consentimiento específico. La falta de concreción de la meta se puede compensar con información sobre su evolución, proporcionada regularmente por los supervisores durante la implementación del proyecto de investigación, de modo que con el tiempo el Consentimiento se vuelva lo más específico posible. Al mismo tiempo, el interesado tiene al menos una comprensión básica de la situación, lo que permite evaluar si, por ejemplo, el derecho a revocar el consentimiento debe utilizarse de conformidad con el artículo 7 (3).

Además, tener un plan de investigación integral disponible para los interesados, antes de dar su consentimiento, puede ayudar a compensar la falta de detalles sobre el objetivo. En dicho plan de investigación, los temas de investigación y los métodos de trabajo deben estar tan claramente definidos como sea posible. Un plan de investigación puede ayudar a cumplir con el Artículo 7 (1), ya que los supervisores deben mostrar qué información estaba disponible para los interesados al momento de obtener el Consentimiento para poder demostrar que es legal.

Es importante recordar que cuando se utiliza el Consentimiento como base legal para el procesamiento, el interesado debe poder revocarlo. WP29 señala que revocar el Consentimiento puede interferir con la investigación que requiere datos de individuos, pero el GDPR indica claramente que el Consentimiento puede ser revocado, y los supervisores deben actuar de acuerdo con esto; no hay excepción para la investigación científica. Si el controlador recibe una solicitud de revocación del Consentimiento, en realidad está obligado a eliminar de inmediato los datos personales si desea continuar con la investigación.

7.3. Derechos del sujeto de datos

Si el procesamiento de datos se basa en el consentimiento del interesado, esto afecta los derechos de esa persona. Los interesados tienen derecho a la portabilidad de sus datos (artículo 20). Al mismo tiempo, el derecho a objetar (Artículo 21) no se aplica si el procesamiento se basa en el Consentimiento, incluso si el derecho a retirar el Consentimiento en cualquier momento da el mismo resultado.

Los artículos 16 a 20 del GDPR indican que (cuando el procesamiento de datos se basa en el Consentimiento) los sujetos de datos tienen el derecho de eliminar datos cuando se revoca el Consentimiento, así como el derecho de restringirlos, ajustarlos y acceder a ellos.

8. Consentimiento obtenido de conformidad con la Directiva 95/46 / CE

Los supervisores que ya procesan datos sobre la base del Consentimiento de acuerdo con la legislación local, preparándose para el RGPD, no están obligados a actualizar automáticamente por completo todas las relaciones con los interesados. El consentimiento ya obtenido sigue siendo legal en la medida en que cumpla con el GDPR.

Es importante que los supervisores examinen en detalle los procesos y registros actuales antes del 25 de mayo de 2018, para garantizar que los Acuerdos existentes cumplan con el GDPR (ver párrafo 171 del GDPR). El GDPR introduce el estándar más alto para los mecanismos de consentimiento e introduce muchos requisitos nuevos que requieren que los supervisores cambien los procesos de consentimiento, no solo reescribir las políticas de privacidad.

Por ejemplo, dado que el RGPD requiere que el controlador pueda demostrar que se ha obtenido el Consentimiento legal, todos los demás Consentimientos no cumplen automáticamente con el RGPD y deben reemplazarse. Del mismo modo, dado que el RGPD requiere una "declaración o acción afirmativa clara", todos los demás Consentimientos basados en las acciones indirectas del interesado (por ejemplo, una casilla de verificación preestablecida) tampoco coincidirán con el RGPD.

Además, para demostrar que se ha obtenido el Consentimiento o para refinar la elección del interesado, es posible que sea necesario revisar los procesos y sistemas. Además, debería ser posible revocar fácilmente el Consentimiento, y se debería proporcionar información sobre cómo hacerlo. Si los procedimientos de gestión de Consentimiento existentes no cumplen con los requisitos de GDPR, se requiere que el controlador obtenga un nuevo Consentimiento correspondiente a ellos.

Por otro lado, dado que la condición de un consentimiento informado no siempre requiere todos los elementos mencionados en los artículos 13 y 14, las obligaciones ampliadas del GDPR no necesariamente contradicen la continuidad del consentimiento que se proporcionó antes de la entrada en vigor del GDPR. La Directiva 95/46 / CE no requería informar a los interesados sobre los motivos del procesamiento.

Si el controlador determina que el Consentimiento obtenido anteriormente según la legislación anterior ya no cumple con el GDPR, entonces está obligado a tomar medidas para cumplirlo, por ejemplo, para actualizar el Consentimiento. De acuerdo con el GDPR, la sustitución de una base legal por otra es inaceptable. Si el controlador no puede actualizar el Consentimiento, y no puede proceder a cumplir con el GDPR, procesando los datos sobre otra base legal, mientras se asegura que el procesamiento continúe de manera justa y transparente, entonces la actividad de procesamiento debe detenerse. En cualquier caso, el controlador debe cumplir con los principios del procesamiento de datos legal, justo y transparente.

GDPR: consentimiento para el procesamiento de datos personales