Obtener el consentimiento del usuario al solicitar datos personales.
El consentimiento debe manifestarse mediante un acto afirmativo claro que refleje una voluntad libre, específica, informada e inequívoca del interesado, y debe otorgarse para todas las actividades de tratamiento que se lleven a cabo. Cuando el tratamiento tenga múltiples fines, deberá darse el consentimiento para cada uno de ellos. Si el consentimiento se presta en respuesta a una solicitud por medios electrónicos, debe ser claro, conciso y no debe perturbar indebidamente el uso del servicio para el que se presta.
Este consentimiento expreso puede trasladarse a un formulario web mediante la inclusión de casillas de selección que, por defecto, no estén marcadas; esto es fundamental para demostrar la voluntad de la persona de que se traten sus datos personales.
Las casillas marcadas de antemano, el silencio y la inacción del interesado no constituyen un tratamiento lícito de los datos, por lo que no deben utilizarse estos métodos.
En la sección anterior hemos abordado los fines específicos; es decir, cuando alguien facilita sus datos, es necesario detallar de forma clara, inequívoca y transparente las condiciones para el tratamiento de dichos datos.
Dado que se trata de un consentimiento explícito vinculado a una finalidad concreta, debe demostrarse que se recabó de conformidad con estos requisitos, y la carga de la prueba recae en la organización que recibe y trata estos datos.
Una forma de demostrar que contamos con la autorización necesaria es que cada registro genere un correo electrónico de respuesta automática que incluya los datos solicitados por la persona, su dirección IP, la aceptación, la fecha, la hora exacta y el navegador que ha utilizado. Este correo electrónico debe guardarse como prueba en caso de que surja una controversia con el usuario.
Primera sección de información básica
Dados los requisitos y principios establecidos por el RGPD en materia de obligación de informar, ya no basta con remitirse a la política de privacidad desde los formularios web para cumplir con dichas obligaciones.
Las autoridades de protección de datos de la Unión Europea recomiendan utilizar un modelo de información por niveles, que presente un primer nivel con información básica sobre protección de datos y, a partir de ahí, dirija a los usuarios de forma más sencilla e inmediata a un segundo nivel con el resto de la información.
En la Guía para el cumplimiento del deber de información, la AEPD establece que esta primera fase de información debe cumplir los siguientes requisitos:
– La información debe ponerse a disposición de las partes interesadas en el momento en que se soliciten los datos, antes de su recogida o registro.
Esta obligación debe cumplirse sin que sea necesario realizar ninguna solicitud, y el responsable del tratamiento debe poder demostrar posteriormente que se ha cumplido la obligación de informar.
– Debe identificarse claramente con un título como “Información básica sobre protección de datos”.
– El responsable del tratamiento debe garantizar que esta información permanezca “dentro del campo de visión del interesado”.
– Los interesados deben recibir una copia que contenga esta información básica. La LOPDGDD, en su artículo 72, tipifica como INFRACCIÓN MUY GRAVE el incumplimiento de la obligación de informar al interesado sobre el tratamiento de sus datos personales, de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD).