2.3 Consentimiento de los interesados
El RGPD requiere que el consentimiento sea "inequívoco", lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:
- Puede ser para uno o varios fines.
- Debe ser prestado de forma libre.
- Revocable.
- El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
- Utilizar un lenguaje claro y sencillo.
Por otra parte, también debe ser tenido en cuenta lo siguiente:
- Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
- Si se recaba el consentimiento para varias finalidades:
- Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
- Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros)
Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:
- Tratamiento de datos sensibles
- Adopción de decisiones automatizadas
- Transferencias internacionales