El consentimiento es una de las bases más importantes para legitimar el tratamiento de datos personales según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Sin embargo, no todo vale a la hora de recabarlo, y su validez está sujeta a ciertos requisitos que deben cumplirse rigurosamente.
¿Qué dice el RGPD sobre el consentimiento?
El RGPD establece que el consentimiento debe ser inequívoco, lo que significa que debe ser otorgado mediante una manifestación clara del interesado o una acción afirmativa evidente.
Esto excluye el uso del consentimiento tácito —una práctica permitida en la normativa anterior— así como el uso de casillas premarcadas o la inacción como forma de consentimiento.
Por el contrario, sí es válido el consentimiento prestado mediante la marcación activa de una casilla en una web o mediante una declaración por escrito, siempre que cumpla con los principios del RGPD.
Características que debe tener un consentimiento válido
- Finalidad específica: El consentimiento puede otorgarse para uno o varios fines, pero estos deben estar claramente definidos.
- Libertad: Debe prestarse de forma libre, sin presiones, coacciones ni desequilibrios de poder entre el responsable y el interesado.
- Revocabilidad: El consentimiento puede retirarse en cualquier momento, de manera tan sencilla como fue otorgado, y sin que esto afecte a la licitud del tratamiento anterior.
- Transparencia: El interesado debe recibir información clara y accesible sobre el responsable del tratamiento, la finalidad, el plazo de conservación, los derechos y demás aspectos relevantes.
- Prueba: El responsable del tratamiento debe poder demostrar en todo momento que ha obtenido el consentimiento conforme a la ley.
Otros aspectos clave del consentimiento
La información debe proporcionarse de forma comprensible y con un lenguaje claro y sencillo, evitando tecnicismos innecesarios.
Además, si se utiliza una declaración por escrito para recabar consentimiento, la parte de protección de datos debe aparecer diferenciada de otras cláusulas. Debe existir una separación de contenidos
Consentimiento para múltiples fines
Puede agruparse si los fines están relacionados (ej.: recibir comunicaciones comerciales propias o de terceros).
Debe separarse si se trata de tratamientos diferentes (ej.: uso interno y cesión a terceros).
Casos que requieren un consentimiento explícito
En determinadas situaciones, el RGPD exige que el consentimiento sea explícito (no solo inequívoco), como, por ejemplo:
- Tratamiento de datos sensibles (salud, religión, orientación sexual…).
- Decisiones automatizadas que afecten significativamente al interesado.
- Transferencias internacionales de datos fuera del Espacio Económico Europeo.
Consentimiento de menores
En España, la edad mínima para prestar consentimiento en servicios de la sociedad de la información es de 14 años, según la LOPDGDD. Por debajo de esa edad, se requiere la autorización de padres o tutores.
Consentimiento en relaciones contractuales o de poder
Cuando existe un claro desequilibrio de poder —por ejemplo, entre empresa y trabajador o en la contratación de servicios esenciales—, el consentimiento no se considera libre ni válido. En estos casos, debe buscarse otra base de legitimación para el tratamiento.
El consentimiento no es una simple formalidad, sino un pilar fundamental en la protección de datos personales. Gestionarlo correctamente no solo evita sanciones, sino que refuerza la confianza de los usuarios en tu organización.
No te pierdas la entrevista completa donde analizamos estos conceptos con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE