El Consentimiento


Uno de los principios de la protección de datos es precisamente el consentimiento del afectado, entendido éste como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) regula dos tipos de consentimiento a prestar por parte del afectado dependiendo de la naturaleza de los datos sometidos a tratamiento. Así, según el artículo 7 de dicha Norma, en el caso de que los datos hagan referencia al origen racial, a la salud y a la vida sexual, el responsable del fichero debe contar con el consentimiento expreso del afectado, y en el supuesto de que los datos sometidos a tratamiento revelen la ideología, afiliación sindical, religión y creencias del afectado, el consentimiento deberá ser expreso y por escrito. Aparte, la LOPD menciona un tercer tipo de consentimiento, el consentimiento inequívoco, que, con carácter general, deberá utilizarse en el resto de supuestos contemplados por la LOPD para el tratamiento de datos personales.

Este último consentimiento nos lleva al análisis del consentimiento presunto y tácito, ambos legalmente válidos en Derecho. Así, el primero de ellos, permite deducir la voluntad del interesado a través de su actuación y el consentimiento tácito, se deduce de la inactividad del interesado, ya sea por silencio o por falta de oposición del interesado.

Una cuestión debatida en torno al consentimiento del afectado consiste en sí el consentimiento al que se refieren diversos preceptos de la LOPD puede otorgarse de forma tácita o sí, en todos los supuestos, deberá manifestarse dicho consentimiento de forma expresa.

Al respecto, la Agencia Española de Protección de Datos –Órgano encargado de velar por el cumplimiento de la LOPD-, siguiendo las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, mantiene que el consentimiento debe reunir los siguientes requisitos:

a) Libre, lo que supone que el mismo debe haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
b) Específico, es decir referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento.
c) Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el consentimiento se produce.
d) Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

Hoy en día, además, la Agencia Española de Protección de Datos sostiene la necesidad de incorporar casillas en las leyendas de solicitud del consentimiento, dando a los afectados la opción de marcar dichas casillas oponiéndose al tratamiento y/o cesión de sus datos personales para los fines indicados por el responsable del fichero en cada caso.

Por otra parte, la LOPD exige al responsable del fichero la obtención del consentimiento previo del afectado para llevar a cabo la cesión de sus datos personales a terceros, a salvo de algunos supuestos contemplados en la citada Norma, como excepciones al principio general.

En torno a la cesión de datos personales a terceros y a la forma de solicitud de dicho consentimiento por parte del responsable del fichero, según mi experiencia profesional en la tramitación de procedimientos sancionadores incoados por la Agencia Española de Protección de Datos, es reiterado el criterio del citado Órgano al considerar que “si bien el consentimiento tácito puede ser válido para la cesión de datos como interpreta el Tribunal Supremo: fuera de los casos en que la Ley exige una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado de forma tácita, correspondería a la entidad que ha solicitado el consentimiento del afectado la prueba de que lo ha obtenido en cada caso concreto”.

Por contra, otros Órganos competentes en la materia, como es la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección Primera), en varias de las sentencias dictadas en recursos contenciosos-administrativos interpuestos contra las resoluciones sancionadoras de la Agencia Española de Protección de Datos, niega la validez a la recogida del consentimiento del afectado para la cesión de sus datos mediante silencio positivo, en base a que “la empresa que recaba el consentimiento por silencio positivo para la cesión no puede entender que ha cumplido las obligaciones legales mediante un sistema de meras probabilidades, sino asegurándose de que aquél de quién pide la autorización le ha remitido efectivamente la solicitud, debiendo conservar las pruebas del cumplimiento de la obligación a disposición de la Administración encargada de velar por el cumplimiento de la Ley”.

De lo anterior, debe concluirse la necesidad de cualquier empresa de disponer de algún medio de prueba válido en Derecho, donde conste el consentimiento prestado por el afectado ya que, en caso de conflicto frente a la Agencia Española de Protección de Datos, corresponde al responsable del fichero aportar el documento que le sirva para demostrar que ha informado a los afectados en el momento de la recogida de sus datos personales, así como que ha obtenido el consentimiento de cada uno de dichos afectados para llevar a cabo el tratamiento y/o la cesión de sus datos personales a terceros; de lo contrario, la empresa puede resultar sancionado con multas cuyas cuantías oscilan entre los 60.101,21 y los 601.012,10 euros. Asimismo, es aconsejable que los documentos en los que constan los consentimientos otorgados por los afectados sean conservados mientras dure el tratamiento de los datos personales y, una vez finalizado éste, durante los plazos de prescripción de las infracciones leves, graves y muy graves previstas en la LOPD.

Iciar Marzo Portera