Obtenir el consentiment de l'usuari en sol·licitar dades personals

El consentiment s'ha de donar mitjançant una acció afirmativa clara que reflecteixi una manifestació de voluntat lliure, específica, informada i inequívoca de l'interessat i s'ha d'atorgar per a totes les activitats de tractament realitzades. Quan el tractament tingui diverses finalitats, el consentiment s'ha de donar per cadascuna. Si us heu de donar arran d'una sol·licitud per mitjans electrònics, aquesta ha de ser clara, concisa i no pertorbar innecessàriament l'ús del servei per al qual es presta.

Aquest consentiment exprés es pot traslladar a un formulari web a través de la implementació d'unes caselles de verificació que estiguin desmarcades per defecte, és a dir, vital, per poder demostrar aquesta voluntat per part de la persona per tractar les dades personals.

Les caselles de premarca, el silenci i la inacció de l'interessat no constitueixen un tractament lícit de dades, per la qual cosa no s'han d'utilitzar aquestes fórmules.

Hem parlat a l'apartat anterior de fins específics, és a dir, quan algú proporciona les seves dades cal detallar de manera clara, inequívoca i transparent quines seran les condicions de tractament de les dades.

Com que és un consentiment explícit lligat a una finalitat específica cal demostrar que s'ha recollit seguint aquests preceptes i la càrrega probatòria recau sobre l'organització que rep i tracta aquestes dades.

Un exemple de com poder demostrar que ens han autoritzat és que cada alta generi un correu electrònic de resposta automàtica amb les dades de la persona sol·licitada, el seu IP, accepto, data, hora exacta i navegador que va utilitzar. Aquest correu electrònic s'ha de guardar com a justificant en cas de conflicte amb l'usuari.

Primera capa dinformació bàsica

Amb els requisits i principis introduïts pel RGPD, pel que fa a l'obligació d'informar, la simple remissió a la política de privadesa des dels formularis web ja no és suficient per complir aquestes obligacions.

Les autoritats de protecció de dades de la Unió Europea recomanen utilitzar un model d'informació per capes, presentant una primera capa, amb una informació bàsica sobre protecció de dades i remetre des d'aquesta, més senzilla i immediata, a una segona capa amb la informació restant.

A la Guia per al Compliment del Deure Informar, de l'AEPD estableix que aquesta primera capa informativa ha de reunir els requisits següents:

– La informació s'ha de posar a disposició dels interessats en el moment en què se sol·licitin les dades, prèviament a la recollida o registre.

- Aquesta obligació s'ha de complir sense necessitat de cap requeriment, i el responsable ha de poder acreditar amb posterioritat que l'obligació d'informar ha estat satisfeta.

– Ha d'estar clarament identificada amb un títol com ara “Informació bàsica sobre protecció de dades”.

– El responsable del tractament ha de garantir que aquesta informació quedi “dins el camp de visió” de l'interessat.

– Els interessats han de rebre una còpia on s'inclogui aquesta informació bàsica. La LOPDGDD en l'article 72 tipifica com a INFRACCIÓ MOLT GREU l'omissió del deure d'informar l'afectat sobre el tractament de les dades personals d'acord amb el que disposen els articles 13 i 14 del Reglament (UE) 2016/679 (RGPD).