Consideracions sobre “el consentiment de l’interessat” (II)

Com a continuació de l’article “Consideracions sobre el consentiment de l’interessat“, us oferim una taula comparativa sobre la regulació legal del consentiment.

Reglament de la Unió Europea 2016/679, del Parlament i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en quant al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (RGPD) Llei 39/2015, d’1 d’octubre, de procediment administratiu comú de les administracions públiques Llei 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD)
“Considerando (32):El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.(…)” D’acord amb l’article 28.2 i 28.3, l’autorització per a la consulta o obtenció de les dades o documents corresponents es presumeix, llevat que consti en el procediment la seva oposició expressa o una llei especial aplicable requereixi consentiment exprés. Art. 3.h) de la LOPD, el consentiment de l’interessat es defineix com a tota manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consent el tractament de dades personals que el concerneix. Art. 11.2 de la LOPD es desprèn que es podran cedir dades de caràcter personal amb el previ consentiment de l’interessat excepte que una norma amb rang de llei autoritzi la cessió (art 11.2.a), siguin dades d’accés públic (art 11.2.b), o bé es tracti d’una relació jurídica consentida i coneguda (art. 11.2.c), entre d’altres.
  • D’aquesta taula es desprèn que la LOPD i el Reglament Europeu regulen el consentiment de l’interessat en els mateixos termes. No obstant, el Reglament és més restrictiu, ja que considera vàlid el consentiment exprés i no accepta la utilització del consentiment tàcit. Per contra, la llei 39/2015, sí accepta el consentiment tàcit però obliga a introduir en el procediment administratiu la constatació de l’oposició expressa de l’interessat afectat. Cal afegir que les tres normes legals estàn en vigor, si bé el Reglament Europeu no serà d’obligat compliment per als Estats Membres fins el maig de 2018.
  • Actualment, hi ha una comissió tècnica que està valorant la implicació del Reglament Europeu en la LOPD espanyola. L’Agència Espanyola de Protecció de Dades ha publicat a la seva pàgina web unes recomanacions sobre les implicacions pràctiques del Reglament General de Protecció de Dades per a entitats en el període de transició fins la data d’obligat compliment.
  • L’AOC, com a encarregada del tractament de les dades, d’acord amb l’article 22 de la Llei 29/2010, de 3 d’agost, de l’ús dels mitjans electrònics al sector públic de Catalunya, s’ha d’adaptar a les noves obligacions legals, entre elles, les derivades del Reglament europeu:

Considerando (42): Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (1), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.

Artículo 5. Principios relativos al tratamiento

1. Los datos personales serán: (…)

  • f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

Artículo 7. Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.”