Obtener el consentimiento del usuario al solicitar datos personales

El consentimiento debe ser dado mediante una acción afirmativa clara que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado, y debe otorgarse para todas las actividades de tratamiento realizadas. Cuando el tratamiento tenga diversas finalidades, el consentimiento debe ser otorgado para cada una de ellas. Si debe darse a raíz de una solicitud por medios electrónicos, esta debe ser clara, concisa y no perturbar innecesariamente el uso del servicio para el cual se presta.
Este consentimiento expreso puede trasladarse a un formulario web mediante la implementación de casillas de verificación que estén desmarcadas por defecto. Esto es vital para poder demostrar esta voluntad por parte de la persona para tratar sus datos personales.
Las casillas pre-marcadas, el silencio y la inacción del interesado no constituyen un tratamiento lícito de datos, por lo que estas fórmulas no deben ser utilizadas.
Hemos hablado en el apartado anterior de fines específicos, es decir, cuando alguien proporciona sus datos debe detallarse de manera clara, inequívoca y transparente cuáles serán las condiciones de tratamiento de los datos.
Al ser un consentimiento expreso vinculado a una finalidad específica, se debe demostrar que se ha recopilado siguiendo estos preceptos y la carga probatoria recae sobre la organización que recibe y trata estos datos.
Un ejemplo de cómo poder demostrar que nos han autorizado es que cada alta genere un correo electrónico de respuesta automática con los datos de la persona solicitada, su IP, aceptación, fecha, hora exacta y navegador que utilizó. Este correo electrónico debe guardarse como justificante en caso de conflicto con el usuario.
También, para confirmar la veracidad del registro, es muy recomendable el uso del sistema de “doble opt-in”. Este sistema permite reconfirmar el consentimiento explícito dado por el usuario para enviarle correos electrónicos con la información para la que se ha suscrito. De esta manera nos aseguramos de que la dirección que ha dado el usuario es correcta y veraz, y de que existe un interés real en recibir más información sobre nuestros productos (y evitamos enviar correos no deseados a personas que se hayan suscrito por error o que hayan usado cuentas de correos que no son las suyas).

Primera capa de información básica
Con los requisitos y principios introducidos por el RGPD respecto a la obligación de informar, la simple remisión a la política de privacidad desde los formularios web ya no es suficiente para cumplir con estas obligaciones.

Las Autoridades de Protección de Datos de la Unión Europea recomiendan utilizar un modelo de información por capas, presentando una primera capa con información básica sobre protección de datos y remitiendo desde esta, más sencilla e inmediata, a una segunda capa con la información restante.
En la Guía para el Cumplimiento del Deber de Informar, de la AEPD, se establece que esta primera capa informativa debe reunir los siguientes requisitos:

• La información debe ponerse a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.

• Esta obligación debe cumplirse sin necesidad de ningún requerimiento, y el responsable deberá poder acreditar posteriormente que la obligación de informar ha sido satisfecha.

• Debe estar claramente identificada con un título como “Información básica sobre protección de datos”.

• El responsable del tratamiento debe garantizar que esta información quede “dentro del campo de visión” del interesado.

• Los interesados deben recibir una copia que incluya esta información básica.

La LOPDGDD, en su artículo 72, tipifica como INFRACCIÓN MUY GRAVE la omisión del deber de informar al afectado sobre el tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD).