El RGPD transformó radicalmente la forma en que se obtiene el consentimiento en el tratamiento de datos personales
Uno de los cambios más significativos introducidos por el Reglamento General de Protección de Datos (RGPD) fue la exigencia de un consentimiento válido que vaya mucho más allá de las antiguas prácticas habituales. Frente al modelo previo —en el que bastaba con una aceptación tácita, un simple clic en una casilla genérica (“He leído y acepto la política de privacidad”) o incluso la continuación en el uso de un sitio web—, el RGPD estableció criterios mucho más rigurosos: el consentimiento debe ser libre, específico, informado e inequívoco.
Este nuevo estándar supone un giro hacia una verdadera autonomía del usuario, que debe poder decidir de forma consciente y diferenciada sobre cada finalidad para la que se tratan sus datos. No basta ya con agrupar todas las finalidades —como marketing, análisis de perfil, cesiones a terceros o newsletters— en una sola aceptación genérica. De hecho, la Agencia Española de Protección de Datos (AEPD), en su reciente informe sobre políticas de privacidad en Internet, ha alertado de que muchas empresas siguen utilizando mecanismos de aceptación global, lo que incumple directamente el espíritu y la letra del RGPD y, en consecuencia, invalida jurídicamente el consentimiento obtenido.
¿Qué implica un consentimiento informado?
Para que el consentimiento sea considerado válido, el interesado debe recibir, previamente a su manifestación de voluntad, una información clara y comprensible sobre:
- La identidad y los datos de contacto del responsable del tratamiento;
- Las finalidades específicas para las que se recogen sus datos (por ejemplo, gestión de compras, envío de boletines, segmentación publicitaria, etc.);
- Los tipos de datos personales que se van a tratar;
- Su derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo;
- La posible existencia de decisiones automatizadas (como perfiles o scoring) que puedan afectarle;
- Y, en su caso, los riesgos derivados de transferencias internacionales de datos a países que no ofrecen un nivel adecuado de protección, tal como lo establece la normativa europea.
La AEPD recomienda que esta información esencial se incluya directamente en el formulario de recogida de datos, de forma resumida pero clara, evitando obligar al usuario a navegar por documentos largos o enlaces externos para comprender en qué está consintiendo. El resto de los detalles pueden ampliarse en la política de privacidad, pero la información clave debe estar accesible allí donde se da el consentimiento.
Facilitar la retirada del consentimiento: un derecho tan sencillo como su otorgamiento
Otro aspecto fundamental —y a menudo descuidado— es garantizar que el usuario pueda retirar su consentimiento con la misma facilidad con la que lo otorgó. Si basta con marcar una casilla o pulsar un botón para aceptar, no puede exigírselo rellenar formularios complejos, enviar burocracia por correo certificado o llamar por teléfono para deshacer esa decisión. La AEPD insiste en que las organizaciones deben proporcionar mecanismos accesibles y directos, como un enlace en el pie de los correos electrónicos, un formulario en línea o una dirección de correo electrónico específica, que permitan al usuario ejercer este derecho sin obstáculos.
En definitiva, el RGPD no solo reformuló legalmente el consentimiento, sino que lo convirtió en una herramienta real de empoderamiento del ciudadano frente al uso de sus datos personales. Las organizaciones que sigan aplicando prácticas obsoletas no solo corren el riesgo de sanciones, sino que erosionan la confianza de sus usuarios, en un contexto donde la transparencia y el respeto por la privacidad son ya valores estratégicos.
