Uno de los cambios más significativos introducidos por el Reglamento General de Protección de Datos (RGPD) fue la exigencia de un consentimiento válido que vaya mucho más allá de las antiguas prácticas habituales. Frente al modelo previo —en el que bastaba con una aceptación tácita, un simple clic en una casilla genérica (“He leído y acepto la política de privacidad”) o incluso la continuación en el uso de un sitio web—, el RGPD estableció criterios mucho más rigurosos: el consentimiento debe ser libre, específico, informado e inequívoco.

Este nuevo estándar supone un giro hacia una verdadera autonomía del usuario, que debe poder decidir de forma consciente y diferenciada sobre cada finalidad para la que se tratan sus datos. No basta ya con agrupar todas las finalidades —como marketing, análisis de perfil, cesiones a terceros o newsletters— en una sola aceptación genérica. De hecho, la Agencia Española de Protección de Datos (AEPD), en su reciente informe sobre políticas de privacidad en Internet, ha alertado de que muchas empresas siguen utilizando mecanismos de aceptación global, lo que incumple directamente el espíritu y la letra del RGPD y, en consecuencia, invalida jurídicamente el consentimiento obtenido.

¿Qué implica un consentimiento informado?

Para que el consentimiento sea considerado válido, el interesado debe recibir, previamente a su manifestación de voluntad, una información clara y comprensible sobre:

• La identidad y los datos de contacto del responsable del tratamiento;
• Las finalidades específicas para las que se recogen sus datos (por ejemplo, gestión de compras, envío de boletines, segmentación publicitaria, etc.);
• Los tipos de datos personales que se van a tratar;
• Su derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo;
• La posible existencia de decisiones automatizadas (como perfiles o scoring) que puedan afectarle;
• Y, en su caso, los riesgos derivados de transferencias internacionales de datos a países que no ofrecen un nivel adecuado de protección, tal como lo establece la normativa europea.

La AEPD recomienda que esta información esencial se incluya directamente en el formulario de recogida de datos, de forma resumida pero clara, evitando obligar al usuario a navegar por documentos largos o enlaces externos para comprender en qué está consintiendo. El resto de los detalles pueden ampliarse en la política de privacidad, pero la información clave debe estar accesible allí donde se da el consentimiento.

Facilitar la retirada del consentimiento: un derecho tan sencillo como su otorgamiento

Otro aspecto fundamental —y a menudo descuidado— es garantizar que el usuario pueda retirar su consentimiento con la misma facilidad con la que lo otorgó. Si basta con marcar una casilla o pulsar un botón para aceptar, no puede exigírselo rellenar formularios complejos, enviar burocracia por correo certificado o llamar por teléfono para deshacer esa decisión. La AEPD insiste en que las organizaciones deben proporcionar mecanismos accesibles y directos, como un enlace en el pie de los correos electrónicos, un formulario en línea o una dirección de correo electrónico específica, que permitan al usuario ejercer este derecho sin obstáculos.

En definitiva, el RGPD no solo reformuló legalmente el consentimiento, sino que lo convirtió en una herramienta real de empoderamiento del ciudadano frente al uso de sus datos personales. Las organizaciones que sigan aplicando prácticas obsoletas no solo corren el riesgo de sanciones, sino que erosionan la confianza de sus usuarios, en un contexto donde la transparencia y el respeto por la privacidad son ya valores estratégicos.

La entrada Políticas de privacidad bajo el RGPD: el consentimiento informado en la era digital 2 se publicó primero en Adaptación RGPD.

Según el RGPD, el consentimiento debe ser libre, informado, específico e inequívoco. Esto significa que el interesado no puede ser obligado ni condicionado a otorgarlo. Debe recibir información clara sobre el tratamiento de sus datos, y su aceptación debe darse mediante una acción afirmativa, por ejemplo, como marcar una casilla, (no preseleccionada). Además, debe ser revocable en cualquier momento, sin afectar la legalidad del tratamiento previo.

Las empresas deben asegurarse de registrar y gestionar correctamente el consentimiento, evitando prácticas engañosas y ofreciendo mecanismos sencillos para su retirada. Los formularios donde se recojan datos personales deben ser accesibles y comprensibles.

Garantizar un consentimiento válido no solo evita sanciones, sino que fortalece la confianza de los interesados.

IMPORTANTE

 El consentimiento debe ser demostrable, revocable y cumplir con requisitos claros que garanticen el cumplimiento de la normativa.

La entrada ¿Qué significa realmente un consentimiento válido? (I) se publicó primero en Adaptación RGPD.

Nunca nos cuestionamos si la recogida de nuestros datos de salud por parte de un centro médico privado, un dentista, una clínica de estética, etc. requiere de nuestro consentimiento firmado, pues entendemos que con nuestra presencia allí, consentimos dicho tratamiento. Pero, ¿es lícito este tratamiento a efectos de la LOPD?

La LOPD en su articulado establece como regla general que los datos referidos a la salud de las personas sólo podrán ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente (mediante una acción que manifieste que realmente está de acuerdo).

Sin embargo, la propia LOPD establece como excepción a esta regla general  que  podrán tratarse estos datos (sin consentimiento de su titular) cuando sea necesario para la prevención o diagnóstico médicos; para la prestación de asistencia sanitaria o tratamientos médicos; o para la gestión de servicios sanitarios, siempre que el tratamiento sea realizado por un profesional sanitario.

No obstante, el GT del artículo 29 señala que esta excepción es válida para prestar al paciente servicios relativos a la salud a efectos de gestión de servicios de facturación, contabilidad o estadísticas, pero no para el tratamiento de los datos de salud de los pacientes que allí acuden.

Cabe concluir y así lo ratifica la AEPD, que la regla general para recoger y tratar datos de salud es la que exige el consentimiento libre, inequívoco, informado y expreso de los afectados y así nos lo deberían solicitar todos los centros Responsables del fichero.

IMPORTANTE

No obstante la regla general del consentimiento, habrá que respetar lo que indiquen la normativa estatal y autonómica en lo referente a las historias clínicas.

La entrada Consentimiento para tratar los datos de salud de pacientes se publicó primero en Adaptación RGPD.