¿ES SUFICIENTE CON QUE EL EDITOR JUSTIFIQUE QUE HA SOLICITADO EL CONSENTIMIENTO PARA INSTALAR COOKIES? ¿O ES NECESARIO ADEMÁS ACREDITAR COMO Y CUANDO SE HA OBTENIDO?

Los requisitos para la obtención del Consentimiento son comunes Según la RGPD y la Directiva ePrivacy , lo que se requiere es:

Considerando (42) RGPD

Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.

RGPD Artículo 7. Condiciones para el consentimiento

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

Todo esto implica que se requiere poder demostrar que el interesado ha dado el consentimiento (de manera informada) a la (concreta) operación de tratamiento. No solo demostrar que se ha solicitado, en su lugar, lo que se pide es demostrar que el interesado ha otorgado el consentimiento, además de manera informada.

Directrices EDPB  5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679

5.1 Demostrar el consentimiento

  • 104. El artículo 7, apartado 1, del RGPD indica claramente la obligación explícita del responsable del tratamiento de demostrar el consentimiento del interesado. De conformidad con el artículo 7, apartado 1, le corresponde al responsable de demostrar dicho consentimiento.
  • 105. El considerando 42 establece que: «Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento».
  • 106. Los responsables del tratamiento tienen libertad para desarrollar métodos que permitan cumplir esta disposición adaptados a sus operaciones diarias. Al mismo tiempo, la obligación de demostrar que un responsable del tratamiento ha obtenido un consentimiento válido, no debe en sí misma provocar un tratamiento adicional de datos excesivo. Esto significa que los responsables deberían tener datos suficientes para mostrar un enlace al tratamiento (para mostrar que se obtuvo el consentimiento), pero no deberían recopilar más información de la necesaria.
  • 107. Corresponde al responsable demostrar que obtuvo el consentimiento válido del interesado. El RGPD no prescribe cómo debe hacerse esto exactamente. No obstante, el responsable debe poder demostrar que, en un caso concreto, un interesado ha dado su consentimiento. La obligación de demostrar el consentimiento existirá mientras dure la actividad de tratamiento de los datos en cuestión. Una vez finalizada dicha actividad, la prueba del consentimiento no deberá conservarse más allá de lo estrictamente necesario para cumplir una obligación legal o para la formulación, el ejercicio o la defensa de reclamaciones, de conformidad con el artículo 17, apartado 3, letras b) y e).
  • 108. Por ejemplo, el responsable debe mantener un registro de las declaraciones de consentimiento recibidas, de manera que pueda demostrar cómo se obtuvo el consentimiento y cuándo se obtuvo dicho consentimiento, y también deberá demostrarse la información que se facilitó al interesado en su momento. El responsable también deberá poder demostrar que se informó al interesado y que el flujo de trabajo del responsable cumplió todos los criterios pertinentes para un consentimiento válido. La lógica subyacente a esta obligación en el RGPD es que los responsables del tratamiento deben rendir cuentas con respecto a la obtención del consentimiento válido de los interesados y con respecto a los mecanismos de consentimiento que han adoptado. Por ejemplo, en un contexto en línea, un responsable podría conservar información sobre la sesión en la que se expresó el consentimiento, junto con documentación sobre el flujo de trabajo del consentimiento cuando dicha sesión tuvo lugar, y una copia de la información que se presentó en ese momento al interesado. No sería suficiente referirse únicamente a una configuración correcta del sitio web en cuestión.
  • 109. Ejemplo 21: Un hospital crea un programa de investigación científica, denominado proyecto X, para el que se requiere el historial clínico dental de pacientes reales. Los participantes se captan a través de llamadas telefónicas a pacientes que acuerdan voluntariamente formar parte de una lista de candidatos a los que se pueda contactar para este fin. El responsable del tratamiento busca el consentimiento explícito de los interesados para utilizar su historial clínico dental. El consentimiento se obtiene por teléfono mediante la grabación de una declaración verbal del interesado en la que confirma que está de acuerdo con que se utilicen sus datos para los fines del proyecto X.
  • 110. El RGPD no establece un límite de duración para el consentimiento. La duración del consentimiento dependerá del contexto, del alcance del consentimiento original y de las expectativas del interesado. Si las operaciones de tratamiento cambian o evolucionan de manera considerable, el consentimiento original dejará de tener validez. En este caso, deberá obtenerse un nuevo consentimiento.
  • 111. El CEPD recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Facilitar toda la información de nuevo contribuye a garantizar que el interesado sigue estando bien informado sobre cómo se utilizan sus datos y sobre cómo ejercer sus derechos.

Por todo esto recomendamos, además de tener actualizados los tratamientos y los textos legales en la web (política de privacidad, política de cookies y aviso legal), implantar un gestor de consentimiento de cookies que mantenga un registro seguro de todos los consentimientos, obligados por ley, para que en el caso de ser requeridos poder demostrarlo.