¿En qué casos debe una empresa obtener el consentimiento de sus clientes?

Posted on by Mónica Beloki
22
Nov

A raíz de la entrada del Reglamento General de Protección de Datos de la Unión Europea (RGDP) y su transposición al ordenamiento jurídico español a través de la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD), el tratamiento de datos personales se encuentra altamente regulado.

De forma genérica, está prohibido que una empresa realice el tratamiento de los datos personales de sus clientes. El RGPD mantiene el principio de que todo tratamiento de datos debe encontrar una base legal en la que legitimarse. De modo que sólo es posible que una empresa trate los datos personales de su cliente cuando esté expresamente permitido en una ley, o se cumplan una de las seis bases de legitimación recogidas en el artículo 6 del RGPD.

Entre los seis presupuestos de legitimidad para el tratamiento de datos, el consentimiento es la manifestación de legitimidad más popular, y cuya regulación ha sufrido un mayor endurecimiento tras la entrada en vigor del reglamento.

De forma previa al reglamento, obtener dicho consentimiento era una tarea muy sencilla, pues si bien también era necesario obtener el consentimiento de tus clientes respecto al uso y tratamiento de sus datos personales, este podía ser tácito, y la regulación era más laxa.

Actualmente, el nuevo RGPD pone al consentimiento como uno de los pilares esenciales en la protección de datos, y exigen a las empresas que sean cuidadosos a la hora de recabarlo, pues obtener el consentimiento de forma no válida puede implicar que dichas empresas tengan que enfrentarse a la imposición de cuantiosas sanciones económicas.

¿Cuándo debo recabar el consentimiento de mis clientes?

En primer lugar, el consentimiento se exige cuando no se cumplan los otros presupuestos de legitimación recogidos en el artículo 6 del reglamento. Es decir, es necesario obtener el consentimiento cuando no se da:

  1. Una relación contractual.
  2. La concurrencia de intereses vitales del cliente o de otra persona.
  3. El cumplimiento de una obligación legal para el responsable.
  4. El interés público o ejercicio de poderes públicos.
  5. El interés legítimo.

Así mismo, el reglamento contempla una serie específica de situaciones por las cuales se debe obtener de forma explícita el consentimiento:

  1. Cuando se realiza el tratamiento de datos sensibles (artículo 9.2 RGPD):

    Los datos sensibles gozan de especial protección en el Reglamento. No sólo por su propia naturaleza, si no por su relación con los derechos y libertades de los usuarios. Datos considerados sensibles son: el origen racial o étnico, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos o biométricos capaces de identificar exclusivamente a una persona, o aquellos datos relativos a la salud, vida u orientación sexual de una persona.

  2. Cuando se adoptan decisiones automatizadas y cuando se crean perfiles (Artículo 22.2.c RGPD):

    • De forma genérica, el RGPD no permite que los clientes sean objeto de una decisión fundamentada únicamente en el tratamiento de sus datos. No obstante, este derecho no es aplicable cuando se obtiene el consentimiento del usuario.
    • Por ejemplo, si una empresa se dedica a elaborar perfiles y a tomar decisiones que afectan a sus clientes en base a los datos que recaban, como podría ser una compañía de seguros recabando datos sobre la situación económica o de salud de su cliente, se requiere que, para tomar dicha decisión en base al tratamiento de sus datos, el cliente haya prestado su consentimiento de forma previa a dicho tratamiento.

  3. Cuando se realizan transferencias internacionales de datos (Artículo 49.1. a RGPD)

    Para una empresa sólo es posible transferir los datos de sus clientes a otro país, cuando dicha transferencia no cumple las garantías exigidas por la ley, cuando el cliente haya prestad su consentimiento, y siempre y cuando se le haya informado de los riesgos que dichas transferencias implican debido a la falta de garantías.

Por último, es necesario saber que el consentimiento se debe obtener siempre una vez el cliente haya sido informado de qué datos se van a tratar, quién es el responsable del tratamiento, cómo se van a utilizar sus datos y para que finalidad o finalidades. 

Mónica Beloki
Mónica Beloki

Asesora jurídica y delegada de protección de datos con gran experiencia y un historial demostrado de trabajo en el sector de los servicios jurídicos. Experta en Asesoría Jurídica, Atención al Cliente, Satisfacción del Cliente, Seguridad Laboral y Asistencia Administrativa Ejecutiva. Licenciada en derecho y delegada de protección de datos por la Universidad del País Vasco/Euskal Herriko Unibertsitatea.

Whatsapp Logo