La granularidad al tratar datos personales: un permiso para cada finalidad
Si respetamos
la normativa de protección de datos sabremos lo importante que es obtener de
forma adecuada el consentimiento de los interesados (si nuestros
tratamientos usan esa base legitimadora en vez de otras como el cumplimiento de
una obligación legal o el interés legítimo). Sin embargo, a pesar de que
tengamos plena voluntad de cumplir con esta normativa, es posible que haya un
concepto que nos resulte poco conocido: la
granularidad.
Este término significa que debemos obtener un
consentimiento por separado para cada uno de los fines que tengan nuestros
tratamientos. Por lo tanto, no sería válido obtener un consentimiento
genérico para todas nuestras finalidades (las que están basadas en el
consentimiento, se entiende). Así, si solicitamos el consentimiento para -por
ejemplo- tratar los datos del interesado dentro de un sorteo, y también para
enviar al interesado comunicaciones publicitarias, debemos pedir dos
consentimientos en vez de uno.
El interesado
debe poder aceptar o rechazar cada una de las finalidades por separado. El Reglamento General de Protección de Datos
(RGPD) es bastante claro en este sentido. En su Considerando 32 nos dice:
«El consentimiento debe darse para todas las
actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando
el tratamiento tenga varios fines, debe darse el consentimiento para todos
ellos«.
Este mismo Criterio se repite
en el Considerando 43:
«Se
presume que el consentimiento no se ha dado libremente cuando no permita
autorizar por separado las distintas operaciones de tratamiento de datos
personales pese a ser adecuado en el caso concreto«.
Esta también es la opinión que mostró el Grupo de
Trabajo del Artículo 29 (GT29) en sus «Directrices sobre el consentimiento en el sentido del Reglamento (UE)
2016/679«, al afirmar que: «Un servicio puede conllevar múltiples operaciones de tratamiento de
datos para más de un fin. En dichos casos, los interesados deberían tener
capacidad para elegir qué fines aceptan, en lugar de tener que dar su
consentimiento a un conjunto de fines. En algunos casos, de conformidad con el
RGPD, serán necesarios varios consentimientos para comenzar a ofrecer un
servicio (…). Esta disociación está estrechamente relacionada con la
necesidad de que el consentimiento sea específico».
Lo que nos dicen el Reglamento y el GT29 es que un
consentimiento prestado para varias finalidades, pero sin granularidad, no es
un consentimiento libre. El interesado no ha tenido posibilidad de optar
entre los distintos fines del tratamiento, así que dicho consentimiento no
podría considerarse válido. Por lo tanto, es
esencial que a la hora de redactar nuestras políticas de privacidad nos
aseguremos de que se obtiene un consentimiento separado para todas las
finalidades que se basen en él. Pero esto no se limita a nuestras políticas
de privacidad. Porque hay otro campo en el que es habitual recoger datos
basándose en el consentimiento del interesado: las conocidas «cookies».
Estos pequeños trozos de código informático pueden
usarse para distintas finalidades, todas ellas relacionadas con el
tratamiento de datos de carácter personal. Así que, siguiendo todo lo que se
acaba de decir, la lógica nos indica que también debería obtenerse un
consentimiento para cada finalidad. Por lo tanto, en nuestros avisos de «cookies»
sería recomendable agruparlas por finalidades y solicitar un consentimientor
por separado en cada una de ellas. Un ejemplo sería que el usuario pudiera
rechazar las «cookies» publicitarias pero aceptar las
analíticas.
En este caso, sin embargo, no conviene tener un
exceso de celo: si en vez de agrupar las «cookies«
por finalidades elegimos que el usuario preste su consentimiento una por una,
quizá nos parezca que estamos respetando al máximo el RGPD. Pero lo que ocurre es lo contrario. Esto es así desde el
momento que un largo texto legal con un montón de botones para aceptar por
separado provoca lo que se llama «fatiga del consentimiento».
En vez de facilitar las cosas al usuario se las estamos entorpeciendo, y ello
también va en detrimento de la libertad del interesado. Su consentimiento
estaría igualmente lastrado porque le estaríamos dando un exceso de
información, cosa que puede ser tan mala como no dar ninguna. De ahí que se
prefiera la práctica de agrupar las «cookies« por finalidades.
En cualquier caso, si tiene dudas sobre si su
documentación recoge de forma legal el consentimiento, Contacto con
nosotros y resolveremos su consulta.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales
