Si respetamos la normativa de protección de datos sabremos lo importante que es obtener de forma adecuada el consentimiento de los interesados (si nuestros tratamientos usan esa base legitimadora en vez de otras como el cumplimiento de una obligación legal o el interés legítimo). Sin embargo, a pesar de que tengamos plena voluntad de cumplir con esta normativa, es posible que haya un concepto que nos resulte poco conocido: la granularidad.
Este término significa que debemos obtener un consentimiento por separado para cada uno de los fines que tengan nuestros tratamientos. Por lo tanto, no sería válido obtener un consentimiento genérico para todas nuestras finalidades (las que están basadas en el consentimiento, se entiende). Así, si solicitamos el consentimiento para -por ejemplo- tratar los datos del interesado dentro de un sorteo, y también para enviar al interesado comunicaciones publicitarias, debemos pedir dos consentimientos en vez de uno.
El interesado debe poder aceptar o rechazar cada una de las finalidades por separado. El Reglamento General de Protección de Datos (RGPD) es bastante claro en este sentido. En su Considerando 32 nos dice:
«El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos«.
Este mismo Criterio se repite en el Considerando 43:
«Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto«.
Esta también es la opinión que mostró el Grupo de Trabajo del Artículo 29 (GT29) en sus «Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679«, al afirmar que: «Un servicio puede conllevar múltiples operaciones de tratamiento de datos para más de un fin. En dichos casos, los interesados deberían tener capacidad para elegir qué fines aceptan, en lugar de tener que dar su consentimiento a un conjunto de fines. En algunos casos, de conformidad con el RGPD, serán necesarios varios consentimientos para comenzar a ofrecer un servicio (…). Esta disociación está estrechamente relacionada con la necesidad de que el consentimiento sea específico».
Lo que nos dicen el Reglamento y el GT29 es que un consentimiento prestado para varias finalidades, pero sin granularidad, no es un consentimiento libre. El interesado no ha tenido posibilidad de optar entre los distintos fines del tratamiento, así que dicho consentimiento no podría considerarse válido. Por lo tanto, es esencial que a la hora de redactar nuestras políticas de privacidad nos aseguremos de que se obtiene un consentimiento separado para todas las finalidades que se basen en él. Pero esto no se limita a nuestras políticas de privacidad. Porque hay otro campo en el que es habitual recoger datos basándose en el consentimiento del interesado: las conocidas «cookies».
Estos pequeños trozos de código informático pueden usarse para distintas finalidades, todas ellas relacionadas con el tratamiento de datos de carácter personal. Así que, siguiendo todo lo que se acaba de decir, la lógica nos indica que también debería obtenerse un consentimiento para cada finalidad. Por lo tanto, en nuestros avisos de «cookies» sería recomendable agruparlas por finalidades y solicitar un consentimientor por separado en cada una de ellas. Un ejemplo sería que el usuario pudiera rechazar las «cookies» publicitarias pero aceptar las analíticas.
En este caso, sin embargo, no conviene tener un exceso de celo: si en vez de agrupar las «cookies« por finalidades elegimos que el usuario preste su consentimiento una por una, quizá nos parezca que estamos respetando al máximo el RGPD. Pero lo que ocurre es lo contrario. Esto es así desde el momento que un largo texto legal con un montón de botones para aceptar por separado provoca lo que se llama «fatiga del consentimiento». En vez de facilitar las cosas al usuario se las estamos entorpeciendo, y ello también va en detrimento de la libertad del interesado. Su consentimiento estaría igualmente lastrado porque le estaríamos dando un exceso de información, cosa que puede ser tan mala como no dar ninguna. De ahí que se prefiera la práctica de agrupar las «cookies« por finalidades.
En cualquier caso, si tiene dudas sobre si su documentación recoge de forma legal el consentimiento, póngase en contacto con nosotros y resolveremos su consulta.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales