En este post seguimos explicándote aspectos relevantes del nuevo reglamento europeo para la protección de datos personales GDPR (General Data Protection Regulation), conocido en castellano como RGPD (Reglamento General de Protección de Datos).

Al igual que en la directiva europea anterior, el nuevo GDPR exige que el tratamiento de los datos disponga de una legitimidad jurídica previa. Ésta puede basarse en:

● El consentimiento del interesado.
● Una relación contractual entre ambas partes.
● La concurrencia de intereses vitales del interesado u otras personas.
● La obligación legal por parte del responsable del tratamiento.
● La existencia de un interés de carácter público o el ejercicio de poderes públicos.
● La prevalencia de intereses legítimos por parte del responsable del tratamiento o de terceras partes a las que se comunican los datos.

La casuística más habitual es la que se refiere a la prestación del consentimiento por parte del interesado para que una organización pueda tratar sus datos de carácter personal. Por eso, en este post vamos a abordar las claves para cumplir con el GDPR en la prestación del consentimiento.


El GDPR exige que el tratamiento de los datos disponga de legitimidad jurídica previa: el interesado debe haber prestado su consentimiento para que una organización pueda tratar sus datos personales.

Claves para cumplir con el GDPR en la prestación del consentimiento al tratamiento de datos

La normativa europea siempre ha hecho especial énfasis en la prestación y obtención del consentimiento para la recogida y tratamiento de los datos de carácter personal.
Además, ahora el GDPR establece una serie de nuevos matices y condiciones que afectan también a los consentimientos prestados antes de la entrada en vigor del nuevo reglamento. Éstos podrán ser legítimos siempre que se hayan prestado del modo previsto por el GDPR.
De acuerdo con el artículo 4.11 del GDPR, el consentimiento del interesado debe constituir una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”

Consentimiento inequívoco

El GDPR incluye ahora una serie de matizaciones relativas al consentimiento inequívoco, con el fin de garantizar una acción claramente afirmativa por parte del interesado. Para ello, puedes incluir:

  • El marcado de una casilla durante la navegación online.
  • La elección de un ajuste técnico para servicios de sociedades de información.
  • Cualquier otro tipo de conducta que claramente indique que el interesado está aceptando el procesamiento de sus datos por parte de tu empresa.

Consentimiento libre

El GDPR clarifica que el consentimiento no se considerará dado libremente cuando:

  • El interesado no disponga de una elección libre y genuina o sea incapaz de rechazar o retirar dicho consentimiento.
  • Exista un desequilibrio claro entre el interesado y el responsable del tratamiento de datos.

Consentimiento específico

El consentimiento debe estar ligado con operaciones de procesamiento específicas, por lo que los consentimientos de carácter amplio para operaciones no especificadas no son válidos.
La única excepción se refiere al procesamiento de datos para la investigación científica, dado que, a menudo, resulta difícil determinar completamente los fines del procesamiento de datos en el momento de su recopilación.

Consentimiento informado

El sujeto interesado debe entender el alcance de aquello que está consintiendo y ser consciente de la identidad del responsable del tratamiento de los datos y los fines del mismo.

Consentimiento explícito

Finalmente, el GDPR obliga a que el consentimiento sea explícito en los casos en que las operaciones de procesamiento de datos afecten a:

  • Datos sensibles.
  • Elaboración de perfiles.
  • Transferencia de datos a terceros países u organizaciones internacionales.

¿Te ha resultado útil este post para garantizar una correcta prestación del consentimiento en tu empresa? Puedes dejar tu comentario aquí.

gdpr