Sobre el consentimiento en el Reglamento Europeo de Protección de Datos

Elementos descriptivos y explicativos

Por José Julio Fernández Rodríguez [1]

1. Introducción [arriba] 

La Unión Europea (UE), pese a su relevante dimensión económica, siempre ha estado atenta a la protección de los derechos humanos o fundamentales. Un hito destacado en este sentido es la materia de protección de datos. De esta forma, el art. 8 de la Carta de Derechos Fundamentales de la UE y el art. 16.1 del Tratado de Funcionamiento de la UE preceptúan que toda persona tiene derecho a la protección de datos de carácter personal que le conciernan.[2]

Dotando de contenido a esta previsión, actualmente la referencia básica es el Reglamento UE 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por lo que se deroga la Directiva 95/46/CE (en adelante REPD). Su aplicación comenzó el 25 de mayo de 2018 en todo el territorio de la UE. Asimismo, hay que citar la norma que se aplica específicamente a los órganos de la UE. Se trata del Reglamento (CE) Nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos. A su vez, la norma europea que regula la protección de datos en el ámbito de la investigación y ejecución penal es la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes, para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.[3]

La UE es una organización internacional sui generis, con personalidad jurídica y un ordenamiento jurídico propio distinto del ordenamiento internacional. Ese ordenamiento se inserta en los ordenamientos de los países miembros, desplazando de su aplicación al Derecho interno. El Derecho de la UE tiene un efecto directo y una primacía, que no hay que entender en el sentido de superioridad jerárquica, sino como una preferencia en la aplicación.

Las normas de la UE se pueden clasificar en dos grandes tipos: normas primarias y normas derivadas. El Derecho primario, en la cima jerárquica, está conformado por los tratados y los principios generales del Derecho. Por su parte, el Derecho derivado se basa en los mencionados tratados, que deberá respetar para ser válido. En él, se encuentran: el reglamento, la directiva, la decisión, la recomendación y el dictamen (art. 288 del Tratado de Funcionamiento de la Unión Europea). Precisamente, como hemos dicho, la nueva norma de protección de datos de la UE es un reglamento. El reglamento tiene alcance general, resulta obligatorio en todos sus elementos y directamente aplicable en cada estado miembro. De esta forma, el reglamento se aplicará de manera directa en todos los Estados de la Unión Europa, en la fecha que establezca de entrada en vigor (de no fijar ninguna, a los veinte días de su publicación en el Diario Oficial de la UE). Esto significa que no es necesario que se adopte un acto nacional de transposición[4], aunque pueda ser conveniente para ganar en certeza y seguridad jurídica, incluso necesario (con el objeto de depurar el ordenamiento interno y complementar al reglamento de que se trate).

Como afirma Jiménez Asensio, la derogación de la Directiva 96/45/CE y su sustitución por el REPD: “no es una operación normativa menor”, sino motivada por el cambio de un contexto (tecnológico), en el que nuestra vida se está datificando (es decir, revelamos sin querer enormes cantidades de información).[5] Asimismo, debemos apuntar que optar por una norma con eficacia directa como un reglamento permite superar los obstáculos que malograron la finalidad armonizadora de esa Directiva 96/45/CE.

2. Un esbozo del reglamento europeo de protección de datos [arriba] 

Además de la finalidad armonizadora aludida, la UE, por medio del REPD, reforma la normativa de protección de datos ante la evolución de la realidad social y de la propia tecnología digital de los últimos años. Se trata de un cambio de mucha relevancia, pues se pasa de un sistema reactivo de protección de datos (a través de la inscripción de ficheros) a un modelo de supervisión continua y cotidiana. La elaboración de dicho reglamento fue compleja y muy trabajada[6], como lo demuestra el elevado número de temas que trata, y, también, su tono confuso en distintos momentos. Este carácter abigarrado resulta sin ningún género de dudas una dificultad hermenéutica.[7]

Las motivaciones del REPD son ciertamente elevadas, por decirlo de algún modo. Como se señala en su considerando 2: “el presente reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas”. De esta forma, parece depositarse en una correcta normativa de protección de datos la evolución de la UE, tanto en términos jurídicos, como sociales y económicos. Quizá resulte un tanto hiperbólico, pero es cierto que subraya la importancia rutilante de este tema en el Viejo Continente. No cabe duda de que el avance tecnológico y la globalización han llegado hasta tal punto que la vida de las personas puede verse muy afectada. Las tecnologías disruptivas serían el ejemplo paradigmático de dicha afirmación.

De esta forma, la UE confía en la protección de datos para hacer frente a tal tesitura. No en vano, como de nuevo encontramos en los considerandos del REPD, “el tratamiento de datos personales debe estar concebido para servir a la humanidad” (considerando 4°). Pero la UE también es consciente de los nuevos retos para la protección de datos: “La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa”, además de que “la tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes” (considerando 6°).

Como hemos dicho, el REPD, aunque fue aprobado el 27 de abril de 2016, no se aplicó hasta el 25 de mayo de 2018. Una vacatio tan extensa pretendía facilitar la adaptación a las nuevas exigencias, que responden a un modelo nuevo proactivo y no reactivo, asentado en la atención continua que los responsables deben prestar al tema. Unos responsables que deben adoptar las medidas técnicas y organizativas adecuadas, objeto de revisión y actualización cuando sea necesario (art. 24 REPD).

Su contenido abarca, entre otras cosas, los principios que deben seguirse en el tratamiento de datos (art. 5 REPD); las bases de legitimación de dicho tratamiento (la licitud, art. 6); las categorías especiales (art. 9); los derechos de los interesados (arts. 12 y ss.); las figuras del responsable de tratamiento, encargado y delegado de protección de datos; el registro de actividades de tratamiento (art. 30); la evaluación de impacto (art. 35); las trasferencias a terceros países (arts. 44 y ss.); las autoridades de control (arts. 51 y ss.); o las situaciones específicas de tratamiento (arts. 85 y ss.).

A pesar de la extensión del REPD y de los muchos aspectos regulados, permanece pendiente la concreción de relevantes cuestiones (como las bases de legitimación “interés público” o “interés legítimo”), al margen de las abundas remisiones al Derecho de los Estados.

3. La protección de datos como derecho fundamental [arriba] 

La consideración de la protección de datos como derecho fundamental le otorga toda la significación propia de tales derechos. De esta forma, no hay que olvidar que los derechos fundamentales son la clave de bóveda sobre la que se asienta un sistema público, siendo parte esencial de la constitución respectiva y del orden político. La democracia solo será verdaderamente tal si se prevén y garantizan con corrección estos derechos. Los derechos fundamentales se nos revelan, así, como la base epistemológica de la sociedad y de los poderes públicos. También, la protección de datos, que se conecta por esta vía con la propia dignidad de la persona. La posición central de los derechos fundamentales en el sistema también les otorga una dimensión integradora y transformadora, creando un marco de convivencia justa y pacífica (en la línea que marca, por ejemplo, el art. 10 de la Constitución española).

Como derechos que son, los derechos fundamentales suponen unas capacidades o posibilidades de actuación en manos de sus titulares. En el caso de la protección de datos, la concreción de esa idea está clara: la potestad de control que tiene toda persona sobre el uso que se hace de sus datos personales, y la capacidad de disponer y decidir sobre los mismos. El Tribunal Constitucional español en su famosa Sentencia N° 292/2000 hablaba del “derecho a controlar el uso de los datos”, que atribuye a su titular un “haz de facultades”, consistentes “en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos” (fundamento jurídico 5). De esta forma, a pesar de la afinidad con el derecho a la intimidad, el derecho a la protección de datos es diferente, pues tienen distinta función, objeto y contenido.

El derecho fundamental a la protección de datos se ha convertido en un elemento esencial de la convivencia democrática. Frente al imparable avance de la Sociedad de la Información, la protección de datos ofrece una defensa a las personas ante las agresiones a su privacidad, agresiones que son tanto cuantitativas (a escala planetaria, incluso), como cualitativas (como nuevas formas de agresión que emplean instrumentos digitales[8]). La Sociedad de la Información en la que vivimos genera evidentes riesgos para la ciudadanía y, como ya hemos aseverado, “frente a tales riesgos las garantías derivadas de la protección de datos ocupan un lugar preeminente”.[9] El REPD semeja una respuesta específica de la UE a tales retos.

En España, el derecho fundamental a la protección de datos se derivó del art. 18.4 de la Constitución, en virtud, sobre todo, de la interpretación en semejante línea efectuada por el Tribunal Constitucional en su citada Sentencia N° 292/2000. En este sentido, se siguieron las previsiones del Derecho Comparado y del Derecho Internacional.[10] También, la doctrina fue muy influyente, a través de la figura del derecho a la autodeterminación informativa.[11]

Es hasta cierto punto curioso ver cómo este derecho a la protección de datos contiene en su interior otros derechos o tal vez, subderechos. Estos eran básicamente cuatro, conocidos en castellano con el acrónimo ARCO: derecho de acceso, rectificación, cancelación y oposición. Con el nuevo REPD, los derechos se amplían, y hay que hablar de derecho de información, acceso, rectificación, supresión, limitación de tratamiento, portabilidad, oposición, y no decisión única, además de otros derechos como los que presentar una reclamación ante la autoridad de control, o la tutela judicial contra una decisión de una autoridad de control, o también la tutela judicial frente a un responsable o encargado de tratamiento.

Al mismo tiempo, hay que tener presente una idea clave: la calidad de la democracia exige no solo prever derechos para la ciudadanía, sino también mantener la eficacia de los mismos y reconstruir, si resulta preciso, las categorías jurídicas para que su protección siga vigente. O sea, actualizar los mecanismos de garantía para que las nuevas situaciones no mengüen la aplicación de los derechos ínsitos a la persona, y que si hay razones para limitarlos, que ello se haga por el procedimiento legal establecido fundado en el principio de proporcionalidad.[12] En la materia que ahora nos ocupa, la de protección de datos, el REPD actualizar y endurece su sistema de garantía a través de multas que pueden ser de elevadísima cuantía (art. 83 REPD). Diversas cuestiones relativas al consentimiento pueden ser infracciones (como el art. 83.5.a REPD).[13]

En fin, la evolución de la protección de datos a lo largo del tiempo ejemplifica estos esfuerzos de actualización a las nuevas realidades (sobre todo, su adaptación al mundo digital). Esperemos que pueda mantener la eficacia que comentamos en el agresivo entorno tecnológico que se avecina.

4. La licitud del tratamiento de datos [arriba] 

El tratamiento de datos personales se considera legítimo y se encuentra por tanto permitido, si existe una base justificada, es decir, lícita, para ello. Es la idea que denota la expresión “bases de tratamiento” o, como hace el REPD, “licitud de tratamiento”.

Estos supuestos son un elenco cerrado, de manera que fuera de los casos que expresamente permiten el tratamiento de los datos, este no estará autorizado. El consentimiento, como vamos a ver ahora, es la primera de esas bases que justifican el tratamiento de datos.

En efecto, en virtud del art. 6.1 del REPD, las condiciones que hacen lícito el tratamiento son las siguientes (recogemos literalmente ahora esa previsión para no perder los matices que les ha dado el legislador europeo):

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

La regla general del punto f) tiene una importante excepción, en la medida que no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Asimismo, también hay que tener en cuenta que este REPD se abre al margen de aplicación nacional. De este modo, los Estados miembros “pueden mantener o introducir disposiciones más específicas”, en su regulación de los supuestos que hemos señalado en las letras c) y e), “fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo”.

Del mismo modo, se establecen previsiones adicionales para estos dos supuestos referidos a tratamiento derivado de una obligación legal o en cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. En estos dos supuestos, la base de tratamiento deberá ser establecida o bien por el Derecho de la Unión o bien por el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

Sea como fuere, como afirma el Grupo del art. 29, el consentimiento solo puede ser una base jurídica adecuada “si se ofrece al interesado control y una capacidad real de elección con respecto a si desea aceptar o rechazar las condiciones ofrecidas o rechazarlas sin sufrir perjuicio alguno”.[14] Es lo que intenta el nuevo consentimiento del REPD, que marca una clara evolución desde formas anteriores.

5. El consentimiento como base de legitimación del tratamiento de datos [arriba] 

A) Sentido y concepto

La categoría del consentimiento siempre ha sido esencial en el ámbito de protección de datos. Es, sin duda, la base de legitimación de tratamiento primigenia. Incluso, en el nuevo REPD, esto se subraya aún más, al aludir a su carácter libre, específico, informado e inequívoco, además de entenderlo como un “acto afirmativo claro” (considerando 32° REPD). Cualquier persona puede renunciar al secreto de sus dados y cederlos para su uso. Ello es una manifestación de autonomía de voluntad ligada a este derecho fundamental. Pero esto debe hacerse con claridad, huyendo de situaciones confusas del pasado, incluso engañosas. Antes no dejaba de ser habitual ver formularios con información con una letra ilegible por pequeña o con una redacción que no se sabía qué significaba. Estas disfunciones son las que trata de superar el legislador europeo con la nueva regulación. De esta forma, se han incrementado las exigencias para la validez del consentimiento, o, como dice López Calvo, se refuerzan sus requisitos.[15]

En esta línea, por “consentimiento del interesado” se entiende: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” (art. 4 REPD, relativo a “definiciones”, en el punto 11).

El citado considerando 32° del REPD, como ejemplos de un consentimiento de este tipo, cita “una declaración por escrito, inclusivo por medios electrónicos, o una declaración verbal”. Y continúa precisando los ejemplos: “marcar una casilla de un sitio web en Internet” o “escoger parámetros técnicos para la utilización de servicios de la sociedad de la información”. Esto es, cualquier declaración o conducta “que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento”.

Por lo tanto, los elementos de un consentimiento válido, como resume el Grupo de Trabajo del art. 29, se concretan en esa manifestación de voluntad libre, específica, informada e inequívoca.[16]

B) Exigencias

Puede decirse que la figura del consentimiento en el REPD presenta una serie de condiciones o exigencias, todas ellas de importancia.

En este marco que hemos comentado de claridad y transparencia, es razonable una de las previsiones de gran transcendencia práctica: si para el cumplimiento de un mismo fin o mismos fines, es necesario llevar a cabo diversas actividades, el consentimiento debe darse para todas esas actividades de tratamiento (considerando 32° REPD). Y, por supuesto, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos (ibídem). O sea, el consentimiento es individualizado al requerirse para todos los fines.

Asimismo, es importante tener presentes las condiciones para que este consentimiento se emita de manera correcta, lo cual puede englobar varios aspectos. A esto se refiere el art. 7 del REPD, que se rotula precisamente así, “condiciones para el consentimiento”. Veámoslo.

En primer lugar, “cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales” (art. 7.1, y considerando 42°). Esto obliga a los responsables a protocolizar el archivo de los consentimientos, aparentemente sine die, para lograr cumplir en el futuro con esa exigencia de prueba de consentimiento.

Si el consentimiento se produce en el contexto de una declaración escrita que también se refiere a otros asuntos (supuesto muy habitual en formularios de todo tipo), “la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo” (art. 7.2 y considerando 42°).[17] Si hay una infracción de estas previsiones, no se genera ningún tipo de vinculación u obligación jurídica para ninguna de las partes. De nuevo, estamos ante una concreción de la idea de lealtad y claridad, con el objetivo de que el interesado no se vea engañado y se dé cuenta en todo caso de lo que está aceptando. El consentimiento debe ser, por lo tanto, un acto consciente y buscado por el interesado. La presencia de medios electrónicos también reclama esta claridad, aunque no más allá de lo necesario para no obstaculizar el servicio. A ello se refiere de nuevo el considerando 32° REPD: “si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”.

El considerando 42° REPD alude a otras dos cuestiones de interés en las condiciones del consentimiento: para que el consentimiento sea informado, el interesado, debe conocer como mínimo la identidad del responsable de tratamiento y los fines de tratamiento; y el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Si existe un desequilibrio entre interesado y responsable de tratamiento, como cuando el responsable es una autoridad pública, y resulta improbable que el consentimiento se haya dado libremente, no hay un fundamento válido para el tratamiento (considerando 43°). Como se ve, los considerandos que anteceden al articulado del REPD aportan en este caso concretos criterios interpretativos, en una especie de interpretación auténtica en lo relativo a consentimiento informado y en lo que se refiere a un aspecto del consentimiento libre.

En todo caso, el carácter verdaderamente informado del consentimiento encuentra una destacada dificultad en la compleja comprensión de algunos procesos tecnológicos de tratamiento. A esto se refiere López Calvo al aludir a la adhesión a redes sociales, con cláusulas de privacidad extensas y farragosas.[18] Ante esto, la ciudadanía precisa la ayuda de las autoridades de control.

Además, al evaluar si el consentimiento se ha dado libremente, hay que tener en cuenta si la ejecución de un contrato (lo que incluye la prestación de un servicio) “se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato” (art. 7.4). Se trata de otra manifestación del principio de minimización en el tratamiento de datos, que exige que los datos que se traten sean los adecuados a la finalidad, no excesivos. La exigencia de este exceso, como vemos, repercute negativamente en la libertad del consentimiento.

De igual modo, se presume que el consentimiento no se ha dado libremente “cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento” (de nuevo considerando 43°).

De todos modos, en el ámbito laboral, el Derecho de los Estados miembros o lo convenios colectivos, en interpretación del considerando 155° REPD, pueden establecer normas específicas de tratamiento de datos personales, “en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador”.

De nuevo citamos al Grupo de Trabajo del art. 29 para resumir la mayor parte de lo dicho en este subepígrafe: para analizar una manifestación de voluntad libre, hay que tener en cuenta el posible desequilibrio de poder, la condicionalidad (art. 7.4 REPD), la disociación de los fines de tratamiento y el perjuicio (al que nos referimos después).[19]

C) Condenas e infracciones penales

Un supuesto específico viene constituido por el tratamiento de datos personales relativos a condenas e infracciones penales, a los que el REPD le dedica un precepto ad hoc, el art. 10. En función del mismo, este tratamiento, sobre la base de los supuestos que lo hacen lícito (el ya visto art. 6.1), “solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados”.

A su vez, el registro completo de condenas penales sólo podrá llevarse a cabo bajo el control de las autoridades públicas.[20]

D) Retirada del consentimiento

El interesado tiene derecho a retirar su consentimiento en cualquier momento (art. 7.3 REPD). Tal previsión hay que ubicarla en la órbita de la autonomía de la persona titular de los datos implicados. Su potestad de control también se extiende a la revocación del consentimiento dado con anterioridad. Ello resulta coherente con la conformación de un derecho fundamental. Otra cosa es el régimen de consecuencias, previas y posteriores, que reflejamos más abajo. En todo caso, como ya citamos, el consentimiento no debe considerarse libremente prestado, cuando el interesado no puede “retirar su consentimiento si sufrir perjuicio alguno” (considerando 42° in fine). Ejemplos de perjuicio son: el engaño, la intimidación, la coerción o consecuencias negativas importantes.[21]

La retirada no afecta la licitud del tratamiento basada en el consentimiento previo a su retirada. Es decir, la retirada del consentimiento no tiene efectos retroactivos, y mantiene como legítimo el tratamiento anterior que efectivamente estaba basado en un consentimiento previo. La normativa europea aporta, incluso, más detalles en ese mismo lugar (art. 7.3): por un lado, antes de dar su consentimiento, el interesado será informado de que puede retirar dicho consentimiento (también arts. 13.2.c y 14.2.d); y, por otro, que será tan fácil retirar el consentimiento como darlo. La retirada de consentimiento origina el derecho de supresión de los datos (considerando 65° y art. 17.1.b).

Con esta regulación, se busca que el interesado esté en una verdadera situación de libertad para retirar o no su consentimiento a un tratamiento de datos. Que sepa que lo puede hacer y que lo podrá hacer con facilidad.

E) Clasificaciones y manifestación de voluntad

Con base en distintas variables se pueden clasificar los consentimientos. Quizá la más repetida en el pasado es la de mayor significación: consentimiento expreso y consentimiento tácito.[22] Obviamente, en la práctica, el primero de ellos despierta menos problemática, sobre todo cuando es por escrito. Por su parte, el consentimiento tácito ha originado situaciones complicadas y difusas, referidas, por ejemplo, a la no realización de ciertos actos o a la falta de negación expresa.

Con el nuevo REPD, hay que entender que ya se excluye el consentimiento tácito[23], que antes era aceptado. En efecto, este reglamento trata de huir de situaciones oscuras y defiende en sus considerandos, el consentimiento como acto afirmativo “claro” (el mencionado considerando 32°). Ya citamos antes como en ese lugar se indica que la manifestación de voluntad que es el consentimiento se puede prestar “por medio de una declaración por escrito, inclusive por medios electrónicos o una declaración verbal”. Se acepta cualquier declaración o conducta “que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales”. Por lo tanto, “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. Como afirma López Calvo, según el REPD: “el que calla ya no otorga, el que calla no dice nada”.[24]

F) Excepciones

En la normativa de protección de datos, es muy habitual que, al lado de las previsiones genéricas de una cuestión, existan excepciones. Ello hace a este sector del ordenamiento jurídico ciertamente complejo. En el ámbito del consentimiento, esto también tiene lugar.

Como hemos dicho, la regla general para que sea posible tratar datos personales es el consentimiento del interesado, que aparece como el principio legitimador de todo tratamiento. El resto de los supuestos que hemos visto supra, que también hacen lícito el tratamiento, serían excepciones a dicha regla general (art. 6.1 del REPD, apartados b, c, d, e, f).

Un aspecto específico que cabe considerar en este apartado es el régimen que se sigue cuando el tratamiento no requiere identificación (art. 11 REPD); por lo tanto, no hay consentimiento del interesado. En este caso, el responsable “no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir” con el REPD (art. 11.1). Ello es diferente al tema de la información. Así, cuando el responsable “sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible” (art. 11.2). En tales casos, prosigue esta norma europea en el mismo lugar, “no se aplicarán los arts. 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”. Estos artículos se refieren a los derechos de acceso, de rectificación, de supresión, limitación del tratamiento, y a la portabilidad, además de a la obligación de notificación relativa a la rectificación o supresión de datos personales.

También, podemos aludir en este subapartado de excepciones a la previsión que efectúa el REPD en su considerando 171°: “Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE (que deroga), no es necesario que el interesado dé su consentimiento de nuevo, si la forma en que se dio el consentimiento se ajusta a las condiciones del presente reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente reglamento”.

6. El caso específico del consentimiento de los menores [arriba] 

Ciertamente, la interacción entre menores y tecnología digital es problemática, lo que se refleja en los múltiples riesgos que se generan para su correcta socialización y formación.[25] Por ello, en el tema de protección de datos es tradicional que existan previsiones específicas para los menores.

Así también ocurre en el REPD, donde nos topamos con singularidades que es necesario comentar. Los menores, por sus características, requieren una protección adicional en el empleo de sus datos. Como señala el considerando 38° del REPD, los niños “pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales”. El peligro se advierte sobre todo en la utilización de datos de menores “con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño”. No cabe duda de que el mundo digital actual expone a los menores a peligros continuos. Su entendimiento todavía no desarrollado como el de un adulto les impide mostrar espíritu crítico y precavido, lo que sería una forma de protección en el escenario actual.

El REPD aborda este tema en el art. 8, que rotula: “condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información”. Por lo tanto, como indica López Álvarez, no se refiere a las disposiciones generales de Derecho contractual de los Estados miembros, “como las normas relativas a la validez, formación o efectos de los contratos”.[26]

Centrándonos ahora en lo que dice el REPD, cuando estamos en el supuesto general del consentimiento para el tratamiento de datos (art. 6.1.a REPD), en el caso de “oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años”. Es decir, si el menor tiene 16 años o más puede consentir él por sí mismo. Puede y debe consentir pues un tercero, como los padres, no puede sustituir ese consentimiento. En cambio, “si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó”.

No obstante, estas previsiones están en parte subordinadas al margen de apreciación nacional, ya que los Estados miembros “podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años” (en España, el proyecto de ley actual alude a 14 años[27]).

En este orden de cosas, el REPD expresa una cautela adicional al entender que tal regulación “no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño” (art. 8.3).

La importancia del tema del consentimiento de los menores reclama una diligencia adicional para los responsables de tratamiento. Así, estos harán “esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible” (art. 8.2 REPD). Sin embargo, esta misma norma interpreta que: “el consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños” (considerando 38°).

El derecho de supresión de datos personales será pertinente si el interesado, siendo ya adulto, dio su consentimiento siendo niño y no era plenamente consciente de los riesgos que implica el tratamiento, en especial en Internet (considerando 65° REPD).

Como se ve, el REPD no concreta cómo se debe obtener el consentimiento de los padres. Ante ello, el Grupo de Trabajo del art. 29 recomienda “la adopción de un enfoque proporcionado”, coherencia con el principio de minimización de datos, que se puede concretar en “obtener una cantidad limitada de información, por ejemplo, los datos de contacto de un padre o tutor”.[28]

7. Las categorías especiales de datos [arriba] 

Un tema conectado parcialmente con el del consentimiento, que estamos abordando en estas páginas, es el del régimen del tratamiento de una serie de categorías especiales de datos, llamada a sustituir a la anterior regulación de datos especialmente protegidos. Se trata de datos “particularmente sensibles en relación con los derechos y libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos” para estos derechos y libertades (considerando 51° REPD).

Pasamos a exponer brevemente estas previsiones por momentos abigarradas, centrándonos en el art. 9 del REPD.

Hay una relevante prohibición genérica, que funciona como punto de partida: “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física” (art. 9.1 REPD).

Esta prohibición presenta diez excepciones en el art. 9.2, que vuelven a demostrar la característica comentada de la normativa de protección de datos (régimen general acompañado de muy relevantes excepciones). Estas excepciones son las siguientes circunstancias, que citamos a continuación literalmente para reflejar mejor sus matices:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1° no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3°;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el art. 89, apartado 1°, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Como se ve, el consentimiento del interesado figura como la primera de las excepciones a la prohibición de tratamiento de datos especiales. Pero este consentimiento debe ser “explícito”, lo que representa un paso más a lo visto en los dos subepígrafes anteriores. Por lo tanto, ante tratamiento de datos no especiales, hay que interpretar que cabe un consentimiento implícito (pues el explícito solo se cita para los datos especiales), que en todo caso será inequívoco, específico y claro, como reclama el propio concepto de consentimiento que en todo caso maneja el REPD. También, se prevé consentimiento expreso en el art. 49 (transferencias de datos a terceros países en ausencia de garantías adecuadas) y en el art. 22 (decisiones individuales automatizadas, incluidas elaboración de perfiles).[29]

Respecto al punto h de las excepciones citadas en datos especiales (tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral, diagnóstico médico, prestación sanitaria, o gestión de sistemas o servicios sanitarios), el tratamiento debe ser realizado por “un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes” (art. 9.3).

En este ámbito, también existe margen de apreciación nacional en el tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. Así, para este tipo de datos, los Estados miembros de la Unión Europea “podrán mantener o introducir condiciones adicionales, inclusive limitaciones,” en su tratamiento.[30]

En el tratamiento necesario para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (letra j), hay que estar a lo que prevé el art. 89.1 REPD. Este precepto contempla una serie de garantías y excepciones en ese tratamiento. Así las cosas, estará sujeto a las garantías adecuadas “para los derechos y las libertades de los interesados”, que englobarán “medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales”. Entre tales medidas, se halla la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. En todo caso, se empleará la seudonimización “siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados”.

Puede suceder que a veces no es posible determinar totalmente la finalidad de tratamiento de datos, con fines de investigación científica en el momento de recogida. El hecho de estar al comienzo de una investigación puede llevar a esas dudas iniciales. Con respecto a ello, el considerando 33° del REPD interpreta que “debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica”. Además, “los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida”.

8. Conclusiones [arriba] 

En los primeros apartados de este artículo, hemos hecho un rápido recorrido situacional sobre el sentido y alcance del REPD, en el marco de la propia UE. Además, enfatizamos la posición del derecho de protección de datos como derecho fundamental.

Asimismo, hemos comentado ciertas cuestiones referidas a la licitud del tratamiento de datos, y nos hemos parado en el consentimiento, un concepto de gran relevancia en protección de datos, que hay que tener en cuenta de manera cotidiana, pues aporta multitud de claves para poder efectuar un uso o tratamiento de datos personales o para analizar si este tratamiento es legítimo o no. Ello tiene gran relevancia práctica, ya que puede suponer la comisión de infracciones, como lo demuestran las normas nacionales que han desarrollado el REPD.

El nuevo sistema del REPD ha endurecido los requisitos del consentimiento. Sin duda, se busca superar situaciones disfuncionales anteriores, en las que la ciudadanía podía verse engañada. Ahora, como muestra de la lealtad que los responsables deben tener con los interesados, dicho consentimiento debe ser, entre otras cosas, inequívoco. Podría decirse que ello también supone que las organizaciones y entidades que tratan datos deben ser leales con la ciudadanía, y no aprovecharse de una hipotética posición dominante, basada en la distinta correlación de fuerzas entre una gran corporación, por ejemplo, y un ciudadano anónimo.

El consentimiento presenta diversas situaciones, pues diferentes de las cuestiones genéricas referidas al mismo son los aspectos específicos del consentimiento de menores y las particularidades en el tratamiento de datos especiales. Todo ello conforma un régimen complejo que necesita ser aplicado de manera precisa. De lo que se trata es de mantener eficaz un elemento clave, el consentimiento, del régimen del derecho fundamental de protección de datos, un verdadero baluarte de los actuales sistemas sociojurídicos, presionados por un sinfín de retos que también obstaculizan la aplicación de la normativa de protección de datos.

El futuro es problemático, pues los avances de las tecnologías disruptivas dificultarán mantener el control de nuestros datos[31], con robots que tratarán autónomamente datos sin intervención humana, con dispositivos que se comunican entre sí, y también con máquinas a las que les delegaremos funciones en este ámbito. ¿Serán capaces, por ejemplo, de consentir por separado para cada finalidad de tratamiento en nuestra representación? El futuro necesita juristas avezados en la protección de datos…y en la tecnología.

Bibliografía [arriba] 

FERNÁNDEZ RODRÍGUEZ, José Julio, Lo público y lo privado en Internet. Intimidad y libertad de expresión en la Red, UNAM, México D. F., 2004, disponible en https://biblio.jurid icas.un am.mx/bj v/detalle- libro/1167-lo-p ublico-y-lo-pr ivado-en-in ternet-intimi dad-y-libertad -de-expr esion-en-la-red.

FERNÁNDEZ RODRÍGUEZ, José Julio, “Reflexiones sobre Internet y los derechos fundamentales”, en Lucio Pegoraro y Silvia Bagni (eds.), Internet, decentramento, diritti, Clueb, Bolonia, 2006, págs. 21 y ss.

FERNÁNDEZ RODRÍGUEZ, José Julio, “Aproximación general a la reforma normativa: el reglamento europeo. Principios generales”, en Concepción Campos Acuña (dir.), Aplicación práctica y adaptación de la protección de datos en el ámbito local, Wolters Kluwer, Madrid, 2018, págs. 33 y ss.

GRUPO DE TRABAJO DEL ART. 29, Directrices sobre el consentimiento en el sentido del Reglamento UE 2016/679, 2017. Disponible en file:///C:/U se rs/jojuf/Ap pData/Loc al/Temp/Temp1_2018 0709_wp259 rev01ava ilablela nguage sversion szip%20(1). zip/wp259% 20rev%2 00.1_ES.pdf.

JIMÉNEZ ASENSIO, Rafael, “Epílogo”, en Concepción Campos Acuña (dir.), Aplicación práctica y adaptación de la protección de datos en el ámbito local, Wolters Kluwer, Madrid, 2018, págs. 625 y ss.

LÁZARO GONZÁLEZ, Isabel E., MORA PRATO, Nora, y SARZANO VOLART, Carmen (coords.), Menores y nuevas tecnologías, Tecnos, Madrid, 2012.

LÓPEZ AGUILAR, Juan Fernando, “Data Protection Package y Parlamento Europeo”, en Artemi Rallo Lombarte y Rosa García Mahamut (eds.), Hacia un nuevo Derecho Europeo de protección de datos, Tirant lo blanch, Valencia, 2015, págs. 29 y ss.

LÓPEZ ÁLVAREZ, Luis Felipe, Protección de datos personales: adaptaciones necesarias al nuevo reglamento europeo, Lefebvre, Madrid, 2016.

LÓPEZ CALVO, José, Comentarios al reglamento europeo de protección de datos, Sepin, Madrid, 2017.

LUCAS MURILLO, Pablo, El derecho a la autodeterminación informativa, Tecnos, Madrid, 1990.

MARTÍNEZ MARTÍNEZ, Ricard (coord.), Protección de datos, Tirant lo Blanch, Valencia, 2009.

Notas [arriba] 

[1] Profesor titular de Derecho constitucional. Delegado de Protección de Datos. Universidad de Santiago de Compostela (España).
[2] También, la otra gran organización europea, el Consejo de Europa, le prestó atención a este tema hace tiempo a través de uno de los documentos pioneros a nivel internacional: el Convenio Nº 108 del Consejo de Europa, de 28 de enero de 1981, para la Protección de las personas respecto al tratamiento automatizado de datos de carácter personal.
[3] De igual modo, hay que aludir a la Directiva 2000/31/CE, relativa a determinados aspectos de los servicios de la Sociedad de la Información, en particular el comercio electrónico en el mercado interior; y a la Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.
[4] En cambio, la directiva obliga a los Estados destinatarios en cuanto al resultado. Es decir, sobre estos Estados pesa tal obligación de resultado, pero ellos eligen la forma y los medios para alcanzar dicho resultado. Por eso, se dice que el legislador nacional debe adoptar un acto de transposición en el Derecho interno que adapte la legislación nacional a los objetivos de la directiva. En este proceso, los Estados tienen cierta discrecionalidad, que les sirve para tener en cuenta las particularidades nacionales. Como regla general, las directivas no son directamente aplicables (de forma excepcional el Tribunal de Justicia de la UE ha considerado que ciertas previsiones de una directiva pueden tener efectos directos en un estado miembro, cuando confieran derechos a los individuos, sean disposiciones claras y precisas y la directiva no haya sido traspuesta o lo haya sido de forma incorrecta). En protección de datos, fue muy relevante la ya derogada y citada Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
A su vez, las decisiones son obligatorias en todos sus elementos y tienen un alcance individual. Se dirigen tanto a Estados miembros específicos, como a particulares.
Y las recomendaciones y dictámenes no son vinculantes y no crean derechos ni obligaciones en los destinatarios. Lo que ofrecen son orientaciones con relación a la interpretación del Derecho de la Unión.
[5] JIMÉNEZ ASENSIO, Rafael, “Epílogo”, en Concepción Campos Acuña (dir.), Aplicación práctica y adaptación de la protección de datos en el ámbito local, Wolters Kluwer, Madrid, 2018, pág. 628.
[6] Un recorrido por este proceso puede verse en LÓPEZ AGUILAR, Juan Fernando, “Data Protection Package y Parlamento Europeo”, en Artemi Rallo Lombarte y Rosa García Mahamut (eds.), Hacia un nuevo Derecho Europeo de protección de datos, Tirant lo blanch, Valencia, 2015.
[7] FERNÁNDEZ RODRÍGUEZ, José Julio, “Aproximación general a la reforma normativa: el Reglamento europeo. Principios generales”, en Concepción Campos Acuña (dir.), Aplicación práctica y adaptación de la protección de datos en el ámbito local, Wolters Kluwer, Madrid, 2018, pág. 54.
[8] Este tema de las nuevas agresiones a la intimidad en el mundo digital lo hemos estudiado en nuestro libro Lo público y lo privado en Internet. Intimidad y libertad de expresión en la Red (UNAM, México D. F., 2004, págs. 99 y ss., disponible en https://biblio.juridica s.unam.mx/bjv/d etalle-libro/1167 -lo-publico -y-lo-privado-en –internet -intimidad-y -libertad-de- expresion- en-la-red). También, en nuestro artículo “Reflexiones sobre Internet y los derechos fundamentales”, publicado en Lucio Pegoraro y Silvia Bagni (eds.), Internet, decentramento, diritti, Clueb, Bolonia, 2006, págs. 21 y ss.
[9] FERNÁNDEZ RODRÍGUEZ, José Julio, “Aproximación general…”, op. cit., pág. 33.
[10] En España, la anterior Ley Orgánica N° 5/1992, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, fue sustituida por la Ley Orgánica N° 15/1999, de Protección de Datos de Carácter Personal, hoy en día en vigor, pero que posiblemente se derogue por una nueva en los próximos meses ante la necesidad de adaptarse, como ya han hecho otros países, al REPD.
[11] LUCAS MURILLO, Pablo, El derecho a la autodeterminación informativa, Tecnos, Madrid, 1990.
[12] El principio jurídico de proporcionalidad debe funcionar en un primer momento cuando el legislador aprueba una normativa que permita la limitación de cierto derecho; y, en un segundo momento, la proporcionalidad debe presidir la actuación del aplicador de tal normativa (por ejemplo, un juez). De lo que se trata es de analizar si la restricción del derecho es legítima, o sea, si está justificada, o si no resulta justificada y hay que rechazarla. Ello se puede efectuar con un análisis sucesivo de forma tal que hay que ir superando los diversos escalones que lo integran. De este modo, si en el examen no se pasa uno de ellos, ya no se continúa el análisis y se considera que la intromisión es ilegítima. En cambio, superar con éxito el último de los escalones supone que la intervención en el derecho de que se trate está justificada, por lo que se le da el visto bueno. En este método de análisis, expuesto ahora de una forma sintética, hay tres fases: una, la determinación del ámbito normativo del derecho; dos, la fijación de la existencia real de una injerencia en el derecho; y tres, el estudio de la legitimidad de dicha injerencia. En esta última fase se distinguen, a su vez, cinco escalones: el principio de reserva de ley, la generalidad de la misma, la reserva jurisdiccional, el principio de proporcionalidad en sentido amplio (que contiene tres subprincipios: el de adecuación o idoneidad, el de necesidad y el de proporcionalidad en sentido estricto o ponderación) y el respeto al contenido esencial de los derechos fundamentales. La finalidad es el elemento que funciona como presupuesto de los tres subprincipios que integran el principio de proporcionalidad.
[13] El proyecto de reforma español en protección de datos contempla infracciones por vulnerar diversas cuestiones relativas al consentimiento: en el art. 72.1 (infracción muy grave por el incumplimiento de los requisitos exigidos por el art. 7 del REPD; o por utilizar datos para una finalidad que no sea compatible, con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello) y en el art. 73 (infracción grave por tratar datos de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela). Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales, Boletín Oficial de las Cortes Generales, Congreso de los Diputados, XII Legislatura, Serie A: Proyectos de Ley, 29 de octubre 2018, núm. 13-6, pág. 9, disponible en http://www.congr eso.es /public_oficiales L12/CON G/BOCG/A /BOCG-12-A-13-6 .PDF#pa ge=1.
[14] GRUPO DE TRABAJO DEL ARTÍCULO 29, Directrices sobre el consentimiento en el sentido del Reglamento UE 2016/679, 2017, pág. 3. Disponible en file:///C:/Users/joju f/AppData/ Local/Temp/T emp1_20180 709_wp259r ev01availa blelanguage sversionszip% 20(1).zip/ wp259 %20rev%2 00.1_ES.pdf.
[15] López Calvo, José, Comentarios al Reglamento Europeo de Protección de Datos, Senin, Madrid, 2017, pág. 129.
[16] GRUPO DE TRABAJO DEL ARTÍCULO 29, Directrices…, op. cit., pág. 5.
[17] Este considerando 42° del Reglamento europeo, además de recoger lo que prevé el articulado, se refiere a que de acuerdo con la Directiva 93/13/CEE del Consejo, debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento que no contenga cláusulas abusivas.
[18] López Calvo, José, Comentarios…, op. cit., págs. 131 y ss.
[19] GRUPO DE TRABAJO DEL ARTÍCULO 29, Directrices…, op. cit., págs. 6 y ss.
[20] Téngase presente que la prevención, investigación, detección o enjuiciamiento de infracciones penales, como ya vimos, no se rige por el REPD sino por la citada Directiva (UE) 2016/680.
[21] GRUPO DE TRABAJO DEL ARTÍCULO 29, Directrices…, op. cit., págs. 12.
[22] En España, la de momento vigente Ley Orgánica N° 15/1999, de Protección de Datos de Carácter Personal, se refiere en distintos lugares a consentimiento inequívoco, expreso, tácito y expreso por escrito. El proyecto de la nueva ley, que citamos en la nota 12, ya supera este modelo y recoge lo establecido en el REPD.
[23] Sin embargo, se ha defendido que este consentimiento sí cabe pues se considera compatible con una conducta clara y afirmativa (v. gr, López Calvo, José, Comentarios…, pág. 124 -aunque en la pág. 129 parece sostener otra cosa-). Nosotros no opinamos así, como tampoco los legisladores nacionales que están desarrollando el REPD: de esta forma, en España, en el Preámbulo del proyecto de nueva ley orgánica de protección de datos (citado en la nota 12), se dice literalmente que este consentimiento de la norma europea excluye “lo que se conocía como consentimiento tácito”.
[24] López Calvo, José, Comentarios…, op. cit., pág. 122.
[25] Una visión de estos problemas, pero también de las oportunidades, puede verse en LÁZARO GONZÁLEZ, Isabel E., MORA PRATO, Nora, y SARZANO VOLART, Carmen (coords.), Menores y nuevas tecnologías, Tecnos, Madrid, 2012.
[26] LÓPEZ ÁLVAREZ, Luis Felipe, Protección de datos personales: adaptaciones necesarias al nuevo reglamento europeo, Lefebvre, Madrid, 2016, pág. 77.
[27] Este proyecto de ley español, citado en la nota 12, le dedica el art. 7 a esta cuestión: “1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años sólo será lícito si consta el consentimiento del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela”.
[28] GRUPO DE TRABAJO DEL ARTÍCULO 29, Directrices…, op. cit., pág. 29.
[29] Como afirma el Grupo del Trabajo del art. 29, “el consentimiento explícito se requiere en determinadas situaciones en las que existe un grave riesgo en relación con la protección de los datos y en las que se considera adecuado que exista un elevado nivel de control sobre los datos personales” (GRUPO DE TRABAJO DEL ARTÍCULO 29, Directrices…, op. cit., pág. 20).
[30] El proyecto español de ley orgánica de protección de datos de carácter personal se refiere a las categorías especiales de datos en su art. 9:
“1. A los efectos del art. 9.2 a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.
2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, la ley podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte”.
[31] La UE trabaja en este sentido en varios frentes. Así, podemos citar la Resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derechos Civil sobre robótica (disponible en http://ww w.europarl.europ a.eu/sides/get Doc.do?pubR ef=-//EP//TEXT+T A+P8-TA- 2017-0051+ 0+DOC+X ML+V0//ES).