- El consentimiento debe ser: dado libremente, específico, informado e inequívoco (artículo 7)
- Las cajas preestablecidas, el consentimiento implícito y el consentimiento enganchado son inválidos en el RGPD
- El consentimiento debe ser tan fácil de retirar en cuanto a dar – y el retiro debe ser honrado inmediatamente
- No utilice el consentimiento cuando otra base legal (contrato, obligación legal) sea más apropiada
El consentimiento bajo RGPD no es el mismo que el consentimiento en el lenguaje cotidiano. Es una norma legal con requisitos específicos, y las organizaciones que confían en el consentimiento como base legal primaria a menudo descubren que lo que recogieron no fue un consentimiento válido en absoluto. Las Directrices de la EDPB sobre el Consentimiento proporcionan un amplio detalle; esta guía cubre los aspectos prácticos esenciales para las empresas reguladas.
Relacionados HubSecure
CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo
Seguridad relacionada, privacidad y recursos de gobernanza
Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.
Caso de uso relacionado
Esta guía pertenece al grupo de Guías de consolidación de herramientas y alternativas de espacios de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.
Los cuatro requisitos para el consentimiento válido
1. Dado gratuitamente
El consentimiento no se da libremente si el individuo no tiene elección real o sufriría un perjuicio si se niega. Esto significa:
- No puede hacer que el consentimiento sea una condición para un servicio (a menos que el procesamiento sea realmente necesario para ese servicio).
- No es válido el consentimiento para organizar múltiples actividades de procesamiento en una sola casilla de verificación; cada una debe ser consensuada por separado
- Cuando hay un desequilibrio de poder claro (empleado-empleado), el consentimiento de los empleados se considera generalmente no libremente dado
2. Específico
El consentimiento debe ser específico para cada propósito distinto. Las declaraciones genéricas como "podemos utilizar sus datos para fines de marketing y análisis" no satisfacen el requisito de especificidad. Cada propósito — boletines de correo electrónico, llamadas telefónicas, perfiles, compartir con los socios— requiere su propio consentimiento.
3. Informe
Los individuos deben tener suficiente información para tomar una decisión significativa antes de su consentimiento. Al menos, debe decirles: quién es usted, qué datos serán tratados, con qué propósito, si será compartido con terceros, y el hecho de que pueden retirar el consentimiento en cualquier momento.
4. Indicación inequívoca
El consentimiento requiere una acción positiva, afirmativa — un opt-in, no un rechazo. Las cajas preestablecidas, el consentimiento asumido por la inacción o el consentimiento enterrado en términos y condiciones son todos inválidos. La acción debe ser clara y diferenciada de otros asuntos.
Cuando no use el consentimiento
El consentimiento es a menudo la base legal equivocada. Si el procesamiento es necesario para realizar un contrato con el individuo, utilice el cumplimiento del contrato (Artículo 6(1)(b)). Si usted está legalmente obligado a procesar los datos, utilice la obligación legal (Artículo 6(1)(c)). Utilizar el consentimiento para procesar ese cumplimiento de contratos o obligación legal justificaría crear una carga innecesaria de gestión del consentimiento y otorgar derechos a las personas (retirada fácil, posible borrado) que la situación no requiere.
Error común: usar el consentimiento como base legal para el procesamiento de KYC. El KYC es una obligación jurídica en virtud de la legislación sobre el blanqueo de capitales, ya que la base legal es el artículo 6 1) c), no el consentimiento. Si recopila el consentimiento para KYC, las personas pueden retirarlo en cualquier momento, lo que le impediría cumplir su obligación legal.
Gestión de los registros de consentimiento
Con arreglo al párrafo 1 del artículo 7, usted debe poder demostrar que una persona dio su consentimiento. Esto significa que su sistema de gestión del consentimiento debe capturar:
- Quién aceptó (enlazado a un registro individual)
- Cuando consienten (timestamp)
- Lo que consienten (el propósito específico y la versión del aviso de consentimiento mostrado)
- Cómo consintieron (que mecanismo — presentación de formularios, casilla de verificación, etc.)
Manejo de la retirada del consentimiento
Article 7(3) states that withdrawal must be as easy as giving consent. Si se dio el consentimiento haciendo clic en una casilla de verificación en un sitio web, el retiro también debe ser posible con un nivel de esfuerzo comparable, no mediante una carta escrita a un oficial de cumplimiento. Cuando se retira el consentimiento:
- El procesamiento basado en ese consentimiento debe cesar inmediatamente
- Los datos recogidos únicamente sobre la base de ese consentimiento deben suprimirse (a menos que se aplique otra base legal)
- El retiro no afecta la legalidad del procesamiento realizado antes de la retirada
Consentimiento y comunicaciones de marketing
Para comunicaciones de marketing electrónico (email, SMS), la Directiva de ePrivacidad (PECR en el Reino Unido) se aplica junto con el GDPR. Generalmente, se requiere el consentimiento previo para la comercialización a las personas. La comercialización B2B a las direcciones de correo electrónico de negocios puede depender de la regla "soft opt-in" donde el destinatario es un cliente existente y la comercialización es para productos o servicios similares.
¿Cuánto tiempo dura el consentimiento?
El GDPR no establece un período máximo, pero el EDPB recomienda un consentimiento refrescante periódicamente cuando la relación está en curso. Si las circunstancias han cambiado desde que se dio el consentimiento original, debe pedir un nuevo consentimiento. Documente su política de actualización de consentimiento.
¿Pueden los niños dar su consentimiento con arreglo al RGPD?
El artículo 8 del RGPD limita la capacidad de los niños de dar el consentimiento para los servicios de la sociedad de la información a los mayores de 16 años (los estados miembros pueden bajar esto a 13). Se requiere el consentimiento de los padres o tutores para los niños más pequeños. Verifique la edad del niño y mantenga registros.
Administrar el consentimiento junto con sus relaciones con el cliente
HubSecure CRM registra el estado de consentimiento, horarios y fechas de retiro para cada cliente, por lo que sus listas de marketing son siempre compatibles y listas de auditoría.
Reserva una demostraciónFuentes oficiales y lectura ulterior
Utilice estas fuentes públicas para verificar el fondo regulatorio y la terminología. HubSecure El contenido es la orientación del producto, no el asesoramiento legal.
Notas de credibilidad
Esta guía está escrita para la evaluación de productos y operaciones, no como asesoramiento legal. Para las obligaciones de cumplimiento, confirme los requisitos con un abogado calificado o el regulador pertinente.
Relacionados HubSecure referencias: Seguridad · DPA · Subprocesadores · Glosario AML/KYC · Glosario RBAC
Revisión de los equipos regulados
Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.
Autores · Revisores · Política editorial