En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

De forma esquemática, el Reglamento (RGPD) admite las siguientes formas de obtener el consentimiento, y los Delegados de Protección de Datos,  DPO, en caso de nombrarse, deberán dar su visto bueno al sistema por el que se opte:

1. a) Mediante una declaración, la cual puede ser:

• Por escrito, inclusive por medios electrónicos.- Aquí entenderemos que la declaración:
• Podría incluir marcar una casilla de un sitio web en internet.
• Escoger parámetros técnicos para la utilización de servicios de la sociedad de la información.
• Cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.
• Aunque se admite la validez del mismo, plantea un gran problema en cuanto a su eficacia jurídica, ya que es complicado probar su existencia en caso de incumplimiento.

Téngase en cuenta que, “el Responsable del Tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales”.

1. b) Mediante una clara acción afirmativa. El Reglamento nos dice a sensu contrario que NO debe constituir consentimiento:

• El silencio
• Las casillas ya marcadas
• La inacción

Por tanto, NO es admitido como válido el consentimiento por omisión o tácito, que hasta ahora sí admitía la normativa española.

Cabe decir que, el Reglamento Europeo también exige en determinados tratamientos de datos personales que el consentimiento sea «explícito». Por ejemplo, en el tratamiento de datos de categoría especial, como son los relativos a la salud de la persona.

Por último, señalar que el interesado tendrá derecho a retirar su consentimiento en cualquier momento. Y, según establece, “será tan fácil retirar el consentimiento como darlo”.

Equipo de profesionales de Govertis