A poco más de dos meses para la entrada en vigor del Nuevo Reglamente de Protección de Datos (RGPD) uno de los temas que más preocupa a las empresas son las nuevas reglas para la obtención del consentimiento del interesado. Las obligaciones para la obtención de este consentimiento se endurecen, ya no se permiten los consentimientos tácitos ni las casillas premarcadas, a partir del 25 de mayo de 2018 necesitamos de forma inexcusable el consentimiento inequívoco del interesado.
De acuerdo a lo dispuesto en el propio reglamento y a las conclusiones del grupo de trabajo sobre el artículo 29 hay 2 tipos de consentimiento, el normal y el explícito para datos que requieren protección especial.
Para el consentimiento normal, se admite el uso de sistemas sencillos de implementar como el click-wrap, botones de aceptación o, en general, cualquier acción afirmativa que se interprete con aceptación (por ejemplo, deslizar en una pantalla, saludar a una cámara inteligente, girar al teléfono inteligente en el sentido de las agujas del reloj, etc.). Por su parte, para el consentimiento explícito, se requiere una acción más específica, como la firma de un documento de aceptación, precisando que se deben aceptar también, evidentemente, los sistemas basados en firma electrónica (resaltando los beneficios de las firmas electrónicas avanzadas).
No obstante lo anterior, para ambos tipos de consentimiento el artículo 7 (1) del RGPD establece la obligación del responsable de demostrar el consentimiento del interesado, por lo que la carga de la prueba en caso de controversia recae inevitablemente sobre el responsable de tratamiento, obligación que se refuerza aun más atendiendo al considerando 42: «Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace«.
Los responsables de tratamiento son libres de implementar los métodos que estime convenientes para cumplir con sus obligaciones, pero hay que tener en cuenta no sólo el factor de la facilidad de implementación sino también la capacidad probatoria de los medios implementados, ya que si bien el RGPD no establece cual debe ser el modo de demostrar este consentimiento, el responsable deberá proveerse de aquellas herramientas que le otorguen las máximas garantías jurídicas en caso de litigio y que generen evidencias perdurables en el tiempo, ya que la obligación de demostrar el consentimiento del interesado se extiende mientras dure el tratamiento de la información.
Desde un punto de vista práctico, el responsable debería mantener un registro con todas las declaraciones de consentimiento recibidas que le permita demostrar cómo se obtuvo el consentimiento, cuándo se obtuvo y la información proporcionada al interesado.
En Validated ID ofrecemos todas las opciones posibles para permitir la firma del consentimiento del interesado, que van desde la firma biométrica manuscrita para escenarios presenciales, hasta soluciones de firma remota que recogen todas las evidencias necesarias que permitan demostrar la efectiva obtención del consentimiento, y evitar las sanciones por incumplimiento que se recogen en el RGPD y que pueden alcanzar hasta los 20.000.000€ o el 4% de la facturación de la empresa.
Para los escenarios presenciales, está demostrado que la firma biométrica es el mejor medio para recoger este consentimiento. Hoy en día, cientos de entidades de salud en España y medio centenar de administraciones públicas, están utilizando ViDSigner Bio como parte de su flujo de trabajo en las relaciones presenciales con pacientes y ciudadanos.
Para escenarios de firma remota, tanto ViDSigner Remote, con ViDSigner Centralized como ViDSigner DNIe le permitirán recabar las evidencias necesarias respecto al consentimiento inequívoco del interesado.
Por último, es importante recordar que todos los productos y servicios de firma electrónica no son iguales y que, en caso de litigio, no todas las opciones gozan de la calidad y cantidad de evidencias necesarias que le permitan afrontar el proceso de obtención de consentimiento con plena tranquilidad.