GDPR

GUÍA BÁSICA

REGLAMENTO GENERAL
DE PROTECCIÓN DE DATOS
(RGPD)

“El tratamiento de datos personales debe estar concebido para

servir a la humanidad.”
Considerando 4 Reglamento General de Protección de Datos
 ÍNDICE

03 Introducción

05 Objetivos del Reglamento Europeo de Protección de Datos (RGPD)

06 ¿A qué tipo de datos hace referencia el nuevo RGPD?

07 ¿Quién está obligado a cumplir con el nuevo RGPD?

09 Principios que rigen el procesamiento de los datos personales

10 El consentimiento del interesado para tratar sus datos personales

10 ¿Qué es el consentimiento?
12 Requisitos del consentimiento
14 ¿Qué información hay que ofrecer al interesado?
15 El consentimiento explícito
17 La revocación del consentimiento
18 El consentimiento tiene que ser acreditable

19 Soluciones para obtener y acreditar que se ha obtenido

el consentimiento

26 Conclusión

Nota: Esta guía es solo para fines informativos y no debe considerarse como consejo legal. Recomendamos
consultar con sus asesores legales para determinar con precisión cómo implementar y cumplir en su
empresa con el nuevo RGPD.

2
 Introducción

El nuevo Reglamento General de Protección de Datos (RGPD), que

entró en vigor el 25 de mayo de 2016, será aplicable en todos los Estados
miembros a partir del 25 de mayo de 2018, con sus 11 capítulos, 99
artículos y 173 considerandos.

Este nuevo Reglamento se ha hecho realidad tras cuatro años de trabajo y

negociaciones, que comenzaron cuando la Comisión Europea presentó sus
propuestas en enero de 2012.

Su objetivo es proteger los derechos y libertades de las personas físicas por

lo que se refiere al tratamiento de sus datos personales, y este nivel de
protección deberá ser equivalente en todos los Estados miembros.

A día de hoy, prácticamente todas las empresas han oído hablar de este
nuevo Reglamento, y saben que si están almacenando y procesando datos
personales de residentes de la UE, algo van a tener que cambiar al
respecto para cumplir con esta nueva ley.
El nuevo Reglamento
General de Protección Dado que la finalidad del nuevo RGPD es devolver a los residentes en la UE el

de Datos será control de sus propios datos, su aplicación obligatoria definitiva no sólo tendrá
implicaciones para las empresas europeas, sino para cualquier empresa que
aplicable a partir de
almacene y trate con datos de residentes de la UE.
mayo de 2018
Entre los cambios más relevantes que esta ley va a introducir destacan la
importancia de poder demostrar la licitud en la obtención y el tratamiento
de datos personales (artículo 6 y artículo 24), la obligación de realizar
evaluaciones de impacto de la privacidad de forma regular, y el requerimiento
de seguir protocolos más estrictos para reportar brechas de seguridad a las
autoridades de control competentes de cada país, entre otros muchos
cambios.
3
 Todas estas novedades pueden parecer menores, pero en realidad son de
largo alcance: por un lado, se trata de entender para qué necesita una
empresa almacenar y tratar datos personales, si es que realmente necesita
hacerlo dado su modelo de negocio.

Y por otro, también se trata de comprender las implicaciones legales y

técnicas que supondrá la adaptación y/o modificación - dados los requisitos
de la nueva ley - de los procedimientos de almacenamiento y tratamiento de
datos personales que hoy en día tienen en marcha muchas empresas.

Estamos en la fase final de adaptación al nuevo Reglamento, ante de que

sea de plena aplicación el próximo 25 de mayo de 2018. Las compañías que
no hayan empezado todavía a poner en marcha un plan para cumplir a tiempo
con los supuestos del nuevo RGPD deberían empezar a hacerlo hoy.

En este whitepaper repasamos las principales novedades que trae consigo

este Reglamento. Entre otras, explicaremos la obligación de que el
tratamiento de datos sea lícito, para lo cual una de las posibilidades es
obtener el consentimiento de los interesados de forma lícita.

Y por último, en este whitepaper hablaremos también de un nuevo servicio

que hemos diseñado en Signaturit para que cualquier empresa pueda
obtener el consentimiento de forma lícita.

Para garantizar un nivel coherente y ofrezca a las personas físicas de

de protección de las personas
físicas en toda la Unión y evitar
divergencias que dificulten la libre
circulación de datos personales dentro
del mercado interior, es necesario
un reglamento que proporcione
seguridad jurídica y transparencia
a los operadores económicos (...)
todos los Estados miembros el mismo
nivel de derechos y obligaciones
exigibles y de responsabilidades para
los responsables y encargados del
tratamiento (...).
Considerando 13, RGPD

4
 Objetivos del Reglamento
Europeo de Protección
de Datos

El nuevo Reglamento nace con un doble objetivo:

1.
Fortalecer la seguridad y la protección de
la privacidad de los residentes en UE.

2.
Aumentar las oportunidades de negocio
de las empresas al eliminar los obstáculos
a la circulación de los datos personales
dentro de la Unión Europea.

Por ello, el texto refuerza y especifica los derechos de los interesados, así
como las obligaciones de quienes tratan y determinan el tratamiento de
los datos de carácter personal.

En el periodo transitorio desde que el RGPD entró en vigor (el 25 de mayo de

2016) hasta que sea finalmente aplicable (el próximo 25 de mayo de 2018), las
empresas deberán analizar en qué casos es necesario almacenar y procesar
datos personales de residentes en la UE.

Como resultado de este análisis seguramente muchas empresas deberán

cambiar la mayoría de los procesos de captura y procesamiento de
datos personales que ya tienen definidos, o ajustarlos para cumplir con los
nuevos requerimientos del Reglamento.
5
 ¿A qué tipo de datos hace
referencia el nuevo RGPD?

El RGPD se centra principalmente en los datos de personas físicas, que se

clasifican en dos categorías:

Datos personales

Toda información sobre una persona física identificada o identificable («el

interesado»).

Se considerará persona física identificable toda persona cuya identidad pueda

determinarse, directa o indirectamente, mediante un identificador, como por
ejemplo:

• Nombre y apellidos.
• Número de identificación.
• Datos de localización.
• Un identificador online.
• Uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona.

Datos personales sensibles

El Reglamento establece en el artículo 9 las categorías especiales de datos,

mencionando los datos sensibles que exigen una especial protección:

• Origen racial o étnico.

• Opiniones políticas.
• Creencias religiosas o filosóficas.
• Afiliación sindical.
• Los datos genéticos.
• Datos biométricos con el objetivo de identificar de manera exclusiva a
un individuo.
• Aquellos datos relativos a la salud o la vida sexual y/o la orientación sexual.

6
 ¿Quién está obligado
a cumplir con el nuevo
RGPD?
El RGPD se aplicará, como hasta ahora, a las empresas que procesan
datos personales establecidas en la Unión Europea.

Además, el Reglamento amplía su alcance, y afecta también a empresas que

ofrecen bienes o servicios a residentes en la UE, así como a empresas que
monitorizan y siguen el comportamiento de residentes en la UE.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva,
las organizaciones no establecidas en la Unión deberán nombrar un
representante en la Unión Europea, que actuará como punto de contacto
con las autoridades de control y los residentes.

Los datos de contacto de dicho representante en la UE deberán

proporcionarse a los interesados, junto con la información relativa al
tratamiento de sus datos personales.

7
 ¿Quién es quién en
el nuevo RGPD?

Responsable de los datos personales y es un garante del cumplimiento de la normativa

Es la persona jurídica y/o física, privada
o pública, que decide sobre el tratamiento de
los datos, es decir, toma decisiones sobre qué
hacer con los mismos. Es el responsable desde
que el dato entra a formar parte del sistema de
información de una empresa y organismo, hasta
la eliminación del mismo.
Encargado del tratamiento
de protección de datos en las organizaciones,
sin sustituir las funciones que desarrollan las
autoridades de control.
Contar con un DPO no es obligatorio para
todas las organizaciones. Sólo se deberá
designar un DPO en los siguientes casos:
• “El tratamiento lo lleve a cabo una autoridad
u organismo público, excepto los tribunales
que actúen en ejercicio de su función judicial.

Es la persona física o jurídica que, solo

• Las actividades principales del responsable
o conjuntamente con otros, trata los datos
o del encargado consistan en operaciones de
personales por cuenta del responsable de
tratamiento que, en razón de su naturaleza,
los datos.
alcance y/o fines, requieran una observación
habitual y sistemática de interesados a gran
Existe por tanto una relación jurídica que vincula
escala.
al encargado con el responsable, y delimita
el ámbito de actuación del encargado para la
• Las actividades principales del responsable
prestación del servicio de tratamiento de datos.
o del encargado consistan en el tratamiento
a gran escala de categorías especiales de
Delegado de Protección de Datos
datos personales con arreglo al artículo 9 y
de datos relativos a condenas e infracciones
Esta figura, conocida popularmente como DPO
penales a que se refiere el artículo 10.”
(por sus siglas en inglés, Data Protection Officer),
constituye una de las novedades claves del RGPD,

8
 Principios que rigen el
procesamiento de los datos
personales

Es importante entender los principios establecidos por el

Reglamento para procesar datos personales, ya que dan
una idea clara de su intención, así de cómo deben actuar
las empresas al respecto.

El 6 del RGPD estable que el tratamiento sólo será lícito si se cumple al

menos una de las siguientes condiciones:

a. “El interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos.

b. El tratamiento es necesario para la ejecución de un contrato en el que

el interesado es parte, o para la aplicación a petición de este de medidas
precontractuales.

c. El tratamiento es necesario para el cumplimiento de una obligación

legal aplicable al responsable del tratamiento.

d. El tratamiento es necesario para proteger intereses vitales del

interesado o de otra persona física.

e. El tratamiento es necesario para el cumplimiento de una misión realizada

en interés público, o en el ejercicio de poderes públicos conferidos al
responsable del tratamiento.

f. El tratamiento es necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o por un tercero, siempre
que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado que requieran la protección de
datos personales, en particular cuando el interesado sea un niño.”

9
 El consentimiento del
interesado para tratar sus
datos personales
El consentimiento es una de las condiciones de licitud para el
tratamiento de los datos personales (ver la condición a) del apartado
anterior).

El nuevo RGPD ha introducido algunas novedades respecto al

consentimiento. En concreto destaca la introducción del carácter inequívoco
del consentimiento, lo que implica que para obtenerlo se requiera una
declaración o acción afirmativa por parte del interesado.

Ofrecemos más detalles al respecto en los siguientes apartados.

1. ¿Qué es el consentimiento?

Con el nuevo RGPD ya El Reglamento define el consentimiento en su artículo 4.11:

no se admiten formas
de consentimiento “El consentimiento es
tácito o por omisión. toda manifestación de
voluntad libre, específica,
informada e inequívoca
por la que el interesado
acepta, ya sea mediante
una declaración o una
clara acción afirmativa,
el tratamiento de datos
personales que le
conciernen.”

El Reglamento añade expresamente el elemento inequívoco con respecto a

la regulación anterior - Directiva 95/46/CE - que no lo contemplaba.

Este adjetivo exige que el interesado acepte el tratamiento de sus datos

personales a través de una declaración o una clara acción afirmativa, que
puede ser realizada por medios electrónicos.

Básicamente se trata de una manifestación de voluntad que debe obtenerse

de manera independiente al hecho de acordar un contrato, o al hecho de
aceptar los términos y condiciones generales aplicables a un servicio.
10
 Acto afirmativo
claro
En su Considerando 32, el RGPD dice lo
siguiente acerca de la declaración o acto
afirmativo claro:
“ (...) podría incluir marcar una
casilla de un sitio web en internet,
escoger parámetros técnicos para la
utilización de servicios de la sociedad
de la información, o cualquier otra
declaración o conducta que indique
Es decir, el consentimiento tácito no será válido a
partir del 25 de mayo de 2018.
El Grupo de Trabajo del Artículo 29 (GT29)
indica que el concepto de “clara acción
afirmativa” implica la realización de una acción
deliberada por parte del interesado para mostrar
conformidad con un tratamiento concreto de
datos personales.
En el caso de los datos que se obtienen de

claramente en este contexto que el
interesado acepta la propuesta de
tratamiento de sus datos personales.
Por tanto, el silencio, las casillas ya
marcadas o la inacción no deben
forma online será válido insertar una casilla en
un formulario web que permita acreditar que el
interesado consiente al tratamiento de sus datos
personales. Como ya hemos comentado, esta
casilla de ninguna forma puede estar pre
marcada.

constituir consentimiento.”

En caso de basar la licitud del tratamiento en el consentimiento, y en caso de

no cumplir con la obtención de un consentimiento libre, específico, informado
e inequívoco, podría darse un perjuicio económico para la empresa en forma
de sanciones reguladas por el mismo Reglamento, además de posibles
reclamaciones por daños y perjuicios sufridos por los afectados.

11
 2. Requisitos del consentimiento

Además de inequívoco, por definición el consentimiento debe de ser libre,

específico e informado.

Todos estos requisitos del consentimiento son objeto de análisis por el Grupo
de Trabajo del Artículo 29 (GT29). Los analizamos a continuación:

El Grupo de Trabajo del Artículo 29

La Comisión Europea Protección de Datos y

ha creado un órgano
consultivo independiente
denominado Grupo de
Trabajo del Artículo 29
(GT29), para ayudar a las
empresas a adaptarse al
nuevo Reglamento General
de Protección de Datos.
Dicho GT29 está integrado
por las autoridades de
control de todos los
Estados miembros, el
Supervisor Europeo de
la Comisión Europea -
que realiza funciones de
secretariado.
El 28 de noviembre de
2017, el Grupo publicó el
borrador de Directrices
sobre el consentimiento
bajo el Reglamento
General de Protección
de Datos para facilitar la
comprensión del término
“consentimiento” en virtud
del Reglamento 2016/679.

Libre

Para que el consentimiento sea libre debe existir una opción real por parte
del individuo para aceptar el tratamiento de sus datos.

Además, el GT29 señala que el consentimiento no se considerará otorgado

de forma libre cuando la denegación o retirada del consentimiento implique
consecuencias negativas para el interesado.

Específico

Las finalidades del tratamiento de datos deben aparecer de manera

específica y no pueden ampliarse una vez que el sujeto ha consentido la
recogida y el tratamiento de sus datos.
12
 Se señala la necesidad de que el consentimiento sea granular, es decir, que
exista una opción de consentimiento para cada finalidad.

Todo ello debe ir acompañado de información específica y separada para

cada uno de los consentimientos.

Los datos personales se tratarán respetando el principio de limitación de la

finalidad (5.1.b):

“b) (...) recogidos con fines determinados, explícitos y legítimos, y no serán

tratados ulteriormente de manera incompatible con dichos fines; (...)

Estos fines explícitos y legítimos deberán determinarse en el momento de la

recogida de los datos.

Informado

Si el responsable del tratamiento no proporciona información accesible al

interesado, el consentimiento no será válido.

El GT29 señala el contenido mínimo de información necesaria, indicando que

en algunas situaciones será necesario ampliar esta información con el fin de
garantizar que el individuo comprende las operaciones de tratamiento que se
realizarán de sus datos personales.

El consentimiento debe ser claro y distinguible de otros asuntos.

Es decir, la información relevante no puede camuflarse en un párrafo dentro
de los términos y condiciones. No será válido usar extensas políticas de
privacidad ilegibles o llenas de terminología legal.

13
 3. ¿Qué información hay que ofrecer al interesado?

Desde el 25 de mayo de 2018, el nuevo Reglamento exige la obligación de

informar sobre los siguientes aspectos:

1. La finalidad del tratamiento.

2. La identidad y datos de contacto del Responsable del Tratamiento o

Encargo en su caso.

3. Los derechos de los interesados (RGPD agrega derechos), y la forma en

la cual se pueden ejercitar.

4. Los datos de contacto del Delegado de Protección de Datos, en su caso.

5. La base jurídica o legitimación para el tratamiento.

6. El plazo o los criterios de conservación de la información.

7. La existencia de decisiones automatizadas o elaboración de perfiles.

8. La previsión de transferencias a Terceros Países.

9. El derecho a presentar una reclamación ante las autoridades de control.

Y además, en el caso de que los datos no se obtengan del propio interesado:

10. El origen de los datos

11. Las categorías de los datos

Es por tanto conveniente revisar las cláusulas informativas que se hayan

incorporado en los procesos de recogida de datos e incluir los nuevos
apartados para cumplir así con las nuevas exigencias del Reglamento
europeo.

14
 4. El consentimiento explícito

Bajo el marco del nuevo RGPD el consentimiento explícito también debe de

ser libre, específico, informado e inequívoco.

Según el GT 29, el consentimiento explícito es exigible cuando hay un alto

riesgo para la protección de los datos personales y, por tanto, es necesario un
alto nivel de control del interesado sobre sus datos personales.

La diferencia reside en que el consentimiento explícito no debe dejar lugar a la

libre interpretación, y los responsables de los datos tendrán que asegurarse
de la obtención de dicho consentimiento de manera indiscutible.

El Reglamento señala que, si basas la licitud del tratamiento en el

consentimiento, en los siguientes tres casos este debería de ser explícito:

• Para categorías especiales de datos (Artículo 9).

• Para transferencias internacionales de datos (Artículo 49).
• Para la toma de decisiones individuales automatizadas (Artículo 22).

En estos casos se considera apropiado elevar el nivel de control individual

sobre los datos personales.

Una forma obvia de asegurarse de que el consentimiento es explícito es a

través de una declaración escrita firmada por el interesado.

En el contexto digital, esta declaración escrita se puede conseguir firmada

El tratamiento de los
mediante el uso de la firma electrónica, medio directamente recomendado
datos sin contar con el
por el Grupo de Trabajo del Artículo 29 en su documento Guidelines on
consentimiento explícito
Consent under Regulation 2016/679:
del interesado se
considera una infracción
4. Obtaining explicit consent
muy grave.

“For example, in the digital or online context, a data subject may be able to
issue the required statement (...) by using an electronic signature.”

De este modo se eliminan todas las posibles dudas respecto a la obtención

del consentimiento explícito y se elimina la potencial falta de evidencias al
respecto.

15
 Transferencias de datos personales
a terceros países

El nuevo Reglamento de Protección de Datos Cuando la Comisión Europea no haya adoptado

también abarca la transferencia de datos personales
a terceros países u organizaciones internacionales.
Por tanto, si los datos personales se transfieren
de la Unión Europea a responsables, encargados
u otros destinatarios en terceros países o a
organizaciones internacionales, esto no debe
menoscabar el nivel de protección de residentes
en la UE.
Ni siquiera cuando ocurren transferencias
ulteriores de datos personales desde el tercer
país u organización internacional a responsables
y encargados en el mismo u otro tercer país u
organización internacional.
una decisión de adecuación sobre un territorio
o sector, la transferencia de datos personales se
puede seguir realizando en casos especiales o
cuando existan garantías apropiadas.
En ausencia de una decisión por la que se constate
la adecuación de la protección de los datos en
un tercer país, el responsable o el encargado
del tratamiento debe tomar medidas para
compensar la falta de protección de datos en
dicho país mediante garantías adecuadas para el
interesado, y debe informar a la autoridad de control
de la transferencia de datos.

Con este fin, el Reglamento recomienda a la

Comisión Europea la evaluación del nivel de
protección que ofrece un territorio o un sector
en un tercer país.

16
 5. La revocación del consentimiento

El nuevo RGPD, en su artículo 7.3, establece el derecho del interesado a

retirar su consentimiento en cualquier momento.

La retirada del consentimiento no afectará a la licitud del tratamiento

basada en el consentimiento (previo a su retirada).

Lo importante para cumplir con el nuevo Reglamento es que debe ser tan fácil
retirar el consentimiento como darlo.

Por ello, las empresas también deben poner a disposición de sus clientes
mecanismos para revocar fácilmente su consentimiento, e informarles
además sobre dichos mecanismos.

¿Qué ocurre con los consentimientos

obtenidos antes del 25 de mayo
de 2018?
Los consentimientos obtenidos con anterioridad
a la fecha de aplicación definitiva del RGPD,
que será el 25 de mayo de 2018, solo seguirán
siendo válidos si se obtuvieron respetando
los requisitos establecidos por el propio
Reglamento.
Es decir, deberán ser consentimientos
inequívocos otorgados por los interesados,
conforme aceptan el tratamiento de sus datos
personales. Y, en los casos en los que los datos
personales a tratar sean considerados especiales,
el consentimiento deberá ser explícito.
se recomienda conseguir de nuevo el
consentimiento del interesado por parte del
responsable del tratamiento para todos aquellos
clientes o usuarios cuyo consentimiento se
consiguió antes del 25 de mayo de 2018.
De hecho, el GT29 aconseja que todas las
empresas revisen sus sistemas y procedimientos
de recogida de datos personales para garantizar
que cumplen con el Reglamento. Es probable
que, en muchos casos, estos sistemas y
procedimientos deban ser actualizados.

En los casos en que los consentimientos

previamente obtenidos claramente no cumplan las
condiciones de GDPR sobre el consentimiento,

17
 6. El consentimiento tiene que ser acreditable

Las empresas que basen el tratamiento lícito de datos personales en la obtención

del consentimiento de los interesados deberán poder demostrar que han
obtenido dicho consentimiento, tal y como se establece en el artículo 7.1 del
Reglamento.

Artículo 7.1

“1. Cuando el tratamiento se base en el consentimiento

del interesado, el responsable deberá ser capaz de
demostrar que aquel consintió el tratamiento de sus
datos personales.”

En dicho artículo se especifica que la demostración de la obtención lícita

del consentimiento - es decir, la carga de la prueba - corresponde al
responsable o encargado del tratamiento de los datos personales.

Es decir, no basta con obtener el consentimiento conforme a lo que estipula el

RGPD, sino que el responsable del tratamiento, y en su caso el encargado del
tratamiento, debe ser capaz de demostrar que el interesado ha dado su
consentimiento a la operación de tratamiento. Esto se debe al principio de
responsabilidad proactiva.

Debido al principio de
responsabilidad proactiva
(o accountability) el
consentimiento debe ser
acreditable.

18
 Soluciones para obtener
y acreditar que se ha
obtenido el consentimiento
Como hemos explicado, una de las condiciones mediante
las cuales el tratamiento de datos es lícito se produce si
el interesado da su consentimiento, que debe de ser
lícito también.

Entre los requisitos que establece el RGDP para que el consentimiento sea
lícito es que haya sido obtenido de forma inequívoca.

Y además, el responsable del tratamiento de los datos tiene que poder

demostrar que el consentimiento se ha obtenido lícitamente, en conformidad
con los requisitos del Reglamento.

¿Cómo se puede obtener el consentimiento de forma lícita y

acreditar que así ha sido?

En Signaturit hemos desarrollado cuatro soluciones que nos permiten

obtener pruebas de consentimiento. Con estas pruebas podemos
demostrar, en nombre del responsable del tratamiento o del encargado en su
caso, que el titular de los datos (el interesado) efectivamente ha dado su
consentimiento en conformidad con lo establecido por el RGPD.

Debemos tener presv caso de tener que acreditar
que el consentimiento se ha obtenido conforme
al Reglamento, se debe poder demostrar
fehacientemente que el consentimiento fue
obtenido de manera lícita. Para ello, es necesario
responder a las siguientes preguntas:
19
• ¿Quién otorgó el consentimiento?
• ¿Cuándo y cómo se otorgó el
consentimiento?
• ¿Qué información recibió el
interesado en el momento de otorgar el
consentimiento?
 Para contextualizar mejor las soluciones que ofrecemos, el escenario sería el
siguiente:

Signaturit: encargado Responsable del Titular de los datos o

del tratamiento. Como tratamiento: empresa interesado: residente
prestador de servicios que nombra a Signaturit en la UE que da su
electrónicos de confianza, encargado del tratamiento, consentimiento o
en cumplimiento con y que quiere garantías lo revoca.
el Reglamento (UE) legales que le permitan
910/2014, también mantener un registro
conocido como eIDAS, de consentimientos, así
puede demostrar quién como de consentimientos
otorgó su consentimiento, revocados.
cuándo, cómo y qué
información recibió.

Nuestro objetivo es el de ofrecer a las empresas (responsables

del tratamiento) una prueba de consentimiento garantizada por
un tercero de confianza neutral (Signaturit) a través de cuatro
soluciones que cumplen con el RGPD, es decir, que garantizan
que el consentimiento (y/o su revocación) tal y como se
almacena en Signaturit se obtuvo de forma legal.

Las garantías legales de cada una de las distintas pruebas de consentimiento

dependerán del nivel de identificación del titular de los datos que decida
establecer el responsable del tratamiento.

Sin embargo, en todos los casos podemos demostrar que:

• Hay un interesado que da su consentimiento.

• Hay consentimiento.
• Hay contenido (por ejemplo, términos y condiciones) al que se aplica el
consentimiento del interesado.

20
 ¿Qué soluciones ofrecemos para obtener el consentimiento de
forma lícita?

Utilizando nuestra tecnología de certificación con cualquiera de nuestras

soluciones podemos certificar la fecha y hora exacta en la que se produce un
evento.

Esta certificación tiene plena validez jurídica, dotando a las empresas de una
herramienta con la cual puedan certificar que el consentimiento de un
interesado fue prestado en un momento exacto, y en qué condiciones
éste fue otorgado.

Las soluciones para los niveles de identificación 1 y 2 permiten conseguir

el consentimiento inequívoco, mientras que las soluciones para los niveles
de identificación 3 y 4 están pensadas para conseguir el consentimiento
inequívoco y explícito.

Las explicamos a continuación:

Nivel 1 - Consentimiento básico

Como nivel más básico para demostrar que se da consentimiento hemos

desarrollado un “script” que puede integrarse en cualquier página web
o aplicación.

Cuando una persona rellene el formulario para dar su consentimiento sobre

el tratamiento de sus datos personales, Signaturit se encargará de guardar
ese registro, así como los términos y condiciones aceptados por el usuario
en el momento de hacer click en el botón “Aceptar”.

Toda esta información queda registrada en un documento probatorio,

en el que se incluyen todas las evidencias electrónicas necesarias para
certificar este proceso.

21
 Los datos que almacenamos en este caso son la dirección IP, el browser,
la fecha y la hora de la acción. Además, los términos y condiciones
aceptados quedan incluidos en el documento probatorio.

Facilidad de uso

Esta solución es la forma menos intrusiva de obtener consentimiento, ya

que a parte de marcar una casilla o hacer click en un botón de “Aceptar”,
no se requieren más acciones por parte del interesado, quien puede seguir
navegando por la web después de otorgar su consentimiento.

Ejemplos

Algunos ejemplos de uso de esta solución serían la aceptación de cookies,

o la aceptación de las condiciones generales de una empresa, si ello es
necesario para proceder con una transacción.

Nivel 2 - Consentimiento básico+

En este caso, además de capturar las evidencias electrónicas del contexto,

añadimos un segundo factor de autenticación, mediante la validación
del consentimiento a través de un OTP (one time password), código
de validación temporal que entregamos a través de un SMS y/o correo
electrónico.

• En la opción de validación del consentimiento vía correo electrónico,

una vez el interesado haya marcado una casilla o haya hecho click
en el botón “Aceptar”, se le envía un email a la dirección que haya
proporcionado.

El titular recibirá un email con un contenido (a definir por cada empresa),

que tendrá que aceptar para confirmar que expresa su consentimiento.

• En la opción de validar el consentimiento mediante un OTP, enviamos

número PIN al móvil del interesado. El titular tendrá que introducir este OTP
en la web, lo que refuerza la confirmación del consentimiento expresada al
marcar la casilla.

En ambos casos, además de recoger los mismos datos que en la solución

de nivel 1 - dirección IP, el browser y la fecha y la hora de la acción -
también tenemos el email y/o el número del móvil del interesado.

Estos dos últimos datos ofrecen un nivel de confianza superior a la hora de

identificar al titular respecto a la primera solución propuesta.
22
 Facilidad de uso

Esta solución sigue siendo un trámite poco intrusivo y relativamente fácil de

completar para el titular de los datos. El envío de emails de confirmación
así como el envío de códigos PIN via SMS son prácticas comunes, que la
mayoría de las personas han realizado más de una vez.

Ejemplos

En caso de tener que renovar de consentimientos ya otorgados, casos de

transferencia de datos personales a terceros con fines comerciales, casos
de consentimiento para publicar datos personales en plataformas peer to
peer, como por ejemplo para anunciar el alquiler de un piso en Airbnb o
para alquilar un coche a través de SocialCar.

Nivel 3 - Consentimiento avanzado

El consentimiento avanzado es capaz de identificar de forma única a

la persona que acepta el consentimiento. Esta solución está pensada
para aquellos casos en los que el consentimiento del interesado deba ser
explícito (además de inequívoco).

Para ello, se invita al interesado a firmar digitalmente de forma manuscrita

el contenido del consentimiento en su smartphone, tablet u ordenador,
realizando su firma con el dedo (en el caso de un smartphone o tablet) o
con el mouse (en el caso de un laptop u ordenador de sobremesa).

Se trata de nuestra firma electrónica avanzada, con la que recogemos

una serie de datos del contexto en el que se realiza la firma, además
de la siguiente información relativa al trazo de la firma, que son datos
biométricos del interesado:

• La velocidad con la que se firma.

• La aceleración con la que se firma.
• La presión con la que se firma (en aquellos dispositivos que lo permiten).
23
 El hecho de dar consentimiento mediante una firma realizada con nuestra
solución de firma electrónica avanzada, incluyendo además la recogida
de datos biométricos del trazo de la firma del interesado, nos permite
identificarle de forma única y explícita.

Información relacionada: La legalidad de la firma electrónica

Facilidad de uso

Firmar un documento con una solución de firma electrónica es muy fácil.

En este vídeo explicamos cómo se firma un documento con la firma
electrónica avanzada de Signaturit. Para cada individuo, la destreza a la
hora de firmar dependerá de si ya ha tenido experiencias de firma similares.

Ejemplos

El consentimiento otorgado mediante una solución de firma electrónica

avanzada puede utilizarse en aquellos casos en los que los datos
personales a tratar sean sensibles, para aceptar condiciones que
incluyan transferencia de datos fuera de la UE o en el caso de decisiones
individuales automatizadas, incluida la elaboración de perfiles.

Más concretamente, datos sanitarios, de origen racial, genéticos,

biométricos o religiosos, etc. - obtenidos de la actividad del interesado
en virtud del uso del servicio o dispositivo proporcionado por una compañía
de seguros - como la localiza­ción, el tráfico, los historiales, etc - quedarán
especialmente vigilados bajo la lupa del nuevo GDPR a partir del 25 de
mayo de 2018.

24
 Level 4 - Reinforced eConsent

La solución de nivel 4 se elabora a partir de la solución de nivel 3, a la que se

añade un paso adicional, que es el de adjuntar la fotografía del documento de
identidad (DNI o Pasaporte) de la persona que otorga su consentimiento.

Este paso debe completarse una vez se haya firmado el contenido del
consentimiento para poder finalizar el proceso.

En este caso, además de recoger la misma información que en la solución de

nivel 3, estamos comprobando la veracidad del documento de identidad
gracias a nuestra tecnología OCR (optical character recognition), con la cual
se extraen los datos del documento de identidad y se analizan para verificar
si se trata de los datos correctos o si éstos han sido manipulados.

Igual que con el nivel 3, en la solución de nivel 4 también cumplimos con

los siguientes requisitos, sólo que reforzamos el “quién”:

a. Quién otorgó el consentimiento.

b. Cuándo y cómo se otorgó el consentimiento.

c. Qué información recibió el interesado.

Facilidad de uso

La usabilidad de este proceso es un poco más compleja, por el hecho de tener

que fotografiar el DNI (o adjuntar una foto del DNI previamente tomada).

Sin embargo, no supone ninguna molestia insalvable para quienes están

acostumbrados a procedimientos digitales y a tratar con documentación digital.

Ejemplos

Los casos de uso de esta solución son los mismos que los de la solución 3.
La diferencia entre ambas soluciones es que la 4 representa el nivel máximo
de identificación del interesado, y es recomendable usarla en aquellos
procedimientos en los que la exigencia de demostrar la identidad de la persona
que da su consentimiento sea más elevada.

Por ejemplo, esta solución se podría usar en aquellos casos en los que las
compañías están obligadas por ley a verificar la edad de la parte interesada,
como en la venta de alcohol online, o en las casas de apuestas online.
25
 Conclusión
Adaptar los mecanismos de recolección y tratamiento de datos para respetar
la nueva visión del Reglamento es uno de los retos más importantes que los
responsables o encargados del tratamiento tendrán que asumir.

Para ello, deberán realizar una análisis exhaustivo de cómo recogen y

tratan datos de personas físicas, y verificar si cumplen íntegramente con las
exigencias de esta nueva normativa.

Además hay que tener en cuenta que, tanto en el caso del tratamiento de
datos basado en la obtención del consentimiento como en el resto de casos,
la carga de prueba conforme se han obtenido los datos personales de
cualquier individuo de forma lícita no recae sobre el demandante, sino sobre
el demandado.

Ello significa que son las empresas las que deben demostrar que cumplen
con el nuevo Reglamento, justificando y acreditando cada una de las acciones
realizadas para ello.

Todas las evidencias recogidas deberán poder acreditar, ante la autoridad

judicial y ante los interesados, la voluntad real del responsable o encargado
del tratamiento de llevar a cabo un cumplimiento diligente de la normativa en
vigor.

Y del mismo modo será imprescindible que el responsable del tratamiento, y

en su caso el encargado del tratamiento, que base la licitud del mismo en los
consentimientos demuestre que estos se han obtenido en conformidad con
los requisitos del RGPD.

Con las soluciones proporcionadas por Signaturit las empresas tienen

resuelto el problema de la carga de la prueba y pueden por tanto abordar
sin preocupaciones cualquier discusión o caso de responsabilidad civil
relacionado con el consentimiento.

En este sentido, nuestras soluciones también contribuyen a reducir

drásticamente el coste de los abogados internos y asesores externos que
suelen necesitarse para abordar conversaciones con las autoridades de
control y/o con los interesados en casos de responsabilidad civil.

Si tienes preguntas respecto a cómo obtener el consentimiento con

las soluciones que hemos expuesto en esta guía, por favor envíanos
un email a info@signaturit.com o llámanos al 93 551 14 80.
26
 Nuestras soluciones para obtener el consentimiento en conformidad con el
nuevo RGPD las hemos desarrollado junto con el despacho de abogados
belga De Groote - De Man, considerado pionero en cuanto a innovación de
la práctica legal y por ello ganador del prestigioso premio Financial Times
Innovative Lawyers Award en 2017.

De Groote de Man ofrece experiencia en varios ámbitos, siendo el nuevo

RGPD una de sus especialidades mejor valoradas. Según Jeroen De Man,
Managing Partner, “la solución eConsent es una herramienta real y muy
completa para que cualquier empresa pueda cumplir fácilmente con el nuevo
Reglamento europeo de protección de datos.”

27
 Signaturit
Signaturit facilitates closing contracts with an intuitive
and legally binding eSignature solution, without having to
install any applications.

For more info, please contact us:

marketing@signaturit.com · (ES) +34 935 511 480

www.signaturit.com

Follow us: