Manual de legislación europea en materia de 

protección de datos

2.4. Consentimiento
Puntos clave

• El consentimiento como base jurídica para el tratamiento de datos personales debe ser
otorgado de manera libre, específica, informada e inequívoca por medio de una clara
acción afirmativa que signifique aceptación del tratamiento.

• El tratamiento de categorías especiales de datos exige un consentimiento explícito.

128
 Terminología de protección de datos

Como se verá con detalle en el capítulo 4, el consentimiento es uno de los seis moti-
vos legítimos para tratar datos personales. El consentimiento es «toda manifesta-
ción de voluntad libre, específica, informada e inequívoca» (257).

El Derecho de la UE establece tres elementos para que el consentimiento sea válido,

que tienen por objeto garantizar que los interesados realmente accedieron a que sus
datos fueran utilizados (258):

• El consentimiento debe otorgarse por medio de un claro acto afirmativo con que
el interesado efectúe una manifestación de voluntad libre, específica, informada
e inequívoca de aceptación del tratamiento de sus datos personales. Este acto
puede ser una acción o una declaración.

• El interesado debe tener derecho a retirar su consentimiento en cualquier

momento.

• En el contexto de una declaración escrita que también comprenda otros

conceptos, como «condiciones de servicio», las solicitudes de consentimiento
deben realizarse en lenguaje claro y sencillo y con una formulación inteligible
y de fácil acceso, que distinga claramente el consentimiento de otras cuestiones;
si parte de esta declaración viola el RGPD no será vinculante.

El consentimiento solo será válido en el contexto de la legislación sobre protección

de datos si se cumplen todos estos requisitos. Corresponde al responsable del trata-
miento demostrar que el interesado ha consentido el tratamiento de sus datos (259).
Los elementos del consentimiento válido se analizarán con más detalle en la sec-
ción 4.1.1 sobre razones lícitas para el tratamiento de datos personales.

El Convenio 108 no incluye una definición de consentimiento, sino que esta es una

cuestión que se remite a la legislación nacional. Sin embargo, en el Derecho del
CdE, los elementos del consentimiento válido se corresponden con los explicados
anteriormente (260).

(257) Reglamento general de protección de datos, artículo 4, apartado 11. Véase asimismo el Convenio 108
modernizado, artículo 5, apartado 2.
(258) Reglamento general de protección de datos, artículo 7.
(259) Ibíd., artículo 7, apartado 1.
(260) Convenio 108 modernizado, artículo 5, apartado 2; Comité Ad hoc sobre Protección de Datos (CAHDATA),
Informe explicativo del Convenio modernizado para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal (Convenio 108), apartados 40-43.

129
Manual de legislación europea en materia de protección de datos

Naturalmente, los requisitos adicionales contemplados en el Derecho civil para que

el consentimiento sea válido, como la capacidad jurídica, también son de aplicación
en el contexto de la protección de datos, puesto que son requisitos legales previos
fundamentales. El consentimiento inválido de las personas que no posean capaci-
dad jurídica tendrá como consecuencia la falta de base legal para el tratamiento de
datos de dichas personas. En lo que respecta a la capacidad jurídica de los menores
para formalizar contratos, el RGPD establece que sus normas sobre la edad mínima
de obtención del consentimiento válido no afectan a las disposiciones generales del
Derecho contractual de los Estados miembros (261).

El consentimiento debe otorgarse de manera clara, de modo que no quede rastro

de duda acerca de las intenciones del interesado (262). El consentimiento ha de ser
explícito cuando concierna al tratamiento de datos sensibles, y se puede otorgar
oralmente o por escrito (263). En este último caso puede otorgarse por medios elec-
trónicos (264). En el marco del Derecho de la UE y del Derecho del CdE, la aceptación
del tratamiento de los datos personales propios debe efectuarse por medio de una
declaración o una clara acción afirmativa (265). Por tanto, el silencio, las casillas pre-
viamente marcadas, los formularios previamente cumplimentados o la inacción no
pueden constituir consentimiento (266).

(261) Reglamento general de protección de datos, artículo 8, apartado 3.

(262) Ibíd., artículo 6, apartado 1 y artículo 9, apartado 2, letra a).
(263) Ibíd., considerando 32.
(264) Ibíd.
(265) Ibíd., artículo 4, apartado 11; Comité Ad hoc sobre Protección de Datos (CAHDATA), Informe explicativo
del Convenio modernizado para la protección de las personas con respecto al tratamiento automatizado
de datos de carácter personal (Convenio 108), apartado 40.
(266) Reglamento general de protección de datos, considerando 32; Informe explicativo del Convenio
modernizado para la protección de las personas con respecto al tratamiento automatizado de datos de
carácter personal (Convenio 108), apartado 40.

130