Consentimiento y cesión de datos personales

En el ámbito de la protección de datos, dos conceptos generan muchas dudas relacionadas con el consentimiento y la comunicación de datos a terceros. ¿Cuándo se necesita el consentimiento de una persona para tratar o ceder sus datos? ¿Qué condiciones debe cumplir para ser válido? ¿Se puede compartir información con otras empresas sin permiso expreso?

Desde nuestro despacho de abogados de protección de datos de Granada te aclaramos qué dice el RGPD y la LOPDGDD sobre el consentimiento, cuándo es necesario, cómo debe obtenerse y en qué casos puedes comunicar datos sin necesidad de autorización previa.

¿Por qué es clave el consentimiento en protección de datos?

El consentimiento es una de las seis bases legales que permiten tratar datos personales según el artículo 6 del Reglamento General de Protección de Datos (RGPD). Aunque no es la única base válida, es probablemente la más utilizada, especialmente en actividades de marketing, formularios web, apps y redes sociales.

Además, la comunicación de datos a terceros también se considera un tratamiento, por lo que, si no hay otra base legal, necesitarás el consentimiento del titular para hacerlo de forma legal.

¿Qué se considera consentimiento válido según el RGPD y la LOPDGDD?

Según el artículo 4.11 del RGPD, el consentimiento es:

"Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen."

Por tanto, para que el consentimiento sea válido, debe cumplir con los siguientes requisitos:

• Libre: sin presiones ni condiciones para obtener un servicio.
• Específico: para una finalidad concreta, no genérica.
• Informado: el usuario debe saber quién trata sus datos, con qué finalidad, durante cuánto tiempo y si se cederán a terceros.
• Inequívoco: debe existir una acción clara que lo confirme (por ejemplo, marcar una casilla, no vale el silencio).

Además, debe poder ser revocado fácilmente en cualquier momento y el responsable debe guardar prueba de que fue otorgado.

¿Cuándo se necesita consentimiento para tratar datos personales?

Se necesita consentimiento cuando no existe otra base legal válida para el tratamiento, o cuando la naturaleza del tratamiento implica cierta sensibilidad o finalidad comercial. Algunos ejemplos típicos donde se requiere:

• Envío de comunicaciones comerciales o boletines por email.
• Instalación de cookies no técnicas.
• Cesión de datos a terceros ajenos al servicio contratado.
• Tratamiento de categorías especiales de datos (salud, orientación sexual, religión, etc.).
• Grabación de voz o vídeo con fines promocionales o de vigilancia.

En cambio, no será necesario si existe otra base legal clara, como el cumplimiento de un contrato, una obligación legal o un interés legítimo debidamente justificado.

¿Qué es la comunicación o cesión de datos?

La comunicación o cesión de datos consiste en revelar o compartir datos personales con un tercero, distinto del responsable del tratamiento o del propio interesado.

Por ejemplo:

• Una empresa que entrega los datos de sus clientes a otra del mismo grupo para campañas de marketing.
• Una clínica que deriva pacientes a un centro externo.
• Un colegio que facilita a una editorial los datos de sus alumnos.

En estos casos, la ley exige que exista una base legal válida, y muchas veces esto implica haber obtenido el consentimiento expreso del interesado.

¿Cuándo se puede comunicar un dato a terceros legalmente?

La comunicación de datos personales es legal cuando se basa en alguna de las siguientes situaciones:

• Consentimiento expreso del interesado.
• Necesidad contractual: por ejemplo, entregar datos a una empresa de mensajería para enviar un pedido.
• Obligación legal: como comunicar datos a Hacienda, Seguridad Social, juzgados, etc.
• Protección de intereses vitales: como en emergencias médicas.
• Interés público o ejercicio de poderes públicos.
• Interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado.

Casos en los que no se necesita consentimiento para comunicar datos

No es necesario consentimiento si la cesión está justificada por otra base legal. Algunos ejemplos comunes:

• Una asesoría laboral que gestiona nóminas y comunica datos de empleados a la Seguridad Social.
• Una tienda online que facilita datos de envío a una empresa de paquetería.
• Una empresa que comparte datos con su proveedor de hosting (si hay contrato de encargado del tratamiento).

⚠️ Importante: cuando se trata de un proveedor que solo accede a los datos para prestar un servicio y no decide sobre su uso, se firma un contrato de encargo del tratamiento, no se considera cesión.

Recomendaciones para obtener y gestionar el consentimiento correctamente

• Evita las casillas premarcadas o el consentimiento tácito.
• Informa de forma clara, sencilla y completa antes de pedir el consentimiento.
• Separa el consentimiento para cada finalidad (marketing, cesión de datos, perfilado, etc.).
• Permite al usuario retirar su consentimiento fácilmente.
• Documenta cómo y cuándo se otorgó el consentimiento (fecha, IP, acción realizada, etc.).
• Revisa periódicamente que los consentimientos sigan siendo válidos y actuales.

Conclusión: transparencia, base legal y garantías

El consentimiento y la comunicación de datos personales son dos de los aspectos más delicados en la normativa de protección de datos. Actuar sin base legal, sin información clara o sin prueba del consentimiento puede derivar en sanciones económicas, pérdida de confianza o incluso acciones legales.

Por eso, es esencial que las empresas y profesionales revisen sus procesos de recogida de datos, sus cláusulas informativas y sus sistemas de autorización.

Si tienes dudas sobre si necesitas consentimiento o cómo comunicar datos de forma legal, lo más seguro es consultar con abogados expertos en protección de datos en Granada. Ellos te ayudarán a implementar medidas eficaces, garantizar el cumplimiento y proteger tu organización frente a posibles sanciones.