Menú Autorización de cookies Empezar aquí

Ejemplos de Consentimiento del RGPD

Última actualización 01 July 2022 por PrivacyPolicies.com Legal Writing Team
Ejemplos de Consentimiento del RGPD

Recientemente se ha producido mucha actividad relativa a la obtención del consentimiento. Los sitios web han presentado «banners de cookies». Las empresas han enviado mensajes de correo electrónico preguntando si los usuarios siguen queriendo estar suscritos a sus listas de correo. Y la lista sigue.

Todo esto se debe al Reglamento General de Protección de Datos de la UE (RGPD), una ley de privacidad que establece un estándar para el consentimiento más estricto que aquel al que estaban acostumbradas muchas empresas. En virtud del RGPD, consentimiento significa verdadero consentimiento. Algunos métodos que anteriormente se empleaban para obtener el consentimiento han dejado de ser válidos.

Veamos qué puede hacer su empresa para asegurarse de estar obteniendo el consentimiento de la forma correcta, y para los fines adecuados.


¿Qué es el RGPD?

¿Qué es el RGPD?

El RGPD es casi con total seguridad la ley de privacidad más estricta del mundo. Pero la legislación exigente en materia de privacidad y protección de datos no algo nuevo en la UE. La Directiva de Protección de Datos, una ley de privacidad más antigua a la que sustituye el RGPD, y la Directiva de Privacidad electrónica, conocida en ocasiones como la «ley de cookies» ya ofrecían a los ciudadanos de la UE un elevado nivel de protección de su privacidad.

El RGPD ha tenido un impacto especialmente significativo, en parte debido a que se aplica también a empresas de fuera de la UE.

¿Quién debe cumplir el RGPD?

El RGPD se aplica a su empresa tanto si está establecida en la UE como si no siempre que:

  • Ofrezca bienes y servicios a residentes en la UE. Esto no depende de si lo hace con ánimo de lucro o no.
  • Hace un seguimiento del comportamiento de las personas en la UE. Esto puede incluir el «perfil», es decir, tratar de predecir cómo podrían actuar basándose en su comportamiento en el pasado. Es algo muy habitual, dado que es lo que hacen muchas cookies de publicidad.

¿Qué incluye el RGPD?

Siempre que su empresa trate datos personales, deberá cumplir el RGPD. El tratamiento de datos personales es algo que las empresas hacen todos los días.

Los «datos personales» consisten en información que puede emplearse para identificar a una persona. Si se está preguntando si un dato podría considerarse datos personales, probablemente lo sea.

Las direcciones de IP dinámicas, por ejemplo, se consideran datos personales por el más alto tribunal de la UE. Esto se debe a que una dirección de IP dinámica puede teóricamente combinarse con otra información para identificar a una persona. Algunas cookies también cumplen este criterio.

El «tratamiento» de datos personales consiste en hacer algo con ellos. De nuevo, si se pregunta si una actividad constituye tratamiento, es probable que lo sea.

Aparte de las cosas más evidentes como los datos de pago o la compilación de una lista de correo, una acción como almacenar la dirección IP de alguien en los archivos de registro de su servidor web también podría constituir «tratamiento de datos personales».

Cómo ha cambiado el consentimiento con el RGPD

Cómo ha cambiado el consentimiento con el RGPD

Existen dos tipos de consentimiento en la mayoría de las leyes de privacidad: el implícito y el expreso.

Pueden tener otro nombre. Por ejemplo, en la Ley de Spam de Australia de 2003, la ley de correo electrónico comercial, el consentimiento implícito se denomina «consentimiento inferido». Y, en EE. UU., la ley de privacidad CAN-SPAM lo denomina «consentimiento afirmativo».

Aunque la mayoría de las leyes de privacidad reconocen ambos tipos de consentimiento, el consentimiento implícito no existe en el RGPD. Con el RGPD resulta mucho más difícil demostrar que tiene el consentimiento de un cliente que con otras leyes de privacidad.

Consentimiento implícito

Básicamente, el «consentimiento implícito» significa que tiene motivos para creer que una persona le daría su consentimiento si se lo pidiera.

El consentimiento implícito puede existir en una relación entre un cliente y una empresa. Si alguien compra habitualmente productos a una empresa, esa empresa podría creer razonablemente que el cliente ha consentido recibir mensajes de marketing por correo electrónico. La empresa casi siempre tendrá que ofrecer al cliente la posibilidad de «rechazar» esas comunicaciones a través de un sistema para darse de baja.

Por ejemplo, en la Ley anti spam de Canadá (CASL), una ley de privacidad canadiense, el consentimiento implícito existe automáticamente en determinadas condiciones. El Gobierno de Canadá lo explica en su sitio web:

Preguntas frecuentes acerca de la CASL del Gobierno de Canadá: Qué es el consentimiento implícito

Consentimiento expreso

El consentimiento expreso es lo que significa «consentimiento» en el RGPD. Le pide a alguien su consentimiento, esa persona entiende la pregunta y sus implicaciones, y toma una decisión auténtica.

La Ley de Mensajes Electrónicos No Solicitados de Nueva Zelanda de 2007, una ley contra el spam, reconoce ambos consentimientos. Así es como el Departamento de Asuntos Internos de Nueva Zelanda describe el consentimiento expreso para enviar mensajes de correo electrónico comerciales:

Departamento de Asuntos Internos de Nueva Zelanda: Ejemplos de consentimiento expreso

Los cinco elementos del consentimiento según el RGPD

El artículo 4 del RGPD define el consentimiento como «toda manifestación de voluntad libre, específica, informada e inequívoca ... mediante una clara acción afirmativa» en virtud de la cual una persona da permiso para que sus datos personales se traten de determinada forma.

Puede dividirse en cinco elementos:

  1. Libre - la persona no debe haber sido presionada para dar su consentimiento ni sufrir ningún perjuicio si lo rechaza.
  2. Específico - se le debe pedir a la persona que consienta tipos individuales de tratamiento de los datos.
  3. Informado - se debe informar a la persona a qué está consintiendo.
  4. Inequívoco - el lenguaje debe ser claro y sencillo.
  5. Clara acción afirmativa - la persona debe consentir expresamente haciendo o diciendo algo.

Si falta alguno de estos cinco elementos, no tendrá el consentimiento según el RGPD.

¿Cuándo se necesita consentimiento?

Uno de los mitos que circula en torno al RGPD es que el consentimiento es necesario para cualquier tipo de tratamiento de datos. No es cierto.

El RGPD es solo una de las seis bases legítimas para el tratamiento de datos personales que establece el RGPD. Han sido resumidas por la Oficina del Comisionado de Información (la autoridad de protección de datos del Reino Unido):

Lista de bases legales para el tratamiento de la ICO

En general, no debería pedir consentimiento si:

  • Ejecuta un servicio básico (puede sustituirse por contrato).
  • Necesita tratar datos personales con arreglo a la ley (obligación legal).
  • Trata datos personales en beneficio de su empresa u otras personas de una manera razonablemente previsible para los usuarios, con un riesgo e impacto mínimo en las personas (intereses legítimos).

Debería pedir el consentimiento si ofrece una alternativa genuina relativa a un servicio no esencial. Los ejemplos habituales incluyen:

  • Uso de cookies de seguimiento/publicidad
  • Envío de mensajes de correo electrónico de marketing o boletines informativos
  • Cesión de datos personales a otras empresas con fines comerciales

Cómo obtener el consentimiento según el RGPD

Cómo obtener el consentimiento según el RGPD

Debe implementar los cinco elementos del consentimiento cada vez que solicite el consentimiento de sus usuarios.

Consentimiento para las cookies

Los banners de cookies han proliferado desde la entrada en vigor del RGPD. Muchos de ellos serían perfectos en un sistema que aceptara el consentimiento «implícito» pero, recuerde, el RGPD solo reconoce el consentimiento expreso.

Here's how you can use our Cookie Consent to implement a cookie management solution for your website.

  1. Start building your Cookie Consent by choosing your compliance preference on step 1:

    2. PrivacyPolicies.com: Cookies Consent - Choose your compliance preference - Step 1

  2. On step 2 customize your Cookie Consent - choose banner type and pick color palette:

    3. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  3. Continue with customizing your Cookie Consent widget to best fit your website.

    4. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  4. You can also group your JavaScript automatically using our builder page on step 3. Pass all your JavaScript through here so that we can include the necessary cookie consent level:

    5. PrivacyPolicies.com: Cookies Consent - Add your JavaScript scripts - Step 3

  5. And you're done! Now just copy your Cookie Consent code and append it to your website page before the closing of the </body> tag.

    PrivacyPolicies.com: Cookies Consent - Copy your Cookie Consent code - Step 4

    For more info you can check Cookie Consent levels that are available in Cookie Consent.

Existen banners de cookies que prácticamente piden el consentimiento pero se quedan cortos; este es un ejemplo del Southbank Centre:

Aviso de cookies del Southbank Centre

En este ejemplo ni siquiera se solicita el consentimiento y las cookies se instalan por defecto. Se remite a información adicional, donde se explica cómo rechazar las cookies.

Pero debe recordar los cinco elementos. El consentimiento no se da libremente con este sistema. No resulta inequívoco ni se realiza a través de una clara acción afirmativa.

Este es un ejemplo mucho mejor de un aviso de cookies del Banco Central Europeo:

Aviso de cookies del Banco Central Europeo

Los cinco elementos sí que están presentes. El consentimiento es:

  1. Libre - se hace énfasis en la posibilidad de «aceptar» o «no aceptar».
  2. Informado - se explica al usuario el motivo del tratamiento y se le invita a obtener más información.
  3. Inequívoco - el lenguaje es claro y fácil de entender.
  4. Específico - solo se invita al usuario a consentir un tipo de tratamiento de los datos.
  5. Se obtiene a través de una clara acción afirmativa - el usuario debe hacer clic en «Entiendo y acepto».

Tenga en cuenta que no hace falta una casilla de verificación «Acepto» adicional. Un clic es suficiente para una solicitud de consentimiento.

Este es un caso muy simple, ya que el sitio web del Banco Central Europeo utiliza unas cookies muy básicas. Sigue un ejemplo de Experian para solicitar el consentimiento específico para distintos tipos de cookies:

Pantalla de configuración del Centro de preferencias de privacidad de Experian

Debe informar a sus usuarios del uso que hace de las cookies en su Política de privacidad (o de cookies). Así es como Makermet explica los distintos tipos de cookies que usa:

Política de cookies de Makermet: Gráfico de nombre y finalidad de las cookies

Recuerde que el consentimiento no se refiere solo a lo que dice, sino que también tiene que ver con lo que hace. No instale cookies de publicidad salvo que sus usuarios le hayan dado su consentimiento para ello.

Consentimiento para enviar material de marketing

El RGPD pone fin a la casilla preseleccionada, una táctica que durante años las empresas han usado para tratar de que los suscriptores se unieran a su lista de correo sin darse cuenta.

Parecería que existe una pequeña diferencia entre pedirle a alguien que marque una casilla y pedirle que elimine una marca. Sin embargo, «no eliminar la marca de una casilla de verificación» no cumple con ninguno de los cinco elementos del consentimiento según el RGPD. Por tanto, no puede utilizarse para demostrar que ha obtenido el consentimiento de una persona.

Puede implementar fácilmente los cinco elementos del consentimiento del RGPD si pide los usuarios que se suscriban a su lista de correo. Este es un ejemplo de Dynastar:

Formulario de suscripción al boletín informativo de Dynastar

¿Cumple esta medida los cinco elementos?

  1. Libre - el usuario tiene una posibilidad evidente de dar o no su dirección de correo electrónico.
  2. Informado - el usuario ha indicado el motivo para el tratamiento; sin embargo, la palabra «marketing» está en la letra pequeña. Se invita al usuario a leer la Política de Privacidad de Dynastar.
  3. Inequívoco - el lenguaje es claro y fácil de entender.
  4. Específico - podría decirse más claramente que el boletín informativo es una forma de marketing, pero esto es solo un detalle.
  5. Se ha obtenido a través de una clara acción afirmativa - escribir su dirección de correo electrónico y hacer clic en «suscribirse al boletín informativo» es una clara acción afirmativa.

Este es un ejemplo bastante bueno de mecanismo de suscripción en una lista de correo.

A continuación encontrará otro ejemplo de Cooper Vision. Para empezar, se indica claramente a qué se está suscribiendo:

Descargo de responsabilidad del formulario de suscripción a las actualizaciones de marketing de Cooper Vision

Luego se ofrecen al usuario distintas alternativas acerca de cómo recibir la información:

Formulario de suscripción a mensajes de correo electrónico de marketing de Cooper Vision con opciones

La solicitud de consentimiento de Cooper Vision cumple fácilmente las exigencias del RGPD.

A menudo el consentimiento para enviar material de marketing se obtiene cuando el usuario se da de alta en otro servicio o interactúa con su empresa de otra forma. Este es un ejemplo de Protect Your Gadget. En este momento, el usuario está a punto de darse de alta para recibir el presupuesto de un seguro:

Formulario de suscripción a mensajes de correo electrónico de Protect your Gadget

Siempre que quede claro que se trata de una opción independiente y que la respuesta por defecto sea «no», resulta perfecto. El problema surge si un usuario se suscribe para recibir material de marketing sin darse cuenta de ello o sin hacerlo activamente.

A este respecto, es conveniente implementar una «doble aceptación» que solicite al usuario que confirme su suscripción a través de un mensaje de correo electrónico de validación. Este ejemplo corresponde a Textbroker:

Mensaje de correo electrónico para confirmar la suscripción al boletín informativo de Textbroker

Consentimiento del marketing de terceros

Existen otras dos formas en que sus usuarios pueden aceptar el marketing de otras empresas. Podría enviarles material de marketing de terceros directamente o ceder sus datos de contacto con otras empresas.

Ninguno de estos dos casos está prohibido por el RGPD. Pero, como en cualquier otro aspecto del tratamiento de datos, debe ser claro y transparente. Casi siempre tendrá que pedir el consentimiento para estos fines.

No debería integrar su solicitud de consentimiento para ceder los datos personales con otras solicitudes de consentimiento. Vamos a fijarnos ahora en esta solicitud de consentimiento de Escapio:

Formulario de suscripción al boletín informativo de Escapio

Se informa a los usuarios de que se están dando de alta para recibir «nuestros consejos y ofertas de Escapio». Pero al bajar por la página aparece más información:

Información acerca de lo que incluye el boletín informativo por correo electrónico de Escapio

El usuario recibirá información de marketing de terceros, recomendaciones de hoteles, concursos, mucho más que simples «consejos y ofertas» de Escapio. El consentimiento de todo esto se ha integrado en una sola solicitud. Parece que se queda corto con respecto al requisito de que el consentimiento sea «específico».

Este es un ejemplo de una solicitud de consentimiento no integrada de Steam Railway:

Casillas de verificación del formulario de alta en los mensajes de correo electrónico de Steam Railway

La dirección de correo electrónico del usuario se utilizará con tres fines distintos. Por tanto, es apropiado pedir el consentimiento de tres formas diferentes con tres casillas de verificación distintas.

Aquí vemos otro ejemplo de una solicitud de consentimiento no integrada de Alfa Romeo:

Formulario de consentimiento del marketing, elaboración de perfiles y comunicaciones con terceros de Alfa Romeo

Este es un buen ejemplo de consentimiento libre, informado, específico, inequívoco y dado a través de una clara acción afirmativa.

El sexto elemento del consentimiento -Facilidad de retirada

El RGPD establece un sexto requisito: el consentimiento debe poder retirarse fácilmente.

Por supuesto, se debe incluir un sistema de baja en sus mensajes de marketing por correo electrónico. Así es como lo hace Hermes:

Mensaje de correo electrónico de Hermes con opción de baja

Las otras formas de retirar el consentimiento deben explicarse claramente en su Política de Privacidad. Así es como lo hace Bauer Publishing:

Política de privacidad de Bauer Publishing: Cláusula de consentimiento

Las cookies suelen poder gestionarse a través de un «gestor de cookies». Este ejemplo corresponde a Onedox:

Captura de pantalla de la herramienta de gestión de cookies de Onedox

Tenga en cuenta que muchos de estos ajustes deberían estar «desactivados» por defecto.

Consentimiento para aplicaciones para móviles

Los principios para obtener el consentimiento relativo a las aplicaciones para móviles son los mismos que para cualquier otro soporte.

Aquí vemos un ejemplo de un formulario de solicitud de aplicaciones para móviles de Swiftkey:

Pantalla de instalación de la aplicación para móviles Android de Swiftkey con aceptación de las Condiciones y la Política de privacidad destacada

Swiftkey pretende obtener el consentimiento cuando el usuario instala la aplicación. Instalar la aplicación es presumiblemente un acto inequívoco o una clara acción afirmativa que necesariamente indica el consentimiento.

Esto no es necesariamente un problema, si la aplicación no funcionara así, haría falta que Swiftkey solicitara el consentimiento. Pero si echamos un vistazo rápido a la Declaración de Privacidad de Swiftkey (operada por Microsoft) indica que lo ideal sería solicitar el consentimiento específico porque la información recogida se utiliza para orientar la publicidad.

Declaración de Privacidad de Microsoft: Cláusula Cómo utilizamos los datos personales con la sección dedicada al marketing y la publicidad destacada

Es habitual que las aplicaciones para móviles recopilen información como la ubicación para prestar servicios no esenciales. Debe conceder a los usuarios cierto control al respecto. Este es un buen ejemplo de consentimiento informado de Google:

Pantalla de solicitud de consentimiento de la aplicación para teléfonos móviles Android Google Drive

Resumen - Obtener el consentimiento según el RGPD

Para que el consentimiento sea relevante con arreglo al RGPD, debe ser:

  • Libre - no tratar de «engañar» a los usuarios para que den su consentimiento. No retirar ningún otro servicio si deciden no darlo.
  • Específico - si desea utilizar el consentimiento de una persona para varios fines, deberá pedirle que consienta cada tipo de tratamiento.
  • Informado - dé información clara acerca de lo que se está pidiendo al usuario que consienta y qué hacer si cambia de opinión.
  • Inequívoco - utilice un lenguaje claro y sencillo y presente una opción directa.
  • Darse a través de una clara acción afirmativa - no dé nunca por supuesto que tiene el consentimiento de nadie hasta que haya aceptado algo activamente.

Y, por último, cuando tenga el consentimiento, debería facilitar su retirada.

PrivacyPolicies.com Legal Writing Team

Última actualización 01 July 2022

La información legal, las plantillas legales y las políticas legales no se consideran asesoramiento legal. Lea el descargo de responsabilidad.

Empezar aquí

Artículos relacionados

Muestra de plantilla de Política de Cookies

Muestra de plantilla de Política de Cookies

Si su empresa utiliza cookies u otros formularios para recopilar y almacenar información de los usuarios, es absolutamente imprescindible que incluya una Política de Cookies en su sitio web. Las...

Muestra de plantilla de Política de Privacidad

Muestra de plantilla de Política de Privacidad

El mundo de la empresa actual depende en gran medida de los datos y la información que se obtiene de estos. Los datos son críticos para las empresas que tratan esa...

Política de Privacidad según el RGPD

Política de Privacidad según el RGPD

El Reglamento General de Protección de Datos (RGPD) es una legislación de la UE que pretende conceder a los residentes de la UE más control sobre sus datos. En virtud...