El Informe Jurídico 93/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las formas de obtener el consentimiento de los usuarios a través de una página web, en cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Este informe es relevante para cualquier entidad que recoja datos personales de sus usuarios, especialmente a través de internet.
El informe subraya que el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, salvo que la ley disponga lo contrario. Este consentimiento debe ser libre, inequívoco, específico e informado, y debe estar vinculado a finalidades determinadas y legítimas. Los datos solo pueden ser tratados dentro del ámbito de estas finalidades y no para fines incompatibles.
El consentimiento puede obtenerse de forma expresa o tácita. En el caso de consentimiento tácito, se permite la falta de manifestación contraria al tratamiento, siempre que se proporcionen mecanismos fáciles para que el usuario pueda oponerse y se le conceda un tiempo prudencial para hacerlo. Este tipo de consentimiento no es válido para datos especialmente protegidos, como los de salud o ideología.
La AEPD establece que el deber de información al afectado debe cumplirse mediante formularios y cláusulas accesibles a través de enlaces como «aviso legal» o «política de protección de datos». Es crucial que el usuario tenga acceso a información clara sobre la existencia del fichero, la finalidad de la recogida de datos, los destinatarios de la información, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención o negativa de los datos, y los derechos de acceso, rectificación, cancelación y oposición.
En el contexto de una página web, el consentimiento informado debe recabarse de manera que sea imposible introducir datos sin que el usuario haya aceptado previamente la información proporcionada. Esto puede acreditarse mediante la implementación de un sistema que impida la introducción de datos sin aceptar el aviso legal.
El Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999, establece una fórmula para recabar el consentimiento. El responsable del tratamiento puede informar al afectado y concederle un plazo de treinta días para manifestar su negativa al tratamiento. Si el afectado no se pronuncia, se entenderá que consiente el tratamiento de sus datos. Es esencial que el responsable del tratamiento pueda demostrar que la comunicación ha sido recibida y que el afectado ha tenido la oportunidad de oponerse.
Además, el responsable debe facilitar un medio sencillo y gratuito para que el afectado pueda manifestar su negativa al tratamiento de los datos. Esto puede incluir el envío de una carta prefranqueada, una llamada a un número telefónico gratuito, o el uso de servicios de atención al público.
En resumen, el informe jurídico 93/2008 de la AEPD proporciona directrices claras sobre cómo obtener el consentimiento de los usuarios para el tratamiento de datos personales a través de una página web. Subraya la importancia de la información clara y accesible, la facilidad para oponerse al tratamiento de datos, y la necesidad de que el responsable del tratamiento pueda demostrar que ha obtenido el consentimiento de manera válida.