Una de las grandes innovaciones que trae consigo la nueva Ley de Protección de Datos es el establecimiento de nuevas bases de licitud, dejando atrás el binomio consentimiento-ley. Sin perjuicio de lo anterior, la nueva ley reconoce la extrema relevancia del consentimiento del titular y en virtud de ello regula con mucha profundidad los requisitos necesarios para poder hablar de un “consentimiento válido”. Este será uno de los puntos más desafiantes de la implementación de la nueva Ley de Protección de Datos Personales, por lo que vale la pena adelantar ciertas discusiones que se producirán en torno a esta base de licitud.
Consentimiento como base de licitud
El consentimiento es la regla general del tratamiento de datos, situación que es reconocida expresamente por el legislador. En razón de lo anterior, es que este último le dedica ciertas consideraciones especiales a fin de que la autorización del titular no sea vulnerada y se preste para situaciones de asimetría.
En concreto, el consentimiento debe reunir unos requisitos, sin los cuales no se entiende existir un consentimiento válido según la nueva ley. Estos requisitos son los siguientes: (i) se exprese de forma previa al tratamiento, (ii) ser expreso, (iii) específico en cuanto sus finalidades, (iv) informado, (v) inequívoco y, sobre todo, (vi) libre.
Teniendo en cuenta estos requisitos, es que salen a relucir ciertos temas que vale la pena tener presente una vez que la nueva ley entre vigencia, toda vez que muy probablemente que sean discutidos en el futuro. En efecto, estos desafíos ya fueron o han sido discutidos en jurisdicciones con tradiciones más asentadas en materia de protección de datos personales que Chile, por lo que es bueno analizar de qué forma han sido abordados.
Presunción de falta de libertad
La ley presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección, salvo en caso de que el consentimiento sea la única contraprestación requerida al titular de parte del prestador de servicios.
Consentimiento en bloque:
Los responsables de datos deben evitar exponer sus políticas de privacidad y tratamiento de datos en bloque, con un único checkbox que autoriza todo el tratamiento. Para garantizar la libertad del consentimiento, se recomienda incorporar aceptaciones independientes asociadas a finalidades específicas, permitiendo al titular optar por aceptar todas, algunas o ninguna. Esto se conoce como consentimiento granular y, aunque presenta desafíos como la gestión de las opciones consentidas, es uno de los sistemas que asegura que el titular ha consentido libremente al tratamiento.
Pay or Consent
Otra situación que podrá constituir un desafío en el futuro en relación a los nuevos requisitos que establece la ley respecto al consentimiento es el modelo Pay or Consent. Este modelo ofrece al usuario dos opciones: (i) usar un servicio de forma gratuita y otorgar su consentimiento para tratar sus datos para realizar, por ejemplo, publicidad basada en su comportamiento; o (ii) pagar una tarifa por el servicio sin publicidad. El Comité Europeo de Protección de Datos considera que los responsables del tratamiento deberían ofrecer más alternativas para asegurar la libertad del consentimiento, incluyendo alternativas que no impliquen el pago de una tarifa y que permitan una forma de publicidad con el tratamiento de menos o ningún dato personal. De esta forma, se evitan consentimientos engañosos, se previene que los usuarios se vean forzados a aceptar el tratamiento y se promueve la equidad digital. Así las cosas, la nueva ley de protección de datos redefine la manera en que se obtiene el consentimiento del titular de los datos. Es esencial evitar cualquier práctica que pueda comprometer la libertad del titular al otorgar su consentimiento. Esto garantiza una protección de datos más robusta y respetuosa con los derechos individuales.