Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
El consentimiento en el ámbito de la protección de los datos personales es la manifestación de voluntad libre, específica, informada e inequívoca por la cual una persona acepta, el tratamiento de sus datos personales. El consentimiento es el pilar fundamental de la protección de datos. La manifestación de la voluntad tanto como el consentimiento se encuentran presentes en las normativas internacionales como extranjeras, principalmente, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, en el artículo hacemos alusión a ellos, sus semejanzas y diferencias.
De otro lado, a fin de visibilizar la influencia del RGPD en el Nuevo Reglamento de la Ley N° 29733 del Perú, he intentado hacer una comparación entre la propuesta del RGPD, el Código Civil de Perú y la Ley N° 29733 y su Reglamento.
Finalmente, he desarrollado un cierto número de láminas para la mejor comprension de este elemento central en el tratamiento de los datos. He incluido entre las láminas del TIP # 15, tal cual, la lámina 11.2.a. relativa a los Tratamientos Especiales de Datos. Tratamientos Especiales para Publicidad y Prospección, Articulo 26.2 del Nuevo Reglamento de Protección de Datos Personales cuyo contenido debería haber sido derogado expresamente por la Ley N° 32323, (publicada el 09/05/2025) Ley .que modifica la Ley 29571, Código de Protección y Defensa del Consumidor, a fin de ampliar la prohibición de las Comunicaciones Spam, por una doble razón:
Primero, porque las derogaciones de normas en el Perú siguen siendo una práctica lesiva
y sus efectos continúan siendo ineficaces, ineficientes e inefectivos, desde la perspectiva
de la técnica legislativa. Se ha preferido en este caso particular ignorar
las normas de protección de datos – ni siquiera se ha aplicado la práctica derogatoria implícita cuyo
ejemplo arbitrario ha sido (sigue siendo?): “Deróguense, o déjense en suspenso las normas que
se opongan a la presente Ley”, sino un ignorante desdén; y Segundo, porque mediante esta práctica
se sigue contribuyendo a la inseguridad jurídica; particularmente en un tema fundamental, de derecho a la información y a la protección de la persona humana, finalidad primera del Artículo 1° de la Constitución Política del Perú: La defensa de la persona
humana y el respeto de su dignidad son el fin supremo de la sociedad y del Estado.
A fin de acceder a normas similares y
estándares europeos, las empresas, organizaciones públicas y privados
interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones,
auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_______________________________________________________
1. Consentimiento en el Código Civil Peruano
El Código Civil Peruano, CCP, regula la manifestación de voluntad como el consentimiento en dos Libros.
En el Libro
de Acto Jurídico, Artículos 141 y 141-A, regula la manifestación de voluntad
como la formalidad de la misma.
141° Manifestación de voluntad
“La manifestación de voluntad puede ser expresa o
tácita. Es expresa cuando se realiza en forma oral, escrita, a través de
cualquier medio directo, manual, mecánico, digital, electrónico, mediante la
lengua de señas o algún medio alternativo de comunicación, incluyendo el uso de
ajustes razonables o de los apoyos requeridos por la persona.
Es tácita
cuando la voluntad se infiere indubitablemente de una actitud o conductas
reiteradas en la historia de vida que revelan su existencia.
No puede considerarse
que existe manifestación tácita cuando la ley exige declaración expresa
o cuando el agente formula reserva o declaración en contrario.
El artículo 141°-A.- Formalidad
En los casos en que la
ley establezca que la manifestación de voluntad deba hacerse a través de alguna
formalidad expresa o requiera de firma, ésta podrá ser generada o
comunicada a través de medios electrónicos, ópticos o cualquier otro análogo.
Tratándose de
instrumentos públicos, la autoridad competente deberá dejar constancia del
medio empleado y conservar una versión íntegra para su ulterior consulta[1].
En el Libro Fuentes de Obligaciones, Sección Primera Contratos en General, Título I, Disposiciones
Generales; y Titulo II El Consentimiento.
En las Disposiciones Generales, principalmente, en el Artículo 1352
Perfección de contrato, precisa que:
Los
contratos se perfeccionan por el consentimiento de las partes, excepto aquellos
que, además, deben observar la forma señalada por la ley bajo sanción de
nulidad.
Y en El Consentimiento, Artículo 1373 Perfeccionamiento del
Contrato:
Los
contratos se perfeccionan por el consentimiento de las partes, excepto aquellos
que, además, deben observar la forma señalada por la ley bajo sanción de
nulidad.
En ambos
Libros, el CCP nos demuestra que los dos elementos: manifestación de voluntad
como consentimiento presentan alcances conceptuales semejantes como diferencias
importantes.
Entre las
semejanzas, observamos que ambos son elementos fundamentales en el ámbito del derecho civil y se encuentran
relacionadas con la formación de actos y obligaciones. Tanto la manifestación de
voluntad como el consentimiento implican la exteriorización de la voluntad de los
sujetos de derecho, es decir, la intención de una persona de producir consecuencias
jurídicas. Y que ambas expresiones
constituyen exigencias esenciales para la existencia y validez de
los actos y obligaciones jurídicas: sin manifestación de voluntad no hay acto
jurídico, y sin consentimiento no hay contrato.
Entre
las diferencias, la manifestación de la voluntad exterioriza la intención de
una persona de generar actos jurídicos unilaterales
o bilaterales, mientras en el consentimiento, deben ser reunidas dos manifestaciones de voluntad, o un
acuerdo de voluntades para los contratos. Además, la manifestación de voluntad
unilateral es suficiente en los actos jurídicos para que éste exista, mientras que
para el consentimiento, la manifestación bilateral o plurilateral coincidente de
al menos dos personas es imprescindible.
Cuanto
a la formalidad, la manifestación de la voluntad en los actos jurídicos puede darse de manera expresa, oral,
escrita o tácita. En el consentimiento se forma por la oferta y ejecución de la
prestación, cuya forma puede ser igualmente, expresa oral, escrita o tácita, aunque
la condición sustantiva sea el encontrase sujeta a la consecución de un
acuerdo.
2. Consentimiento en el Reglamento General de Protección de Datos (RGPD)
El artículo
6-1 del RGPD establece seis condiciones por las que se autoriza el tratamiento
de datos personales.
Artículo 6. Licitud del
tratamiento.
1. El tratamiento solo será
lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su
consentimiento para el tratamiento de sus datos personales para uno o varios
fines específicos;
b) el tratamiento es necesario
para la ejecución de un contrato en el que el interesado es parte o para la
aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario
para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento;
d) el tratamiento es necesario
para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario
para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario
para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan
los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado
sea un niño.
Lo dispuesto en la letra f) del
párrafo primero no será de aplicación al tratamiento realizado por las
autoridades públicas en el ejercicio de sus funciones.
La obtención
del consentimiento en el tratamiento de datos personales que figura en el
inciso a) es una de las seis obligaciones, establecidas por el Reglamento
General de Protección de Datos (RGPD). El consentimiento deberá ser obtenido
del titular de los datos para su tratamiento para uno o varios fines.
El RGPD
impone la obligación de recoger el consentimiento en situaciones específicas.
Esto también debe cumplir numerosas condiciones para ser válido, bajo el riesgo
de incurrir en sanciones del RGPD.
El
consentimiento es un concepto definido por el RGPD. El artículo 4-11
proporciona una definición precisa del consentimiento y sus componentes. Se
trata de una manifestación de voluntad que debe ser libre, específica,
informada e inequívoca, por la que el interesado acepta expresamente el
tratamiento de sus datos personales.
En el consentimiento
libre la persona que otorga su consentimiento debe hacerlo sin temor a
aceptarlo o rechazarlo y a las consecuencias que esa acción traiga consigo. Y
así como puede dar puede revocar su consentimiento en cualquier momento sin
sufrir ni temer daños como resultado de esta elección.
En el consentimiento
específico, este se otorga para un solo tratamiento y para un fin
específico. Así, si un tratamiento tiene varias finalidades, la persona deberá
poder otorgar su consentimiento independientemente para cada una de ellas.
El consentimiento
informado es aquel acompañado de la información que el usuario debe
poder conocer sobre la identidad del titular o responsable del tratamiento de
los datos; finalidades del tratamiento; categorías de datos recopilados;
existencia del derecho a revocar el consentimiento; transferencia de datos a
países titular, en la cual se transparenta una relación de confianza.
El consentimiento
inequívoco se expresa mediante una declaración o cualquier otro acto
positivo.
Los datos
personales representan toda información que puede identificar directa o
indirectamente a una persona. Existen varias categorías de datos que van desde
los menos sensibles a los más sensibles, que implícitamente deberían ser los
más protegidos.
En
consecuencia, el RGPD exige a los titulares de los bancos de datos o encargados
del tratamiento, antes de solicitar válidamente su consentimiento a las personas
interesadas, entregar la siguiente información:
· La identidad del titular o responsable del tratamiento
de los datos;
· Las finalidades del tratamiento;
· Las categorías de datos recopilados;
· La existencia del derecho a revocar el consentimiento;
· La transferencia de datos a países fuera de la Unión Europea.
Obligatoriedad o no de consentimiento.
El
consentimiento no siempre es imprescindible, en algunos casos es facultativo. Según
el RGPD, no es obligatorio recabar el consentimiento para el registro,
conservación, transferencia de datos en un fichero cuando los datos recogidos
estén destinados a:
· La ejecución de un contrato o de medidas
precontractuales;
· El establecimiento de determinados ficheros en
relación con obligaciones legales, como el censo;
· El cumplimiento de una misión de interés público o que
sea competencia de la autoridad pública;
· Salvaguardar los intereses vitales de una persona
(como en caso de desastre natural o epidemia);
· Por un interés legítimo: como por ejemplo la
prevención del fraude, la seguridad, salvo la prevalencia de intereses o libertades
fundamentales del interesado.
En todos los
demás casos, sigue siendo obligatorio el consentimiento del interesado,
particularmente, en determinadas situaciones, como la prospección comercial por
correo y para datos personales sensibles (datos de salud por ejemplo).
Una vez
obtenido el consentimiento y registrado el fichero conteniendo los datos personales
ante las Autoridades de control, es
válido y lícito.
Así, el titular
o encargado del tratamiento de datos se encuentra sujeto al principio de
responsabilidad. Por tanto, está obligado a informar a los interesados de los
bancos de datos o ficheros para el tratamiento de sus datos.
Entre los
derechos otorgados al titular de los datos: acceso, a la información, rectificación,
supresión, tratamiento objetivo, limitación al tratamiento y al tratamiento
objetivo, se incluye también el derecho a la portabilidad de datos, a la oposición.
En términos
del consentimiento, los interesados tienen derecho a:
• En caso de revocar el
consentimiento prestado: el interesado podrá solicitar la revocación de su
consentimiento en cualquier momento. Debería ser tan fácil dar el
consentimiento como revocarlo.
• Para solicitar prueba de la obtención del consentimiento: el responsable del tratamiento debe poder probar que el interesado ha dado su consentimiento, incluyendo la documentación pertinente. El Delegado de Protección de Datos (DPD) substituirse al responsable del tratamiento y establecer un registro de consentimiento para demostrar cuándo y por qué una persona ha dado su consentimiento para una determinada operación de procesamiento de datos.
Plazo de validez del consentimiento.
El RGPD no establece un plazo de validez para el consentimiento prestado. Este último varía según el contexto:
• La
finalidad a la que se refiere el consentimiento;
• El alcance
del consentimiento inicial;
• La
naturaleza de las actividades;
• Las expectativas legítimas y razonables de la persona que dio el consentimiento.
En la práctica, y de conformidad con el artículo 5.1 del RGPD, el responsable del tratamiento de datos puede verificar que el consentimiento sigue constituyendo una base legal suficiente para conservar los datos de una persona en relación con el propósito para el que se otorgó.
Conforme al artículo 7.3 del RGPD, la persona que haya dado el consentimiento podrá revocarlo en cualquier momento. Sin embargo, el RGPD no especifica cómo debe realizarse la revocación. La sola indicación se refiere al consentimiento prestado electrónicamente. El consentimiento deberá ser revocado en la misma forma en que fue entregado. En todo caso, cuando una persona otorga su consentimiento, debe cesar todo tratamiento relacionado con el motivo por el cual se otorgó. Es necesario tener en cuenta que la revocación del consentimiento no es retroactiva. En consecuencia, las razones y consecuencias de su otorgamiento continúan siendo lícitas.
Especificidades del consentimient
Existen ciertas situaciones específicas que han requerido ajustes al consentimiento, particularmente cuando se trata de menores y datos sensibles.
En el consentimiento de menores, el RGPD también impone regulaciones respecto a la recogida del consentimiento de menores. En principio, la edad de consentimiento para el tratamiento de datos personales se establece en 16 años.
Sin embargo, el RGPD permite a los Estados miembros de la Unión Europea variar esta edad entre 13 y 16 años, debiéndose obtener el consentimiento del niño y del titular de la patria potestad.
En los Datos sensibles. El RGPD impone la obligación de consentimiento cuando se trata de datos sensibles. Estos incluyen datos sobre opiniones políticas, origen racial y étnico, datos genéticos, datos de salud u orientación sexual.
En principio, la recopilación de estos datos está estrictamente prohibida. Esta prohibición ha sido regulada en el artículo 9-1 del RGPD. Sin embargo, existen varias excepciones, entre ellas la obtención del consentimiento del interesado. Pero también podrán recopilarse, por ejemplo, si contribuyen a la salvaguarda de intereses vitales de la persona interesada o si la persona los ha hecho claramente públicos.
El consentimiento otorgado para datos sensibles debe ser aún más explícito que el otorgado para datos personales. En efecto, el procedimiento exige una declaración explícita del interesado sobre la recogida de sus datos sensibles. Esto se puede conseguir mediante una formulación escrita o mediante un doble consentimiento prestado on-line (autenticación mediante un enlace y un número enviado por SMS).
Prueba del consentimiento.
De conformidad con el artículo 7 del RGPD, corresponde al responsable del tratamiento aportar la prueba del consentimiento. Deberá acreditarse que el usuario ha consentido válida y lícitamente el tratamiento de sus datos. Sin embargo, el Reglamento no especifica cómo se pueden aportar las pruebas. Por tanto, la prueba puede estar constituida por un conjunto de pruebas que incluya los documentos de la empresa en términos del RGPD y el sello de tiempo de la recogida de consentimiento. Sin embargo, otras opiniones creen que para la existencia de la prueba deben concurrir tres elementos:
• La identidad
del usuario que ha otorgado su consentimiento;
• El
tratamiento al cual haya dado su consentimiento;
• El momento
en el cual otorgó su consentimiento.
3. TIP # 15 en la Ley N° 29733 y su Reglamento D.S. N° 006-2024-JUS
El Tip # 15 recoge el concepto de consentimiento establecido
en la Ley N° 29733 y su Reglamento D.S. N° 006-2024-JUS, en el cual se adecuan múltiples
instituciones jurídicas reguladas en RGPD.
_________________________________
