Sinopsis

Uno de los elementos característicos de la protección de datos personales es el derecho del interesado a consentir sobre la recogida y uso de estos y a saber de los mismos. El consentimiento del interesado actúa como límite frente a los abusos de los responsables del tratamiento, principalmente las grandes plataformas en línea, que antes de poder iniciar un tratamiento deberán obtener de aquel un consentimiento libre, específico, inequívoco (expreso en ocasiones) e informado (de forma transparente). No obstante, la utilización estricta de la base del consentimiento puede actuar como freno del desarrollo de tecnologías relevantes como la inteligencia artificial, que se nutren de cantidades ingentes de datos (big data), sea por el elevado número de interesados afectados, por el desconocimiento de la finalidad ulterior del tratamiento cuando se recaban los datos, o por la propia naturaleza cambiante de los tratamientos. Los organismos de supervisión y control, europeos y nacionales, la Comisión Europea y el Parlamento Europeo, han tratado esta problemática a través de guías, dictámenes, estrategias o normas. Nos encontramos actualmente en la Era Digital y del Dato. Queda por ver qué soluciones se han adoptado con respecto al delicado equilibrio entre la defensa de los derechos y libertades de los ciudadanos, encarnado principalmente en la base del consentimiento, y el desarrollo de las nuevas tecnologías que requieren un uso masivo de los datos.

Índice

Capítulo 1
La importancia del consentimiento válido como base de licitud del tratamiento de datos personales 35
I) Una aproximación al derecho a la protección de datos 35
1. El derecho fundamental a la protección de datos personales 35
2. Normativa de aplicación en materia de datos personales 41
3. Principios del tratamiento de datos personales 46
A) Los principios de licitud, lealtad y transparencia 46
B) El principio de limitación de la finalidad 49
C) El principio de minimización de datos 54
D) Exactitud, integridad y confidencialidad de los datos 56
E) Responsabilidad proactiva (accountability) 57
4. Los derechos del interesado 60
II) El consentimiento como base de licitud del tratamiento 64
1. El consentimiento como pilar fundamental 64
2. Requisitos para el consentimiento del interesado 68
A) Voluntad libre 69
B) Voluntad específica. La granularidad de los fines 74
C) Voluntad inequívoca y, en determinados casos, explícita 77
D) Voluntad informada transparente 83
E) Demostrar y retirar el consentimiento 88
3. Bases de licitud alternativas del tratamiento más recurrentes 91
A) Necesidad para la ejecución de un contrato 92
B) El interés legítimo del responsable del tratamiento 94
C) Razones de interés público o cumplimiento de obligaciones legales 101
D) Requisitos adicionales en el tratamiento de datos sensibles 104
III) Algunos ámbitos específicos del consentimiento 106
1. Especialidades debido a la vulnerabilidad del colectivo 106
A) El consentimiento del menor de edad 106
B) El consentimiento de las personas con discapacidad 114
2. Especialidades por razón de la materia 122
A) Privacidad y protección de datos en las telecomunicaciones 122
B) Comunicaciones comerciales (mercadotecnia directa) 125
C) El consentimiento en el ámbito del “testamento digital” 131
3. Otros ámbitos especiales del consentimiento 137

Capítulo 2
El consentimiento en entornos big data. Mención especial al ámbito de la investigación médica y biomédica 143
I) Big Data y protección de datos personales 143
1. Una aproximación al significado del big data 143
A) Concepto y técnicas del big data 143
B) El valor añadido del big data 149
C) Riesgos, amenazas y desafíos en el uso del big data 153
D) Propuestas de mejora y líneas de futuro 161
2. Big data y protección de datos personales 165
A) Una aproximación normativa al big data 165
B) Principios de protección de datos: transparencia, minimización, calidad de los datos y limitación del plazo de conservación 170
C) Medidas de responsabilidad activa, en especial la privacidad desde el diseño y las técnicas de anonimización y seudonimización 176
D) Big data y ejercicio de los derechos de los interesados 185
II) ¿El consentimiento es una base adecuada en entornos big data? 188
1. Los problemas del consentimiento como base de licitud 188
2. Propuestas de mejora del consentimiento 193
A) Hacia un criterio flexible de la limitación de la finalidad 194
B) Consentimiento informado y transparente 196
C) Calidad de los datos y otras medidas de garantía 199
3. Repensando el consentimiento u otras alternativas 203
A) Consentimiento abierto (open consent) 203
B) Consentimiento amplio (broad consent) 204
C) Consentimiento dinámico (dynamic consent) 207
D) Consentimiento legal portátil y el meta consentimiento 209
4. El modelo de rendición de cuentas y otras alternativas a la prestación del consentimiento, incluidas otras bases de licitud del tratamiento 211
III) El consentimiento en materia de investigación en salud 218
1. La investigación en salud: fortalezas y debilidades 218
2. El consentimiento en la Ley de Investigación biomédica 223
3. El consentimiento en el RGPD y en la DA 17ª LOPDGDD 226
A) Por línea o área de investigación (broad consent) 230
B) La reutilización de datos para fines o áreas de investigación 234
C) El uso de datos seudonimizados. Requisitos 239
4. El sistema opt-out del consentimiento en el Espacio Europeo de Datos de Salud para el tratamiento de datos con fines de investigación 245

Capítulo 3
Inteligencia Artificial y consentimiento. Mención especial a decisiones automatizadas con elaboración de perfiles 253
I) Una aproximación al concepto y técnicas de Inteligencia Artificial 253
1. Concepto y técnicas aplicables a la Inteligencia Artificial 253
2. Fase de diseño y de despliegue las decisiones automatizadas 260
3. Riesgos más relevantes, en especial el uso de patrones oscuros 263
II) Decisiones automatizadas y protección de datos 268
1. Decisiones automatizadas con o sin elaboración de perfiles 271
2. Principios del tratamiento, en especial el de lealtad y no discriminación algorítmica, minimización y exactitud datos y de responsabilidad activa 274
3. Derechos generales en favor de los particulares 281
4. El régimen de las decisiones automatizadas del art. 22 RGPD 287
A) El derecho a no ser sometido a decisiones automatizadas 287
B) Garantías del interesado en los tratamientos del art. 22.2 a) y c) RGPD: intervención humana, expresar punto de vista e impugnar la decisión 289
III) El consentimiento en la toma de decisiones automatizadas 293
1. Requisitos del consentimiento 293
A) Consentimiento libre 293
B) Consentimiento explícito 295
C) Consentimiento informado. Mención especial al deber de transparencia algorítmica en los tratamientos regulados en el art. 22 RGPD 298
D) Consentimiento específico y principio de limitación de la finalidad 302
2. Límites e inconvenientes del consentimiento. La retirada 306
3. Otras bases de licitud diferentes a la del consentimiento 308
IV) Elaboración de perfiles y cookies de publicidad comportamental 314
1. Una aproximación a las cookies de publicidad dirigida 317
2. El consentimiento informado en materia de cookies 321
A) El consentimiento previo del interesado. Duración del tratamiento 324
B) Información transparente en materia de cookies 327
C) Formas de prestación del consentimiento 331
3. El modelo “pay or okay” de la publicidad conductual 335
A) La prohibición general de los “muros de cookies” 335
B) El modelo “pay or okay” nacido tras el caso Meta 337
C) El Dictamen de Comité Europeo de Protección de Datos, destinado a las grandes plataformas online y los guardianes de acceso 343
D) ¿El modelo pay or okay se debería considerar una “especie” de cesión de datos personales a cambio de contenidos o servicios digitales? 350

Capítulo 4
El consentimiento en la Era Digital Europea, en especial, la Estrategia Europea de Datos y de Inteligencia Artificial 357
I) La era digital europea y la economía del dato 357
1. Una Agenda Digital para Europa (y para España) 357
2. Principales estrategias en la Era Digital Europea 362
A) El Mercado Único Digital de Europa 362
B) Una Estrategia Europea de Datos 365
C) Inteligencia artificial para Europa 371
II) El consentimiento del interesado en la Era Digital Europea 378
1. En el ámbito de la Ley de Gobernanza de Datos 378
A) Reutilización de datos protegidos del Sector Público en entornos de tratamiento seguros. El punto de información único 381
B) Servicios de intermediación de datos. En especial, los Servicios de Gestión de Información Personal y las Cooperativas de Datos 387
C) El altruismo de datos. El formulario Europeo de Datos 393
D) Los espacios de datos comunes europeos y los pools de datos 398
2. En el ámbito de la Ley de Datos 404
A) Derecho del usuario de acceso justo a los datos generados por el uso de los productos (fair access), utilizarlos y compartirlos con terceros 407
B) Evitación de patrones oscuros en la obtención del consentimiento 410
3. En el ámbito de la Inteligencia Artificial 412
A) Tratamiento de datos sensibles para la corrección de sesgos 415
B) Tratamiento ulterior compatible en espacios controlados (Sandbox) 417
C) Participación fuera de los espacios controlados de pruebas de IA 422
4. En el ámbito de los Reglamentos de Mercados y Servicios Digitales 424
A) Protección de datos personales y obligaciones de los gatekeepers 428
B) La publicidad en línea en el RMD y el RSD 432
C) Prohibición de uso de patrones oscuros 436
III) El consentimiento en otros ámbitos normativos de la era digital 438
1. Datos personales a cambio de contenidos o servicios digitales 438
A) El consentimiento válido y sus efectos en el contrato 438
B) Datos, incumplimiento contractual, resolución del contrato y efectos 442
2. Novedades de la “fracasada” propuesta de Reglamento e-Privacy, en especial en materia de cookies y de mercadotecnia directa 445
3. En el ámbito de la reutilización de datos abiertos (open data) 453
4. En el ámbito de la circulación de datos no personales 457

Bibliografía 461