Ir al contenido

Consentimiento RGPD

Autor
Usercentrics
Tiempo de lectura
8 mins
Publicado
Ene 29, 2025
Recursos / Blog / Consentimiento RGPD
Resumen

¿Qué es el consentimiento en el RGPD?

El consentimiento en el RGPD es la manifestación de voluntad libre, específica, informada e inequívoca de una persona, mediante la que acepta el tratamiento de sus datos personales. 

En otras palabras, para que una empresa u organización pueda tratar legalmente los datos personales de un individuo, necesita su permiso claro y explícito. Este permiso no puede ser ambiguo, dado por hecho o implícito.

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el 2018, si tu empresa utiliza cookies o recopila cualquier clase de información personal por medio de formularios u otros canales, es obligatorio obtener el consentimiento previo del usuario.

Por ejemplo, si una persona visita el sitio web de una empresa, no se debe activar Google Analytics o el píxel de Meta si no se consiente previamente. Este incumplimiento puede parecer menor, pero puede acarrear consecuencias importantes, desde la pérdida de confianza del usuario hasta sanciones económicas por parte de autoridades como la AEPD en España.

Probar Usercentrics Web CMP

Requisitos para un consentimiento válido en el RGPD

Entre las obligaciones de protección de datos para empresas, la solicitud de consentimiento es una de las principales. Ahora bien, no es suficiente con un consentimiento tácito, y además existen una serie de condiciones que deben darse. 

El consentimiento debe ser libre

La persona no puede haber otorgado su consentimiento en un contexto de coacción ni de engaño. Por ejemplo, si la información en la página web se presenta con letras difíciles de leer, o bien se condiciona la prestación de un servicio al consentimiento (siempre que se trate de datos innecesarios para el servicio).

La persona debe consentir de manera explícita y específica

No marcar una casilla no puede ser una forma de dar consentimiento en materia de protección de datos, ni tampoco consentir el tratamiento en otro contexto. 

El artículo 7 del RGPD, en el punto 3, dice lo siguiente:

«Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo».

Por tanto, no se puede suponer que la persona acepta el tratamiento de sus datos para fines publicitarios, por ejemplo, si consintió el uso de sus datos para otros fines. En cada finalidad del tratamiento debe haber un consentimiento inequívoco por parte del interesado.

En cuanto al consentimiento explícito, estos son algunos ejemplos:

  • Firmar un formulario de consentimiento
  • Marcar una casilla de verificación de forma activa
  • Hacer clic en un botón de «Aceptar» en un banner de cookies
  • Dar una declaración verbal clara

Ten en cuenta que la legislación obliga a ofrecer botones claros y separados cuando se incluyan opciones de consentimiento en un banner. El usuario debe poder elegir si acepta o no el tratamiento de sus datos. Por tanto, no se puede colocar la opción de aceptar las cookies sin que exista la de rechazar, con igual tamaño y relevancia a nivel visual.

Si la tecnología de recopilación de consentimiento utilizada, como un banner de cookies, no cumple con estos requisitos, el consentimiento obtenido puede no ser considerado válido, lo que podría dar lugar a sanciones por parte de la autoridad de control, como la AEPD en España.

Tipos de consentimiento en el RGPD

Dentro del RGPD no se establecen tipos específicos de consentimiento, pero las condiciones que debe cumplir para ser válido permiten distinguirlo según diversas características, dependiendo de si éstas se cumplen o no. 

Así, podemos clasificar el consentimiento en las siguientes categorías:

  • Implícito o explícito
  • Inequívoco o ambiguo
  • Libre o sujeto a condicionamiento
  • Informado o desinformado

Por ejemplo, si un usuario marca voluntariamente una casilla se trata de un consentimiento explícito, mientras que presumir que acepta por no realizar una acción o continuar en el sitio web sería una forma implícita de consentir, que no resulta suficiente para cumplir el RGPD.

El RGPD exige que se cumplan estrictos requisitos para que el consentimiento sea válido. No basta con que el usuario no se oponga al tratamiento de sus datos, sino que debe dar su aprobación para el tratamiento de forma activa, consciente y libre.

Además, el consentimiento debe ser inequívoco, es decir, no debe dejar lugar a dudas. Si el mensaje es vago, ambiguo o genera confusión, no será válido.Respecto al condicionamiento, ha habido debate sobre el tema de cobrar por rechazar cookies. Si bien actualmente es legal bajo ciertas condiciones, en general es recomendable evitar ésta y otras prácticas que suponen un condicionante para que las personas consientan sobre la recopilación y el uso de sus datos.

¿Cómo obtener el consentimiento según el RGPD?

Obtener el consentimiento de acuerdo con el RGPD requiere que las empresas implementen procesos claros y transparentes, garantizando que los usuarios entiendan qué datos se recopilan y para qué fines. 

Mejores prácticas para formularios de consentimiento y banners

Para asegurar que el consentimiento sea válido, es fundamental seguir algunas mejores prácticas.

  • Las casillas de consentimiento deben estar desmarcadas por defecto
  • Explicar, en un lenguaje sencillo y accesible, qué datos se recopilan
  • Utilizar botones o casillas visibles que permitan al usuario aceptar
  • Incluir siempre una opción para que el usuario pueda rechazar el tratamiento
  • Facilitar datos de contacto del responsable del tratamiento para retirar el consentimiento

Los usuarios deben saber en todo momento qué datos se están recogiendo, con qué propósito, cómo serán utilizados y si serán compartidos con terceros. Además, deben poder ejercer sus derechos recogidos a partir del artículo 15 del RGPD: acceso a los datos, rectificación, supresión, limitación, oposición y portabilidad.

Plataformas de gestión de consentimiento

Con la creciente dependencia de herramientas tecnológicas para la recopilación y tratamiento de datos, es fundamental que las empresas implementen mecanismos que permitan gestionar el consentimiento de forma eficiente, segura y conforme a la normativa.

Para gestionar el consentimiento de manera eficiente y conforme al RGPD, se recomienda utilizar plataformas especializadas. Usercentrics es una CMP (Consent Management Platform o plataforma de gestión del consentimiento) diseñada para facilitar la implementación de banners de consentimiento. 

Con este tipo de herramienta la empresa puede asegurar la trazabilidad de las decisiones de los usuarios y permite cumplir con los requisitos de transparencia y gestión del consentimiento en tiempo real. Con Usercentrics, las empresas pueden ofrecer una experiencia de usuario fluida y conforme con las normativas de protección de datos.

Muchas grandes empresas tecnológicas y de comercio electrónico han mejorado sus procesos para cumplir con el RGPD, ofreciendo al usuario una experiencia clara, personalizable y alineada con las exigencias legales.

Zalando, por ejemplo, permite personalizar las cookies por categoría (necesarias, analíticas, marketing) desde un panel visible y bien explicado. Además, su texto legal está redactado en un lenguaje comprensible, sin ambigüedades.

Ejemplo banner de consentimiento en Zalando

IKEA, en su versión europea, muestra un banner de consentimiento desde el primer acceso, donde el usuario puede gestionar sus preferencias con un solo clic, y acceder a una política de cookies detallada y fácil de leer.

Banner consentimiento Ikea

Excepciones y situaciones especiales del consentimiento RGPD

Es importante tener en cuenta que las empresas pueden estar autorizadas al tratamiento de datos personales sin el consentimiento explícito en ciertos casos. El artículo 6 del RGPD hace referencia a otras bases legales para la licitud del tratamiento, aparte del consentimiento.

  • Si es necesario para la ejecución de un contrato del que es parte el interesado
  • Si se requieren los datos para cumplir una obligación legal
  • Si se necesita para proteger intereses vitales de cualquier persona física
  • Para cumplir misiones de interés público 
  • Si el tratamiento es imprescindible para satisfacer intereses legítimos que prevalezcan sobre los derechos fundamentales del interesado

Por ejemplo, si tu empresa tiene que procesar datos de un cliente para poder tramitar el envío de un producto que ha comprado, tienes derecho a utilizar esos datos para ese fin en particular, siempre tomando las medidas necesarias para protegerlos. 

Pongamos también el caso de que un cliente realiza una compra online. La tienda necesita su dirección, correo y teléfono para procesar el pedido y enviarlo. No hace falta pedir consentimiento para ese uso, ya que sin esos datos no podría ejecutarse el contrato de compraventa.

Por otra parte, por ejemplo, una entidad financiera debe conservar ciertos datos de sus clientes para cumplir con la normativa contra el blanqueo de capitales o la legislación fiscal. No puede eliminarlos simplemente porque el cliente lo solicite.Hay un tipo especial de consentimiento que ocupa un artículo aparte dentro de la normativa de la Unión Europea. El RGPD en el artículo 8 hace referencia al consentimiento del niño en relación con los servicios de la sociedad de la información. Por ejemplo, ¿qué ocurre si una empresa tiene una app dirigida a niños? Si tiene más de 16 años, se considera lícito su consentimiento, pero en menores de 16 el consentimiento debe ser otorgado por quien tenga su patria potestad, como un padre, madre o tutor.

Consecuencias de no cumplir con el consentimiento RGPD

No obtener un consentimiento válido para el tratamiento de datos personales o tratar datos sin una base legal que lo justifique puede acarrear graves consecuencias para las empresas. 

La Agencia Española de Protección de Datos (AEPD) puede imponer multas que van desde los 900€ hasta los 20 millones de euros, o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, se optará siempre por la cifra mayor, en función de la gravedad de la infracción (artículo 83 del RGPD).

No solo las grandes empresas han sido sancionadas por la AEPD con multas millonarias. Tampoco están exentos los pequeños y medianos negocios. Por ejemplo, una empresa de gimnasios recibió una multa de 96.000 euros por imponer el reconocimiento facial en sus accesos. La autoridad de control también impuso una multa de 6.000 euros a una empresa por facilitar a terceros el teléfono personal de una empleada sin su consentimiento.

Leer a continuación: ¿Google Analytics cumple con el RGPD?

Conclusión 

En el momento actual de transformación digital de las empresas, el consentimiento se ha convertido en un tema crítico que debe ser gestionado de forma adecuada. No solo es un requisito legal, sino también una oportunidad para demostrar transparencia, responsabilidad y respeto por la privacidad. 

¿Quieres una solución automatizada que te facilite el cumplimiento del RGPD? Súmate a los miles de empresas que utilizan Usercentrics en su sitio web. Así podrás mejorar la experiencia del usuario al visitar tu web o ecommerce, asegurando que sus datos sean tratados con transparencia y responsabilidad.

Descarga la checklist del RGPD

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Preguntas frecuentes

Las consecuencias de no cumplir con el consentimiento bajo el RGPD pueden ser graves, no solo en términos financieros, sino también en términos de reputación y relaciones comerciales. Desde multas de hasta 20 millones de euros para los casos más graves hasta demandas contra la empresa o restricciones en el tratamiento de datos, los daños para las empresas pueden poner en riesgo su misma viabilidad.

Si has dado tu consentimiento en una página web o app, o en cualquier formulario en que la empresa te solicitaba datos de carácter personal, ten en cuenta que puedes retirar tu consentimiento en cualquier momento, salvo que por motivos justificados la organización pueda seguir tratando tus datos personales.

Para revocarlo, deberás ponerte en contacto con el responsable del tratamiento. Los medios más habituales son mediante un formulario o un correo electrónico, aunque lo más importante es que te identifiques, especifiques qué consentimiento quieres revocar y guardes una copia de tu solicitud.

En los sistemas automatizados, el consentimiento se recopila a través de formularios en línea, cookies o banners de aceptación. Estos sistemas deben asegurarse de que el usuario realice una acción afirmativa. El consentimiento otorgado debe ser almacenado de manera segura, manteniendo un registro claro y accesible que permita verificar cuándo y cómo fue obtenido. Además, los sistemas automatizados deben ofrecer opciones claras para que los usuarios actualicen sus preferencias de consentimiento en cualquier momento. Los usuarios deben poder retirar su consentimiento de forma rápida y sencilla, sin complicaciones.

No, salvo las cookies técnicas o estrictamente necesarias, no se pueden instalar cookies (de analítica, publicidad o personalización) antes de que el usuario haya dado su consentimiento explícito. Hacerlo viola el RGPD y la Directiva ePrivacy, y puede acarrear sanciones por parte de las autoridades de protección de datos.

No, el RGPD exige una acción afirmativa clara por parte del usuario. Las casillas pre-marcadas, el silencio o la inacción no constituyen consentimiento válido. El usuario debe marcar activamente la opción para que su consentimiento sea legal.

El consentimiento no es necesario si existe otra base legal para tratar los datos, como la ejecución de un contrato, una obligación legal, la protección de intereses vitales o un interés legítimo claramente justificado. Cada caso debe evaluarse individualmente y documentarse.

Artículo
Ene 17, 2025
Las empresas que utilizan Google Analytics para extraer datos del tráfico en su sitio web deben asegurarse de cumplir con el Reglamento General de Protección de Datos. De lo contrario, podrían ser sancionadas y se vería afectada su reputación.
Leer más
Artículo
Ene 16, 2025
Como dato de carácter personal, las empresas que procesen el DNI de clientes, empleados, proveedores o cualquier persona física, deben asegurarse del tratamiento conforme a la normativa de protección de datos.
Leer más
Artículo
Nov 7, 2024
La DMA está revolucionando la forma en que los anunciantes trabajan con grandes plataformas tecnológicas. Si es un anunciante con audiencia en la UE y/o el EEE, le toca adaptarse. Desglosamos qué debe saber y cómo puede adaptar sus estrategias publicitarias a la Ley de Mercados Digitales.
Leer más