Otro de los grandes cambios que introdujo el RGPD fue la regulación del consentimiento. Frente al modelo anterior, basado en la aceptación tácita o en la fórmula “He leído y acepto la política de privacidad”, el Reglamento exige que este consentimiento sea libre, informado, específico e inequívoco.
La AEPD, en su informe sobre políticas de privacidad en Internet, detectó que numerosas empresas continúan recurriendo a mecanismos de aceptación globales, que agrupan todas las finalidades sin diferenciación. Este enfoque que incumple lo dispuesto en el RGPD compromete la validez del consentimiento.
El consentimiento informado requiere que el usuario conozca la identidad del responsable, las finalidades específicas del tratamiento, los tipos de datos que se van a recoger, el derecho a retirar el consentimiento, la existencia de decisiones automatizadas y los riesgos en transferencias internacionales sin garantías adecuadas. La AEPD recomienda ofrecer esta información directamente en el formulario de recogida de datos, de forma resumida pero clara, y detallar el resto en la política de privacidad.
Debe explicarse también cómo ejercer el derecho a retirar el consentimiento, facilitando un correo o formulario electrónico y garantizando que retirarlo sea tan sencillo como otorgarlo.
Cuando el consentimiento se incluye dentro de una declaración más amplia, debe mostrarse de forma clara, separada y comprensible, para evitar ambigüedades o confusión.