Las claves para diseñar un formulario digital legítimo

Tu diseño no es muy legal

María Romero
13 min readJan 20, 2020

Os traigo una nueva entrega de “Tu diseño no es muy legal”, una serie de artículos que nace con el fin de acercar el mundo legal a los diseñadores de producto digital, en la medida en que este les afecta. En esta ocasión, vamos a ver cómo gestionar el consentimiento de los usuarios en los formularios digitales. Es una continuación del artículo anterior sobre formularios digitales, en el que profundizamos en el deber de informar a los usuarios, si no lo has visto aun, puedes leerlo aquí.

¿Qué vamos a ver?

Ya vimos algunos de los conceptos básicos de la normativa de protección de datos en el artículo anterior, como lo que es un dato personal y qué implica el tratamiento de los mismos. Ahora vamos a ir un paso más allá y entrar en el complejo y polémico concepto del consentimiento en el ámbito de la protección de datos personales. Seguro que has escuchado hablar de ello en alguna ocasión, y si no, has debido darte cuenta que recientemente has tenido que aceptar — más de lo normal — pop-ups o checkbox que te piden que des tu consentimiento. En el desarrollo de producto digital no solo afecta a los formularios, sino a un amplio espectro de situaciones, entre ellas las famosas cookies, que dejaremos para otra entrega por separado.

Para entender el consentimiento, primero vamos a ver su origen, uno de los principios más importantes de la normativa: el principio de licitud del tratamiento, que hace referencia a la justificación legal que debe tener todo tratamiento de datos. Dentro de ese principio vamos a ver los tipos de licitud o bases legales que contempla la normativa y, en concreto, profundizaremos en el consentimiento de los usuarios, qué es, y cuándo y cómo usarlo correctamente.

En primer lugar, debes tener en cuenta que el concepto de consentimiento en la protección de datos personales está delimitado por una serie de características y, por lo tanto, no es válido cualquier consentimiento, aunque sí lo sea en otros ámbitos del Derecho.

Conceptos básicos

¿Qué es el principio de licitud del tratamiento de datos personales?

El Reglamento General de Protección de Datos (RGPD) establece que los datos personales tienen que ser tratados en todo caso de manera lícita. Esto es, que el tratamiento tiene que estar justificado de alguna de la maneras permitidas por la normativa. A estas justificaciones que establece la normativa las llamamos bases legales o bases legitimadoras, y se encuentran recogidas, en su mayoría, en el art. 6 del RGPD.

Esto implica que, antes de realizar un tratamiento de datos personales, debes preguntarte si hay alguna base legal que lo justifique. Si no lo hay, no puedes realizar dicho tratamiento porque no es lícito. No obstante, siempre hay excepciones puntuales dependiendo del caso.

Recuerda que el concepto tratamiento de datos personales está delimitado, si no tienes claro todo lo que abarca puedes consultar mi artículo anterior.

Aplicado a nuestro tema, si pones un formulario digital en el que pides el nombre, teléfono y email del usuario estás tratando datos personales y para poder hacerlo, ese tratamiento tiene que estar justificado con una base legal.

¿Cuáles son las bases legales que establece la normativa?

Hay seis bases legales que pueden justificar el tratamiento de datos personales, aunque solo unas pocas se repetirán a la hora de desarrollar un producto digital. Cada base legal tiene sus propias condiciones, y deben cumplirse para que la misma sea válida para el tratamiento.

  • Consentimiento.

Se pueden tratar los datos personales si hay consentimiento del interesado (se llama interesado al titular de los datos personales que se tratan, por ejemplo, tú eres interesado en lo que respecta a tu nombre y apellidos). Básicamente, el usuario da su consentimiento para que se traten sus datos de la forma establecida, es el más común en los formularios digitales.

Ejemplo: el usuario, al suscribirse a una newsletter, da su consentimiento para que se trate su email para que le puedan enviar la newsletter.

  • Contrato.

Se pueden tratar los datos cuando sea necesario para la ejecución de un contrato en el que el interesado es parte. Esta base legal puede verse en alguna ocasión en formularios digitales, aunque no es común. Consiste en que si yo, como usuario, he llegado a un acuerdo o contrato y para que este pueda cumplirse es necesario que se traten mis datos personales, no será necesario que se pida mi consentimiento para realizar la acción del acuerdo.

Ejemplo: una empresa tiene legitimación para tratar el dato de la cuenta bancaria de sus empleados para poder tramitar su nómina cada mes, en virtud del contrato laboral que hay entre empresa y empleado. Igualmente, si compras online (una compraventa es un acuerdo entre tú como comprador y el vendedor), el vendedor tiene legitimación para tratar tus datos de contacto y de domicilio para poder cumplir su parte del contrato.

  • Obligación legal.

Se pueden tratar los datos si es necesario para el cumplimiento de una obligación legal. Es extraño que esta base legal vaya a darse en un formulario digital.

Ejemplo: los comercios están obligados a guardar cierta documentación del negocio en la que puede haber datos personales, como las facturas, durante cierto periodo de tiempo.

  • Interés vital.

Se pueden tratar los datos si es necesario para proteger intereses vitales del interesado o de otra persona física.

Ejemplo: si hay una persona en una situación crítica de salud y se necesita su grupo sanguíneo, no hace falta consentimiento ni otro tipo de base legal para tratar sus datos.

  • Interés público.

Se puede tratar datos personales si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. Normalmente, esta es la legitimación que ampara los tratamientos de las Administraciones Públicas, de forma que tampoco se dará en nuestro caso, a no ser una de ellas.

  • Interés legítimo.

Se puede realizar el tratamiento de datos si es necesario para la satisfacción de intereses legítimos, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. El concepto de interés legítimo tiene su complejidad y da para otro artículo entero sobre ello, aunque es necesario tenerlo en cuenta porque sí puede darse en el caso de los formularios digitales.

Ejemplo: uno de los tipos más comunes de interés legítimo de una empresa es el de la mercadotecnia o marketing directo, que se prevé en el considerando 47 del RGPD. Esta situación implica que la empresa tiene interés legítimo para enviar a clientes anuncios sobre productos similares a los que haya comprado con anterioridad, sin necesidad de pedirle consentimiento para ello.

Por lo general, el consentimiento se aplica por defecto de las otras bases legales, es decir, si al tratamiento no aplica ninguna de las otras bases legales, se tendrá que pedir el consentimiento para que el tratamiento sea lícito. Por esa razón, en los formularios suele utilizarse como base legal el consentimiento, porque no suelen darse los otros supuestos de legitimación.

¿Qué es el consentimiento?

Según el art. 4. 11) RGPD: «el consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Como podemos ver, para que el consentimiento sea válido debe cumplir una serie de condiciones. Si el consentimiento no es válido no servirá como base legal y, por lo tanto, el tratamiento de los datos personales no será lícito. Por ello, es muy importante revisar en cada tratamiento en que se pida el consentimiento que se cumplen todas estas condiciones.

Características del consentimiento

Libre: el consentimiento debe ser dado por libre voluntad, y no será válido cuando exista un desequilibrio de poder que pueda presionar al usuario a darlo (como en el caso de la relación entre un empleador y un empleado) o cuando no darlo pueda tener consecuencias perjudiciales que no dependan de ese tratamiento.

Por ejemplo, si un usuario quiere registrarse en la web, no se puede supeditar el registro a que dé el consentimiento para el envío de la newsletter, porque se le está obligando a un tratamiento de sus datos (envío de newsletter) para poder realizar una acción separada que no depende de la otra (registro en la web). Ese consentimiento no está siendo libre y no es válido.

En este aspecto hay que tener en cuenta que, si el tratamiento de los datos es necesario para la acción del formulario, el usuario tiene que dar su consentimiento para que sea posible enviar el formulario. Sin embargo, si el tratamiento de los datos no es necesario para la acción del formulario, debe tener la opción de no dar su consentimiento para ese tratamiento. Por ejemplo, en un formulario de contacto el objetivo es ponerse en contacto, y para ello es necesario el tratamiento de datos como el nombre o el email, por lo tanto para enviar el formulario es necesario que el usuario consienta el tratamiento de esos datos; sin embargo, en ese mismo formulario de contacto, el tratamiento de los datos para el envío de comunicaciones comerciales no es necesario para realizar la acción de ponerse en contacto, y por ello debe poder enviarse el formulario sin consentir ese tratamiento.

Específico: se debe dar un consentimiento específico para cada finalidad del tratamiento de los datos.

Por ejemplo, y siguiendo con el anterior, si en el registro de la web le pides al usuario su nombre y su email y quieres usar esos datos para crear su cuenta y para poder enviarle newsletter, estas son dos finalidades distintas para las que quieres usar sus datos. Por lo tanto, deberá pedirse el consentimiento dos veces, una por cada finalidad específica de tratamiento de datos, por un lado el registro en la web y por otro el envío de la newsletter.

Informado: el consentimiento solo será válido si se ha informado al usuario correctamente sobre el tratamiento datos que va a consentir. Si va a consentir el tratamiento de sus datos en un formulario de contacto, tendrá que estar a su disposición la información sobre el tratamiento, con todo el contenido y características que exige el deber de informar que vimos en el artículo anterior. Esto implica que el incumplimiento del deber de informar afecta a la propia licitud del tratamiento.

Inequívoco: el consentimiento requiere un acto claramente positivo o una declaración inequívoca por parte del usuario, es decir, no vale el “consentimiento tácito”. Esta es una de las características que más suele incumplirse, ya que suele suponer un obstáculo o incomodidad para que el usuario realice la acción principal. La inactividad, el silencio o el uso de casillas pre marcadas no se considera un consentimiento válido en materia de protección de datos personales. Igualmente, la aceptación de unos términos y condiciones no implica, de por sí, la obtención del consentimiento para el tratamiento de datos por parte del interesado.

La fórmula clásica para cumplir esta condición es el uso de casillas no pre marcadas que deben aceptarse antes de enviar el formulario, no obstante, la normativa deja bastante margen a la creatividad de los diseñadores en este aspecto, ya que mientras sea una acción clara y afirmativa del usuario (y mientras cumpla el resto de condiciones) el consentimiento será válido.

Claro: debe quedar claro para qué se está pidiendo el consentimiento, por el contexto en el que se encuentre y el lenguaje que se utilice. No será válido el consentimiento cuando se utilicen fórmulas que puedan confundir al usuario, o lenguaje que por su complejidad no resulte accesible para los usuarios a los que se dirige el formulario. Debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace.

Por ejemplo, si nos dirigimos a un público muy joven no podemos usar tecnicismos jurídicos en exceso, sino adaptarnos a un lenguaje básico que asegure que pueden comprender lo que queremos transmitir. En este aspecto, y muchos otros que veremos, la normativa no da fórmulas mágicas que sirvan para todas las situaciones, sino que exige a las empresas que se adapten al usuario al que se dirigen para cumplir los objetivos que establece.

Revocable: los usuarios tienen el derecho a revocar su consentimiento en cualquier momento, sin que eso les pueda causar ningún tipo de perjuicio. La empresa en cuestión deberá tener canales a través de los que se pueda retirar de forma sencilla dicho consentimiento. Este aspecto está estrechamente ligado al de la libertad en el consentimiento, el propio RGPD (considerando 42) establece que «el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.»

Demostrable: el consentimiento debe ser demostrable en todo caso por la compañía, por lo tanto, la fórmula que se elija debe permitir el registro y conservación de dichos consentimientos recabados.

Solo si el consentimiento reúne todas estas características podrá considerarse válido y el tratamiento que legitime será lícito. Recuerda que el consentimiento debe solicitarse antes de tratar los datos, es decir, en caso de los formularios se debe pedir el consentimiento antes de que se envíe formulario, y con él, los datos personales que contenga.

Bonus track

Hemos visto las características básicas del consentimiento, pero hay excepciones y situaciones especiales que es bueno conocer, aunque no vamos a profundizar en ellas.

  • Consentimiento explícito: es un consentimiento reforzado que se exige en ciertas ocasiones de riesgo, por ejemplo, al tratar datos especialmente protegidos, como son los datos genéticos. Este consentimiento, que necesita una declaración explícita, puede solicitarse con el envío de un correo electrónico o usando la firma electrónica, entre otros.
  • Consentimiento de un niño: los niños pueden dar su consentimiento autónomo a partir de los 14 años. Si el niño es menor de 14 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. En ese caso, la empresa en cuestión debe hacer esfuerzos razonables, teniendo en cuenta la tecnología disponible, para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño.

Tened en cuenta que este artículo está escrito con base en la normativa en materia de protección de datos europea y española, de forma que puede cambiar de un lugar a otro. Por ejemplo, el RGPD establece a nivel europeo que un niño puede dar su consentimiento a partir de los 16 años, pero que los Estados Miembros pueden rebajar esa edad hasta los 13. España, en su Ley Orgánica de Protección de Datos (LOPDGDD) ha establecido este límite en 14 años de edad.

Malas y buenas prácticas.

Vista la teoría, pasamos a la práctica. Para comprender lo visto hasta ahora, vamos a ver ejemplos de buenas y malas prácticas de diseño en la solicitud de consentimiento en formularios electrónicos. Algunos de estos ejemplos son los mismos que en el artículo anterior, para que puedas tener una visión global de cómo de legalmente adecuado es ese ejemplo de formulario. Como verás, en estos casos, copiar muchas veces no es la mejor opción si quieres cumplir la ley.

Malas prácticas:

En este formulario de creación de la Beauty Card de Douglas podemos ver que el consentimiento, en primer lugar, no es libre porque para poder enviar el formulario obliga a aceptar el envío de comunicaciones comerciales y el estudio, análisis y gestión de las operaciones para mejora del perfil. Estos dos tratamientos no son necesarios para la creación de la Beauty Card, y por tanto, deben ser optativos para enviar el formulario. Por otro lado, no es un consentimiento informado, ya que no muestra la información básica de protección de datos que exige el deber de informar.
Este es el formulario de registro de Cabify. Aquí se puede ver cómo la acción afirmativa que eligen para consentir es pulsar el botón Continuar. Sin embargo, ¿consideráis que en este caso es una aceptación específica e inequívoca del tratamiento de datos personales? Por otro lado, tampoco muestran la información básica de protección de datos exigida, y por el lenguaje que utiliza y el contexto en que se sitúa es discutible la claridad de la solicitud del consentimiento y en qué medida.
Este formulario de registro de Sephora parece que lo tiene todo, contiene la información obligatoria, y utiliza casillas no pre marcadas y separadas según su finalidad. Sin embargo, ¿dónde está la solicitud de consentimiento de la finalidad principal del formulario?
Este formulario de registro de Tripadvisor es una muestra de todo lo que no se debe hacer. Por un lado, ni siquiera solicita el consentimiento para el tratamiento de los datos para la creación de la cuenta. Por otro, sí que pone una casilla específica para consentir el tratamiento de los datos para informar sobre ofertas, pero la coloca de forma premarcada, es decir, hay que desmarcarla para rechazar el tratamiento. Esto es una forma de consentimiento tácito, que no es válido en el tratamiento de datos personales, ya que no es una clara acción afirmativa de la voluntad del usuario. Por último, tampoco es un consentimiento informado.

Buenas prácticas:

El registro en el portal de empleo de Mercadona abre un modal específico para aceptar el tratamiento de los datos personales. Incluye la información obligatoria, se consiente mediante una acción clara e inequívoca que manifiesta la voluntad del usuario, es más, incluso permite imprimirlo, y la forma en la que se presenta es clara.
Este formulario de registro de Bershka ya lo vimos en el artículo anterior. El consentimiento es libre y es específico para cada finalidad. Igualmente, es informado, ya que al clicar en “Política de Privacidad” abre un modal con la información obligatoria de protección de datos. Las casillas no pre marcadas son una fórmula inequívoca de confirmar el consentimiento.

Conclusiones

Apenas hay formularios que soliciten el consentimiento correctamente, te animo a que lo compruebes por ti mismo en otras páginas aplicando los conceptos que hemos visto. Sin embargo, las malas y buenas prácticas no son absolutas, de todas podemos sacar cosas bien hechas, aunque luego fallen por otro lado. Igualmente, el análisis está realizado desde una perspectiva legal, no de usabilidad del usuario, de forma que las buenas prácticas a nivel legal no implican un buen formulario respecto a la experiencia de usuario. Es importante comprender qué está bien hecho y qué no, y por qué, y sacar lo mejor de cada uno para construir un formulario intuitivo y con buena usabilidad, pero que también sea legal.

¿La consecuencia?

Si aun sigues pensando que merece la pena correr el riesgo de no prestarle mucha atención al diseño legal de los formularios electrónicos, te interesará saber que el incumplimiento de los requisitos para la validez del consentimiento que acabamos de ver constituye una infracción de carácter muy grave y que puede ser sancionada con multas de hasta 20 millones de euros o el 4% del volumen de negocio anual.

¡Muchas gracias por leer hasta aquí! Espero que te haya servido de ayuda, si hay algún otro tema legal relacionado con el diseño de producto digital sobre el que te gustaría que escribiese, no dudes en comentar en este post.

Recuerda que este artículo solo tiene un propósito informativo y orientativo básico, en ningún caso debe tomarse como asesoramiento legal. En caso de que tengas alguna cuestión que exceda de la información ofrecida en el mismo te recomiendo acudir a un especialista en la materia para que te asista de forma personalizada. Igualmente, si quieres profundizar, te adjunto algunos de los materiales más importantes en el tema y puedes contactar conmigo para cualquier cuestión.

Materiales

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

https://www.boe.es/doue/2016/119/L00001-00088.pdf

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 del grupo de trabajo del artículo 29 (WP259).
  • Guía RGPD para responsables del tratamiento de la AEPD

Protección de datos: guía para el ciudadano de la AEPD

https://www.aepd.es/sites/default/files/2019-10/guia-ciudadano.pdf

--

--

María Romero

Interaction Designer @ BBVA | Data protection & IT Legal Advisor