Gestión del consentimiento del RGPD: requisitos y mejores prácticas

El consentimiento es uno de los aspectos más malinterpretados del RGPD. Muchas empresas SaaS establecen el consentimiento como base legal predeterminada para todo — cada formulario, cada correo electrónico, cada actividad de tratamiento de datos recibe una casilla de verificación. Este enfoque crea fricción innecesaria para los usuarios y riesgo innecesario para su negocio.

La realidad es que el consentimiento es solo una de las seis bases legales del RGPD, y a menudo no es la correcta. La ejecución del contrato, el interés legítimo y la obligación legal cubren la mayoría del tratamiento que las empresas SaaS necesitan realizar. El consentimiento debe reservarse para tratamientos donde el individuo genuinamente tiene libre elección — principalmente comunicaciones de marketing y cookies no esenciales.

Pero cuando el consentimiento es la base correcta, el RGPD establece un umbral alto. El consentimiento debe ser otorgado libremente, específico, informado e inequívoco. Las casillas premarcadas, el consentimiento agrupado y los patrones oscuros no cuentan. Y una vez que se basa en el consentimiento, debe estar preparado para que las personas lo retiren en cualquier momento.

Esta guía cubre cuándo se aplica el consentimiento, qué lo hace válido, cómo implementarlo correctamente y cómo gestionar los registros de consentimiento en su plataforma SaaS.

¿Cuándo es el consentimiento la base legal correcta?

Use el consentimiento para

Comunicaciones de marketing. Correos electrónicos, SMS, notificaciones push y otro marketing directo a individuos requieren consentimiento en la mayoría de las jurisdicciones de la UE (la Directiva ePrivacy lo refuerza). La excepción: puede basarse en el interés legítimo para marketing a clientes existentes sobre productos similares, bajo ciertas condiciones.

Cookies y seguimiento no esenciales. La Directiva ePrivacy (y sus implementaciones nacionales) exige consentimiento para cookies y tecnologías similares que no sean estrictamente necesarias para su servicio. Esto incluye cookies de analítica, rastreadores de publicidad, scripts de pruebas A/B y plugins de redes sociales. Las cookies estrictamente necesarias (cookies de sesión, cookies de autenticación, cookies de seguridad) no requieren consentimiento.

Tratamiento de datos de categorías especiales. Si trata datos sensibles — datos de salud, datos biométricos, datos que revelan origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical u orientación sexual — el consentimiento explícito es una de las pocas bases legales disponibles. El umbral para el consentimiento explícito es más alto que para el consentimiento estándar.

Tratamiento que va más allá de lo necesario para el contrato. Si quiere usar datos de clientes para finalidades más allá de prestar su servicio — enriquecer perfiles con datos de terceros, compartir datos con empresas asociadas, usar datos para investigación — el consentimiento le da al interesado un control genuino sobre estos usos opcionales.

No use el consentimiento para

Tratamiento necesario para prestar su servicio. Si alguien se registra en su producto SaaS, no necesita consentimiento para almacenar sus datos de cuenta — eso es necesidad contractual. Pedir consentimiento cuando va a tratar los datos de todas formas (porque el servicio no funcionará sin ello) invalida el consentimiento. No es “libremente otorgado” si decir no significa que no pueden usar el producto.

Tratamiento que haría independientemente del consentimiento. Si planea tratar datos con o sin el consentimiento de la persona, el consentimiento es la base equivocada. Elija el interés legítimo u otra base en su lugar. Usar el consentimiento como fachada mientras se basa en una base diferente en la práctica es engañoso e incumple la normativa.

Relaciones empleador-empleado. Debido al desequilibrio de poder, el consentimiento de los empleados rara vez se considera “libremente otorgado”. Use la necesidad contractual, la obligación legal o el interés legítimo para la mayoría del tratamiento de datos de empleados.

¿Qué hace válido el consentimiento según el RGPD?

El artículo 4(11) define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca del interesado”. El artículo 7 añade condiciones para demostrar el consentimiento. Analicemos cada requisito:

Libremente otorgado

La persona debe tener una elección genuina. El consentimiento no es libre si:

Rechazar el consentimiento tiene consecuencias negativas. Si rechazar el consentimiento significa perder acceso a un servicio que no requiere el tratamiento consentido, el consentimiento no es libre. Ejemplo: exigir consentimiento para correos de marketing como condición de uso de una herramienta de gestión de proyectos — el marketing no tiene nada que ver con el servicio.
Existe un desequilibrio de poder. Un empleador que pide consentimiento a un empleado para compartir sus datos con un tercero — el empleado puede sentir que no puede decir que no.
El consentimiento está agrupado. Pedir un único consentimiento que cubra múltiples finalidades de tratamiento no relacionadas. Cada finalidad debe ser consentible por separado.

Mejor práctica para SaaS: Use opciones de consentimiento granulares. Permita que los usuarios opten por el marketing por separado de la analítica. No condicione el acceso a su producto al consentimiento de tratamiento que no es necesario para el servicio.

Específico

El consentimiento debe referirse a una o más finalidades de tratamiento específicas. “Consiento el tratamiento de mis datos personales” no es específico. “Consiento recibir correos electrónicos de actualización de producto de GRCTrail” es específico.

Mejor práctica para SaaS: Cree mecanismos de consentimiento separados para cada finalidad: correos de marketing, boletines del producto, comunicaciones de socios, seguimiento de analítica, participación en investigación. No los agrupe.

Informado

Antes de otorgar el consentimiento, la persona debe conocer como mínimo:

Quién solicita el consentimiento (la identidad de su organización)
Qué datos se tratarán
Con qué finalidad(es)
Su derecho a retirar el consentimiento en cualquier momento
Si procede, que los datos se usarán para toma de decisiones automatizada
Si procede, que los datos se transferirán internacionalmente

Mejor práctica para SaaS: Coloque información clara y concisa junto a cada mecanismo de consentimiento. Enlace a su aviso de privacidad completo para los detalles, pero proporcione la información esencial en línea. Nadie debería necesitar leer un documento de 10 páginas para entender a qué está consintiendo.

Inequívoco

El consentimiento debe implicar una acción afirmativa clara. Esto significa:

Opt-in, no opt-out. Las casillas premarcadas no son consentimiento válido. La casilla debe empezar desmarcada, y el usuario debe marcarla activamente.
El silencio no es consentimiento. La inactividad, desplazarse por una página o continuar navegando por un sitio web no constituyen consentimiento.
Sin patrones oscuros. Hacer el botón de “aceptar” grande y colorido mientras se oculta la opción de “rechazar” en texto gris pequeño no es consentimiento inequívoco — es manipulación.

Implementar mecanismos de consentimiento

Consentimiento de cookies

El consentimiento de cookies es la implementación de consentimiento más visible para la mayoría de los sitios web SaaS. Los requisitos:

Antes de establecer cookies: Muestre un banner de consentimiento claro que:

Enumere las categorías de cookies (funcionales, de analítica, de marketing)
Explique qué hace cada categoría
Proporcione una forma de aceptar o rechazar cada categoría independientemente
No establezca cookies no esenciales hasta que se otorgue el consentimiento (no “consentimiento por navegación”)
No utilice categorías preseleccionadas

Controles granulares: Los usuarios deben poder aceptar las cookies de analítica pero rechazar las de marketing, o viceversa. Un botón de “aceptar todo” está bien siempre que las opciones granulares sean igualmente accesibles.

Persistencia y retirada: Almacene las preferencias de consentimiento del usuario y respételas. Proporcione una forma de cambiar las preferencias en cualquier momento (comúnmente a través de un enlace “Configuración de cookies” en el pie de página).

Sin muros de cookies: Bloquear completamente el acceso a su sitio web si el usuario no acepta cookies generalmente no está permitido en la UE, ya que el consentimiento otorgado bajo tales condiciones no es “libremente otorgado”.

Consentimiento para email marketing

Doble opt-in: La mejor práctica es usar el doble opt-in (también llamado opt-in confirmado). El usuario introduce su correo electrónico y usted envía un correo de confirmación con un enlace de verificación. Solo después de hacer clic en el enlace se registra el consentimiento. Esto proporciona evidencia sólida de que la persona realmente consintió y de que la dirección de correo electrónico le pertenece.

Descripción clara: En el punto de registro, describa qué recibirá la persona: “Actualizaciones mensuales del producto y consejos de cumplimiento del RGPD” — no “comunicaciones de nuestra parte”.

Cancelación fácil de la suscripción: Cada correo de marketing debe incluir un mecanismo claro de cancelación de suscripción con un solo clic. No exija al usuario que inicie sesión, rellene un formulario o explique por qué se da de baja.

Consentimiento dentro de la aplicación

Para el consentimiento recogido dentro de su aplicación SaaS (optar por funcionalidades beta, activar integraciones que comparten datos con terceros, participar en investigación):

Use diálogos modales claros o formularios de consentimiento en línea
Explique a qué está optando el usuario
Proporcione confirmación inmediata de su elección
Permita la retirada a través de la configuración de la cuenta

Gestionar los registros de consentimiento

El artículo 7(1) establece: “Cuando el tratamiento se base en el consentimiento, el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales”. Necesita mantener registros que demuestren:

Quién consintió (persona identificable, no solo un ID de cookie)
Cuándo consintió (marca de tiempo)
A qué consintió (la finalidad específica y el texto exacto que vio)
Cómo consintió (el mecanismo — casilla de verificación, doble opt-in, banner de cookies)
La versión del texto de consentimiento en ese momento (si actualiza su texto de consentimiento, necesita saber qué versión vio cada persona)

Estos registros deben ser accesibles y estar organizados. Si una autoridad de control le pide demostrar que un individuo específico consintió a los correos de marketing, necesita producir la evidencia — no adivinar basándose en si está en su lista de correo.

Retirada del consentimiento

El artículo 7(3) establece: “Será tan fácil retirar el consentimiento como darlo”. Esto se incumple frecuentemente. Fallos comunes:

Exigir una llamada telefónica para darse de baja cuando el consentimiento se dio con un solo clic
Procesos de retirada con múltiples pasos que requieren iniciar sesión, navegar a la configuración y confirmar múltiples veces
Retrasos en el procesamiento donde los datos continúan siendo tratados durante días o semanas después de la retirada

Cuando alguien retira el consentimiento:

Detenga el tratamiento basado en el consentimiento inmediatamente
No use la retirada como una oportunidad para volver a solicitar el consentimiento
No penalice a la persona (por ejemplo, reduciendo la calidad del servicio)
Conserve un registro de que el consentimiento fue retirado (y cuándo)
Tenga en cuenta que la retirada no afecta a la licitud del tratamiento que tuvo lugar antes de la retirada

Consentimiento frente a otras bases legales

Una pregunta frecuente: “¿Puedo cambiar de base legal si alguien retira el consentimiento?”

La respuesta generalmente es no. Si ha estado tratando datos basándose en el consentimiento y la persona lo retira, no puede reclamar retroactivamente que tenía un interés legítimo todo el tiempo. El Comité Europeo de Protección de Datos ha sido claro: elegir el consentimiento como base y luego cambiar cuando resulta inconveniente socava la integridad del consentimiento como mecanismo.

Por eso es fundamental elegir la base legal correcta desde el principio. Si el interés legítimo genuinamente se aplica, úselo. No recurra al consentimiento por defecto porque parece más fácil — el consentimiento viene con condiciones.

Cómo GRCTrail ayuda con la gestión del consentimiento

GRCTrail integra la gestión del consentimiento en su programa de cumplimiento más amplio:

Seguimiento del consentimiento en su RAT. Cada actividad de tratamiento en su Registro de Actividades de Tratamiento registra la base legal aplicable. Cuando el consentimiento es la base, GRCTrail enlaza con sus registros y mecanismos de consentimiento.

Gestión de evidencias. Mantenga registros auditables de la recogida de consentimiento, el texto de consentimiento utilizado y los eventos de retirada. Demuestre el cumplimiento a las autoridades de control con evidencia estructurada, no un montón de capturas de pantalla de correos electrónicos.

Conectado a sus avisos de privacidad. Sus mecanismos de consentimiento deben alinearse con lo que dice su aviso de privacidad. GRCTrail ayuda a garantizar la coherencia entre lo que comunica a las personas y lo que hace.

Gestione el consentimiento con confianza →

Guías relacionadas

Las seis bases legales del tratamiento — Comprenda todas sus opciones
Requisitos del aviso de privacidad — Qué comunicar a los interesados
Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
Registro de Actividades de Tratamiento (RAT) — Documentación de su tratamiento

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours