Qué se entiende por consentimiento en el RGPD
El artículo 4.11 del Reglamento (UE) 2016/679 define el consentimiento del interesado como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Cuatro atributos son, por tanto, imprescindibles:
- Libre: no puede ser condición para acceder a un servicio cuando su uso no lo requiera estrictamente.
- Específico: debe referirse a una finalidad concreta; un consentimiento genérico «para todo» no cumple el requisito.
- Informado: el interesado debe conocer la identidad del responsable, la finalidad, los destinatarios y el plazo de conservación antes de prestar su consentimiento.
- Inequívoco: la acción afirmativa es obligatoria; el silencio, las casillas premarcadas o la inacción no constituyen consentimiento válido.
Bases jurídicas en las asociaciones de vecinos
El RGPD establece seis bases jurídicas para el tratamiento legítimo de datos (artículo 6). Las asociaciones vecinales recurren habitualmente a tres de ellas:
1. Ejecución de un contrato o relación estatutaria
Cuando el tratamiento es necesario para gestionar la propia relación asociativa —alta como socio, cobro de cuotas, participación en asambleas—, la base habitual es la ejecución de la relación jurídica que une al miembro con la asociación. En estos casos no es preciso recabar un consentimiento adicional, siempre que el tratamiento sea proporcional a la finalidad.
2. Cumplimiento de una obligación legal
Algunas operaciones de tratamiento se realizan para cumplir obligaciones previstas en la ley. Por ejemplo, la retención de determinadas comunicaciones o la remisión de información a la Agencia Tributaria puede apoyarse en esta base.
3. Consentimiento expreso
El consentimiento es necesario, entre otros casos, cuando se pretenden utilizar los datos para finalidades distintas de la gestión asociativa ordinaria: envío de un boletín de noticias del barrio, cesión de imágenes a terceros, comunicaciones de entidades colaboradoras o participación en encuestas voluntarias.
Nota práctica: La AEPD recomienda en su Guía para asociaciones y fundaciones (2021) conservar la documentación que acredite el consentimiento otorgado durante el tiempo en que los datos estén en uso y al menos durante el plazo en que puedan ejercerse acciones derivadas del tratamiento.
Cómo documentar el consentimiento
La carga de la prueba recae en el responsable del tratamiento (artículo 7.1 RGPD). Esto obliga a la asociación a conservar evidencia del consentimiento prestado. Los mecanismos más habituales son:
- Hoja de inscripción firmada con una cláusula informativa y la indicación de las finalidades del tratamiento.
- Formulario electrónico con casilla no premarcada específica para cada finalidad adicional (por ejemplo, recepción del boletín de noticias).
- Correo electrónico confirmatorio en el que el interesado ratifica su consentimiento respondiendo de forma afirmativa.
Es conveniente que la cláusula de consentimiento sea independiente de otras cláusulas contractuales y esté redactada en un lenguaje claro, sin tecnicismos.
Revocación del consentimiento
El artículo 7.3 del RGPD reconoce al interesado el derecho a retirar su consentimiento en cualquier momento y sin que ello afecte a la licitud del tratamiento anterior. La asociación debe articular un mecanismo sencillo para ejercer este derecho: un correo electrónico de contacto o un formulario en papel accesible desde la sede de la asociación.
La revocación debe ser tan sencilla como el otorgamiento inicial. Si el consentimiento se prestó marcando una casilla en un formulario electrónico, el mecanismo de revocación no puede exigir desplazarse a la sede física.
Supuestos frecuentes en la vida asociativa
Difusión de actas y convocatorias por correo electrónico
El envío de convocatorias de asamblea o actas a los socios forma parte de la gestión ordinaria de la asociación y se apoya en la relación estatutaria. No requiere consentimiento adicional, aunque sí es necesario mantener los datos actualizados y no utilizarlos para finalidades distintas de la comunicación interna.
Grupos de mensajería instantánea
La creación de un grupo de vecinos en una aplicación de mensajería implica que todos los participantes ven los números de teléfono de los demás miembros (salvo configuraciones específicas). Antes de incluir a un vecino, la asociación debe informarle de este efecto y recabar su conformidad.
Publicación de datos de contacto de la junta directiva
La publicación de los datos de contacto de los miembros de la junta directiva en el tablón de anuncios o en la web de la asociación requiere, cuando se trata de datos personales como el número de teléfono privado, el consentimiento de los afectados o la existencia de una base jurídica alternativa.