La mayor parte de las empresas cree que "tienen consentimiento" porque el usuario aceptó los términos al registrarse. La LOPDP pide algo más específico, y la SPDP ya sancionó dos casos emblemáticos por no cumplirlo. LIGAPRO tuvo que notificar a 14,398 titulares que su consentimiento no fue obtenido de forma válida — y eliminar todos esos datos. Este artículo descompone qué hace realmente válido un consentimiento LOPDP y cómo probarlo.
Los 5 requisitos del Art. 7
El artículo 7 de la LOPDP establece que el consentimiento, cuando es la base legal del tratamiento, debe ser:
1. Libre
Sin coerción, sin condicionar un servicio esencial a la aceptación del tratamiento no necesario. Si un titular no tiene alternativa real para acceder a un servicio, el consentimiento no es libre. Ejemplo: exigir consentimiento para marketing como condición para crear la cuenta del servicio principal es típicamente inválido.
2. Específico
Referido a una finalidad concreta. El "acepto los términos" genérico no sirve si dentro de los términos hay múltiples finalidades distintas. Cada finalidad sustantivamente diferente (servicio base, marketing, analítica, perfilamiento, cesión a terceros) requiere su propio consentimiento granular.
3. Informado
El titular debe conocer, antes de consentir, qué datos se tratan, para qué, a quién se comunican, por cuánto tiempo, y cuáles son sus derechos. Esto se cumple con el aviso de privacidad (Art. 12) accesible en el momento del consentimiento.
4. Inequívoco
El consentimiento debe ser manifestado por un acto positivo. Casillas pre-marcadas, el silencio del titular, o la inactividad no son consentimiento válido. Requiere una acción afirmativa explícita.
5. Demostrable
Su empresa debe poder probar, con evidencia trazable, que el titular consintió en ese momento, a ese texto específico, por ese canal. Sin evidencia, es como si no hubiera consentimiento — el caso LIGAPRO se construyó exactamente sobre esta brecha.
Cómo implementar consentimiento válido en un formulario
El cumplimiento en interfaces digitales requiere varios elementos coordinados:
- Aviso de privacidad accesible con un clic antes de aceptar. Mejor si es por capas: versión corta visible + versión extendida enlazada.
- Casillas separadas por finalidad. Una para la finalidad principal (ejecutar el servicio), otras distintas para finalidades adicionales (marketing, analítica, cesión a terceros). Nunca pre-marcadas.
- Identificar el responsable del tratamiento antes del botón de envío. El titular debe saber quién recibe sus datos.
- Identificar al DPD cuando existe, con canal de contacto para ejercer derechos.
- Explicar cómo revocar, brevemente, con enlace al procedimiento.
- Guardar evidencia: timestamp, IP, versión del texto aceptado, ID del titular.
Revocación: Art. 8
El artículo 8 establece que el titular puede revocar su consentimiento en cualquier momento, con la misma facilidad con la que lo otorgó. Esto implica:
- Si dio consentimiento con un clic en un formulario web, debe poder revocarlo con un clic también. No puede exigirse una llamada, envío de documentación o proceso burocrático.
- La revocación debe ser gratuita y no requiere fundamentación.
- La revocación tiene efectos hacia el futuro — no invalida el tratamiento legítimamente realizado hasta ese momento.
- Tras la revocación, el responsable debe cesar el tratamiento basado en ese consentimiento, salvo que exista otra base legal (ej. obligación legal de conservar).
Cómo montar el canal de revocación
Idealmente, un enlace directo de opt-out en cada correo + una sección "Mi privacidad" en la cuenta del usuario donde puede ver consentimientos activos y retirarlos. Mínimo aceptable: un correo dedicado (derechos@ o dpd@) donde el titular pida la revocación y reciba confirmación en 72 horas.
¿Su flujo de consentimiento guarda evidencia auditable?
El checklist LOPDP tiene una categoría específica de consentimiento con 4 preguntas que cubren exactamente los requisitos del Art. 7. Cinco minutos para saber si pasaría una auditoría.
Evaluar con el checklistQué evidencia debe mantener
La "responsabilidad demostrada" del Art. 40 LOPDP se concreta, para consentimiento, en evidencia específica por titular y por acto. Lo mínimo:
| Campo | Qué guardar |
|---|---|
| Identificación del titular | ID interno, cédula, correo (lo que corresponda) |
| Fecha y hora exacta | Timestamp del consentimiento |
| Canal | Formulario web, app, correo, físico |
| IP (si digital) | Para trazabilidad, no como identificador personal |
| Texto aceptado | Versión exacta del texto al que consintió — cambia con cada actualización de política |
| Finalidades consentidas | Qué casillas marcó específicamente |
| Versión del aviso de privacidad | Hash o número de versión |
| Revocaciones posteriores | Fecha y canal si corresponde |
Esta evidencia debe poder recuperarse por titular en cuestión de minutos. Si su empresa recibe un requerimiento de la SPDP preguntando por el consentimiento de una persona específica y no puede extraerlo rápido, el problema no es la solicitud — es el sistema.
Consentimiento en el contexto laboral
Un caso delicado: ¿el consentimiento del empleado para tratamiento de sus datos es válido? La doctrina moderna —incluida la del RGPD europeo, que inspiró parcialmente la LOPDP— considera que la relación laboral compromete la libertad del consentimiento. El empleado rara vez tiene poder real de rechazar sin consecuencias.
Por eso, el consentimiento no suele ser la base legal apropiada para el tratamiento de datos de empleados. Bases más robustas:
- Ejecución del contrato laboral — cubre datos necesarios para pagar nómina, aportar al IESS, emitir certificados.
- Obligación legal — cubre retenciones tributarias, reportes al SRI, afiliaciones obligatorias.
- Interés legítimo del responsable (Art. 9) — puede cubrir verificación de antecedentes pre-contratación con ponderación cuidadosa.
Cuando sí se requiere consentimiento del empleado (ej. uso de imagen para marketing interno), debe haber alternativa real para no consentir, y la negativa no puede tener consecuencias laborales.
Errores típicos en consentimiento
- Consentimiento único genérico. "Acepto los términos" que incluye 4 finalidades distintas es inválido — debe haber granularidad.
- Casillas pre-marcadas. Infracción automática bajo el criterio de "inequívoco".
- Texto inaccesible. Política de privacidad escondida, en letra microscópica o detrás de varios clics — afecta "informado".
- Condicionar servicio esencial. "Para usar la app, acepte nuestro programa de marketing" — rompe "libre".
- Sin revocación accesible. Pedir al titular llamar en horario limitado para revocar un consentimiento que dio con un clic — rompe el Art. 8.
- Sin evidencia. El caso LIGAPRO. Si no puede probar que el titular consintió a ese texto exacto, ese día, por ese canal, no tiene consentimiento — tiene un problema.
Preguntas frecuentes
¿El consentimiento verbal (por teléfono) es válido?
Puede serlo si se graba (con consentimiento previo informado de la grabación) y se conserva la evidencia. Pero es frágil en comparación con el digital o escrito. Mejor como complemento, no como único canal.
¿Puedo usar consentimiento previo para nuevas finalidades?
No sin recabarlo específicamente para la nueva finalidad. Si en 2025 obtuvo consentimiento para "enviar comunicaciones sobre el servicio" y en 2026 quiere usar esos datos para un nuevo producto distinto, necesita un consentimiento nuevo y específico para esa finalidad.
¿Cuánto tiempo debo conservar la evidencia de consentimiento?
Mientras el consentimiento esté vigente + el plazo de prescripción aplicable a reclamos posteriores. En la práctica, al menos 3-5 años después de que el consentimiento se revoca o el tratamiento termina.
¿Si actualizo mi política de privacidad tengo que volver a pedir consentimiento?
Depende del cambio. Si son ajustes editoriales sin cambiar finalidades, destinatarios ni base legal, no. Si cambian finalidades o se agregan nuevas categorías de datos, sí debe recabarse consentimiento nuevo para las partes afectadas.
¿Qué pasa si mi empresa no puede probar un consentimiento específico?
El tratamiento basado en ese consentimiento es de facto sin base legal. La SPDP puede sancionar por tratamiento ilícito (infracción grave). En LIGAPRO, la SPDP ordenó notificar a los 14,398 titulares afectados y eliminar los datos.
Conclusión
Consentimiento válido no es marcar una casilla: es un sistema completo de captación, almacenamiento, revocación y evidencia. El Art. 7 lo describe; la SPDP ya mostró que lo exige; LIGAPRO y FEF mostraron el costo de no tenerlo.
Si su empresa trata datos con base en consentimiento —y la mayoría lo hace— revise hoy qué evidencia tiene por titular. Si no puede extraer el consentimiento de cualquier usuario en menos de 5 minutos con el texto exacto aceptado, el sistema necesita revisión. Empiece por el checklist LOPDP o agende una demo si su empresa hace verificación de antecedentes y quiere ver cómo StatusEC mantiene trazabilidad nativa.