El RGPD adiciona un requisito formal, a diferencia de la LOPD, para la obtención del consentimiento y así garantizar que sea inequívoco: el consentimiento deberá ser recabado mediante una declaración o mediante una clara acción afirmativa.

El RGPD establece los supuestos en los que el consentimiento además de ser inequívoco, deberá ser explícito:

En estos casos, el interesado deberá aceptar el tratamiento de sus datos personales por medio de una declaración por escrito, medios electrónicos, declaración verbal o marcando una casilla de un sitio web de Internet en la que se manifiesta que acepta las condiciones del tratamiento.

El consentimiento también podrá recabarse por medio de una acción afirmativa o conducta de la cual se deduzca de manera inequívoca que el interesado acepta el tratamiento de sus datos. Ello sucede por ejemplo, cuando una persona continúa navegando en una web que utiliza cookies, aceptando de manera implícita la instalación de las cookies en el navegador.

A raíz de la nueva normativa del RGPD, las empresas deberán evaluar las distintas formas mediante las cuales obtienen el consentimiento, con el fin de garantizar que sea libre, informado, específico, y sobre todo inequívoco. En este sentido, no se podrá seguir deduciendo el consentimiento del silencio, la inacción del interesado o las casillas pre marcadas. Adicionalmente, el consentimiento debe ser específico, y por tanto en aquellos casos en los que el tratamiento de los datos incluya varios fines, el interesado tendrá que dar su consentimiento de todos y cada uno de ellos.

Por último, es importante recordar que el consentimiento debe ser verificable a posteriori y quienes recopilen datos de carácter personal deberán ser capaces de demostrar que se ha obtenido el consentimiento del afectado.