Una de las bases para legitimar el tratamiento de datos es el consentimiento. La vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento (Real Decreto 1720/2007, de 21 de diciembre, RLOPD), definen el consentimiento del interesado como toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen.
Una de las novedades del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en lo sucesivo RGPD), es la forma de recabar el consentimiento. Frente a la forma prevista en el vigente RLOPD, que permite obtener el consentimiento tácito o por omisión, el RGPD exige que sea el consentimiento sea explícito o se deduzca de alguna acción del interesado.
Explícito ha de ser, en cualquier caso, el consentimiento para el tratamiento de datos sensibles, la adopción de decisiones automatizadas y las transferencias internacionales de datos. El consentimiento deducido de alguna acción del interesado (o implícito) puede ser, por ejemplo, los casos en que el interesado entra en una página web y sigue navegando por la misma, aceptando con su acción que se instalen cookies en su dispositivo.
En cualquier caso, corresponde al responsable del tratamiento probar la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho, por lo que es recomendable no obtener consentimientos tácitos o por omisión, para cumplir con el RGPD.