¿Es necesario incluir una casilla de verificación en mi formulario de contacto?

No. Una casilla de verificación no es necesaria. El botón ‘Enviar’ es suficiente.

Si eres claro sobre el hecho de que el formulario de contacto es un formulario de contacto, entonces la acción de hacer clic en el botón “Enviar” ya significa que están consintiendo al tratamiento de los datos.

Sin embargo, es necesario incluir un texto junto al formulario, como:

Trataremos tus datos para contactarte e informarte sobre nuestros productos y servicios. Puedes revocar el consentimiento, ejercer tus derechos de acceso, rectificación, oposición, limitación del tratamiento, portabilidad y supresión escribiéndonos a [dirección de correo electrónico]. Más información en la Política de Privacidad de nuestro Hub Legal.

Aquí tienes una explicación más detallada de por qué no necesitas una casilla en tu formulario de contacto. Hay dos razones para ello.

1. Hacer clic en el botón de enviar es consentir

Sí, hacer clic en el botón de enviar de un formulario de contacto constituye una acción afirmativa clara (la terminología real del GDPR). He aquí por qué:

Definición de ‘consentimiento’ según el GDPR

El mejor punto de partida es entender qué significa ‘consentimiento’. Dentro del Reglamento General de Protección de Datos, debemos consultar el Artículo 4, que contiene las definiciones.

Artículo 4: Definiciones (GDPR)

11. ‘consentimiento’ del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

Así que, como puedes ver en el Artículo 4 del GDPR, el consentimiento puede lograrse de dos maneras:

1. Una declaración
2. Acción afirmativa clara (esto es lo que significa hacer clic en “Enviar”)

No es necesaria la casilla

Uno podría concluir demasiado rápido que ‘Acción afirmativa clara’ significa una casilla de verificación. Especialmente al leer el Considerando 32 del GDPR:

Considerando 32.2. (GDPR)

Esto podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, u otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.

Sin embargo, si prestas atención, verás que el texto dice:

(…) u otra conducta, en un determinado contexto, también significa dar consentimiento.

Un ejemplo perfecto de esto es pulsar un botón de ‘Enviar’ en el contexto de un formulario de contacto. Es universalmente claro para todos que rellenar un formulario de contacto con tu información y enviar dicha información a una empresa significa que van a tratar tu información.

2. Informas de los propósitos del tratamiento de datos

Hay solo un pequeño problema con el botón ‘Enviar’:

Considerando 32.5 (GDPR)

4. El consentimiento debe cubrir todas las actividades de tratamiento realizadas con el mismo fin o fines
5. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.

Efectivamente, el usuario debe consentir no solo el hecho de que estás tratando sus datos. También deben consentir los propósitos del tratamiento de datos. Y esto no se logra completamente haciendo clic en un botón.

Texto legal junto al formulario

Para cumplir con tus deberes de información simplemente pulsando un botón, debes incluir en el formulario un texto breve que informe de los propósitos del tratamiento de los datos personales.

Trataremos tus datos para contactarte e informarte sobre nuestros productos y servicios. Puedes revocar el consentimiento, ejercer tus derechos de acceso, rectificación, oposición, limitación del tratamiento, portabilidad y supresión escribiéndonos a [dirección de correo electrónico]. Más información en la Política de Privacidad de nuestro Hub Legal.

Modelo de información por capas

Las autoridades nacionales de protección de datos de muchos países tienen directrices sobre algo llamado “modelo de información por capas”.

La Agencia Española de Protección de Datos (AEPD) tiene una Guía para el cumplimiento del deber de informar, que establece:

Información por capas (AEPD)

• Para hacer compatible la mayor exigencia de información introducida por el GDPR con la concisión y comprensión, las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o niveles.
• El enfoque de información multinivel consiste en:
  • Presentar información básica en un primer nivel, de forma resumida, al mismo tiempo y en el mismo medio en el que se recogen los datos.
  • Hacer referencia a información adicional en un segundo nivel, donde se presenta el resto de la información de forma detallada.

¿Cuándo SÍ necesitas una casilla?

Debes incluir una casilla separada si:

1. Fines de marketing

Si quieres añadir a los remitentes del formulario de contacto a una lista de marketing o newsletter, necesitas consentimiento explícito y libre:

☐ Sí, me gustaría recibir correos de marketing sobre vuestros productos y
servicios.

Esta casilla debe ser:

• Opcional (no obligatoria para enviar el formulario)
• Desmarcada por defecto
• Clara y específica sobre a qué están consintiendo

2. Compartir datos con terceros

Si vas a compartir sus datos con terceros (más allá de los proveedores de servicios necesarios como el alojamiento de correo), necesitas consentimiento explícito.

3. Tratamiento de datos de categoría especial

Si estás recopilando información sensible (datos de salud, opiniones políticas, etc.), necesitas consentimiento explícito y separado.

Ejemplo: Formulario de contacto conforme

Así es como podría verse un formulario de contacto conforme al GDPR:

<form>
  <label for="name">Nombre *</label>
  <input type="text" id="name" required />

  <label for="email">Correo electrónico *</label>
  <input type="email" id="email" required />

  <label for="message">Mensaje *</label>
  <textarea id="message" required></textarea>

  <!-- Casilla opcional de consentimiento para marketing -->
  <label>
    <input type="checkbox" name="marketing" />
    Me gustaría recibir actualizaciones sobre vuestros productos y servicios
  </label>

  <button type="submit">Enviar</button>

  <p class="privacy-notice">
    Trataremos tus datos para contactarte e informarte sobre nuestros productos
    y servicios. Puedes revocar el consentimiento en cualquier momento. Lee
    nuestra <a href="/privacy-policy">Política de Privacidad</a> para más
    información.
  </p>
</form>

Conceptos erróneos comunes sobre el GDPR y los formularios de contacto

Concepto erróneo 1: “Necesito consentimiento para todo”

Realidad: El GDPR proporciona seis bases legales para el tratamiento de datos, no solo el consentimiento. Para formularios de contacto, la acción afirmativa clara de enviar el formulario (combinada con la información adecuada) proporciona un consentimiento válido.

Concepto erróneo 2: “Las casillas premarcadas están bien si se mencionan en la política de privacidad”

Realidad: Para el consentimiento de marketing, las casillas deben estar desmarcadas por defecto. Las casillas premarcadas no constituyen un consentimiento válido bajo el GDPR.

Concepto erróneo 3: “El botón ‘Enviar’ = consentimiento implícito”

Realidad: El GDPR usa el término “acción afirmativa clara”, no “consentimiento implícito”. Hacer clic en Enviar es una acción explícita y afirmativa cuando el contexto (un formulario de contacto) deja claro el propósito.

Facilítate la vida

El GDPR no es estúpido. El GDPR es genial. Si sientes que es innecesariamente complicado, lo estás haciendo mal. De hecho, el cumplimiento puede lograrse fácilmente con las herramientas y recursos adecuados. Todo lo que necesitas son las plantillas GDPR correctas disponibles en línea. Una vez que las tengas, simplemente hazlas accesibles a tus usuarios en los lugares apropiados.

Eso es todo lo que necesitas para cumplir con los requisitos del GDPR. Así que no dejes que los consultores legales te convenzan de que el cumplimiento del GDPR es un proceso complejo y costoso – realmente no lo es. Con el enfoque correcto, el cumplimiento del GDPR puede ser simple y asequible.

Crea tu Política de Privacidad gratuita con GDPR.Direct →

Conclusión

No necesitas una casilla de consentimiento separada para envíos básicos de formularios de contacto. El acto de enviar el formulario proporciona una acción afirmativa clara (terminología del GDPR) para que puedas tratar los datos para responder a la consulta.

Sin embargo, si quieres usar los datos para propósitos adicionales (como marketing), debes obtener un consentimiento separado y explícito a través de una casilla opcional y desmarcada.

Céntrate en la transparencia y la claridad en lugar de casillas innecesarias que frustran a los usuarios y reducen las tasas de completado de formularios.