Cumplimiento

Modelo de formulario de consentimiento RGPD

Modelo de consentimiento RGPD listo para copiar: formulario web, casillas por finalidad, menores y fotos, y qué invalida el consentimiento según AEPD y TJUE.

También disponible en:English·Français·Deutsch

En una frase. Un modelo de consentimiento RGPD válido exige una casilla no premarcada por finalidad, información clara antes de marcarla y un registro de quién consintió y cuándo; abajo tienes redacciones listas para copiar para formularios web, imágenes de personas, menores y cesión a terceros.

El consentimiento es la base de legitimación más incomprendida del RGPD. Muchas empresas lo piden cuando no lo necesitan, y cuando lo necesitan lo recogen mal. Este artículo recopila modelos concretos de consentimiento conformes con el art. 7 RGPD, el art. 6 LOPDGDD y la doctrina del TJUE.

Puntos clave

  • El consentimiento debe ser libre, específico, informado e inequívoco (art. 4.11 RGPD): una casilla premarcada nunca es válido.
  • Debe recogerse una acción afirmativa por finalidad; el consentimiento en bloque para varios fines es nulo.
  • En España, un menor puede consentir por sí solo a partir de los 14 años (art. 7 LOPDGDD); por debajo hace falta consentimiento parental.
  • El responsable debe poder demostrar que obtuvo el consentimiento (art. 7.1 RGPD): sin registro, no hay consentimiento.
  • Retirar el consentimiento debe ser tan fácil como darlo (art. 7.3 RGPD).

1. Cuándo necesita consentimiento (y cuándo no)

Antes de redactar el formulario, confirme que el consentimiento es la base adecuada. Para ejecutar un contrato, cumplir una obligación legal o gestionar clientes propios rara vez hace falta consentimiento; suele bastar el contrato o el interés legítimo. Pedir consentimiento para algo que ya tiene otra base genera un problema: si el interesado lo retira, usted se queda sin cobertura para un tratamiento que era obligatorio.

El consentimiento es la base correcta para envío de comunicaciones comerciales por email, uso de fotografías de personas, cesión de datos a terceros no encargados, y tratamiento de datos de categorías especiales (art. 9). Repase primero las bases de legitimación del RGPD para no equivocarse. Los ejemplos completos de redacción los desarrollamos en la guía de consentimiento RGPD con ejemplos.

2. Qué invalida un consentimiento

La AEPD y el Tribunal de Justicia de la UE han fijado criterios claros. En el asunto Planet49 (C-673/17, 1 de octubre de 2019), el TJUE declaró que una casilla marcada por defecto no constituye consentimiento válido: el usuario debe realizar una acción positiva. La sentencia Orange Romania (C-61/19, 11 de noviembre de 2020) añadió que la carga de la prueba recae sobre el responsable.

Práctica ¿Válido? Motivo
Casilla premarcada No Falta acción afirmativa (Planet49)
Consentimiento en bloque para varios fines No No es específico (art. 6.3 LOPDGDD)
“Al continuar navegando, acepta…” No Falta manifestación inequívoca
Consentimiento condicionado a la ejecución del contrato Dudoso Puede no ser libre (art. 7.4 RGPD)
Casilla no marcada, una por finalidad Específico, informado, inequívoco

El art. 6.3 LOPDGDD confirma que, cuando se pretendan varias finalidades, debe constar de forma específica e inequívoca que el consentimiento se otorga para todas ellas.

3. Modelos listos para copiar

3.1. Formulario web con casillas por finalidad

Información básica sobre protección de datos. Responsable: [Empresa, NIF]. Finalidad: gestionar su solicitud y, si lo autoriza, enviarle comunicaciones comerciales. Legitimación: consentimiento. Destinatarios: no se cederán datos salvo obligación legal. Derechos: acceso, rectificación, supresión y demás derechos ARCO, como se explica en la información adicional.

☐ Consiento el envío de comunicaciones comerciales sobre productos y servicios de [Empresa] por email.

☐ Consiento la cesión de mis datos a [tercero identificado] con la finalidad de [finalidad concreta].

Cada casilla es independiente y ninguna viene marcada. La información adicional (segunda capa) debe enlazar con la política de privacidad completa.

3.2. Consentimiento para uso de imágenes

Autorizo a [Empresa] a captar y utilizar mi imagen en [soportes: web corporativa, redes sociales, memoria anual] con fines de [difusión institucional]. Esta autorización es gratuita y puedo revocarla en cualquier momento escribiendo a [correo]. La revocación no afectará a los usos ya realizados.

3.3. Consentimiento de menores

Para menores de 14 años, el formulario debe dirigirse al titular de la patria potestad:

Como padre/madre/tutor de [nombre del menor], autorizo el tratamiento de sus datos con la finalidad de [actividad]. Declaro ser titular de la patria potestad o tutela.

La AEPD recomienda verificar de forma razonable esa condición. En centros educativos y actividades con menores, este es el punto que más resoluciones genera, sobre todo por la difusión de imágenes.

3.4. Consentimiento explícito para datos de categorías especiales

Cuando la base para tratar datos del art. 9 (salud, ideología, afiliación, biometría) es el consentimiento, este debe ser explícito (art. 9.2.a RGPD): no basta una acción afirmativa genérica, sino una declaración clara referida específicamente a esos datos y a la finalidad concreta.

Consiento de forma expresa el tratamiento de mis datos de [salud / afiliación] con la finalidad exclusiva de [finalidad]. Comprendo que se trata de datos de categoría especial y que puedo revocar este consentimiento en cualquier momento.

En España, el art. 9 LOPDGDD añade un límite relevante: el consentimiento del interesado no basta por sí solo para levantar la prohibición de tratar datos que revelen ideología, afiliación sindical, religión o creencias con la única finalidad de identificar esa condición. Es un error frecuente pensar que con la casilla marcada se resuelve todo.

4. Cómo articular la retirada del consentimiento

El art. 7.3 RGPD exige que retirar el consentimiento sea tan fácil como prestarlo. Si el usuario consintió con un clic en un formulario, no puede obligársele a enviar una carta certificada para revocarlo. En la práctica: un enlace de baja en cada comunicación comercial, un panel de preferencias accesible y una dirección de contacto. La retirada no tiene efecto retroactivo —no invalida los tratamientos ya realizados—, pero sí impide seguir tratando los datos a partir de ese momento. Debe informar de este derecho antes de recabar el consentimiento, no después.

5. El registro del consentimiento

El art. 7.1 RGPD exige que el responsable pueda demostrar que el interesado consintió. En la práctica, eso significa conservar: identidad del interesado, texto exacto que se le mostró, fecha y hora, y canal. Un consentimiento sin registro es, a efectos de una inspección, un consentimiento inexistente.

Mantener esa trazabilidad a mano es inviable en cuanto hay volumen. Plataformas de cumplimiento como Legiscope versionan los textos de consentimiento y guardan la prueba asociada a cada interesado, de modo que ante una reclamación pueda recuperar exactamente qué aceptó esa persona y cuándo. Debe integrarse con su registro de actividades de tratamiento, donde el consentimiento figura como base de legitimación de cada actividad.

FAQ

¿Es válida una casilla premarcada para aceptar comunicaciones comerciales?

No. El TJUE lo declaró expresamente en Planet49 (C-673/17). El consentimiento exige una acción afirmativa clara, por lo que la casilla debe estar sin marcar y ser el usuario quien la marque.

¿A partir de qué edad puede un menor dar su consentimiento en España?

A partir de los 14 años, según el art. 7 LOPDGDD. Por debajo de esa edad, el consentimiento debe otorgarlo el titular de la patria potestad o tutela, y el responsable debe verificar esa condición de forma razonable.

¿Puedo pedir un único consentimiento para varias finalidades?

No de forma agrupada. El art. 6.3 LOPDGDD exige que conste de forma específica e inequívoca que se consiente para cada finalidad. Lo correcto es una casilla independiente por cada fin.

¿Qué debo conservar para probar que obtuve el consentimiento?

La identidad del interesado, el texto exacto mostrado, la fecha y el canal. Sin ese registro no podrá acreditar el cumplimiento del art. 7.1 RGPD ante la AEPD en caso de reclamación.


Un buen modelo de consentimiento no basta: hay que integrarlo con la checklist RGPD del resto de obligaciones y con los modelos de política de cookies cuando el consentimiento afecta al rastreo web.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →