Plantillas RGPDDescarga gratis · PDF

Modelo consentimiento protección de datos PDF [2026]

Modelo de consentimiento RGPD conforme al Art. 4.11, 6, 7 y 13. Plantilla editable con firma y guía AEPD.

Descargar PDFAntes, ¿qué tengo que saber?

Descargar un modelo consentimiento protección de datos pdf válido es el primer paso para acreditar ante la AEPD que el tratamiento de datos personales de tu pyme cumple el Reglamento (UE) 2016/679. El modelo de consentimiento de protección de datos es el documento por el que una persona autoriza el tratamiento de sus datos personales, conforme al Art. 4.11 del Reglamento (UE) 2016/679 (RGPD). En esta plantilla descargable encontrarás un consentimiento informado redactado por el Departamento Legal de Cardeseo, alineado con la doctrina de la Agencia Española de Protección de Datos (AEPD) y la LOPDGDD (LO 3/2018), y revisado para 2026 según la Guía AEPD del consentimiento.

Índice

Qué es el modelo de consentimiento de protección de datos

El modelo consentimiento protección de datos es el documento estandarizado mediante el cual una persona física (titular o interesado) autoriza expresamente a un responsable del tratamiento a recoger, almacenar y usar sus datos personales para una o varias finalidades concretas. La definición canónica está en el Art. 4.11 del RGPD: "manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

Este modelo de consentimiento informado RGPD funciona como prueba documental. El Art. 7.1 RGPD impone una carga probatoria expresa: el responsable debe ser capaz de demostrar que el interesado consintió, en cualquier momento y ante cualquier requerimiento de la AEPD. Por eso una plantilla consentimiento datos personales seria incluye campos de identificación, finalidad, fecha y firma. La Guía AEPD del consentimiento recuerda que la prueba debe conservarse al menos mientras dure el tratamiento más el plazo de prescripción de las acciones derivadas (habitualmente entre 3 y 5 años según la base contractual). Sin documento firmado, en la práctica el responsable queda indefenso ante una reclamación.

Cuándo necesitas consentimiento y cuándo otra base jurídica

Uno de los errores más caros en pymes españolas es pedir consentimiento cuando NO toca. El Art. 6.1 RGPD recoge seis bases jurídicas alternativas para tratar datos: a) consentimiento, b) ejecución de un contrato, c) obligación legal, d) intereses vitales, e) interés público y f) interés legítimo. La AEPD insiste en sus guías en que el responsable debe elegir la base más adecuada al tratamiento, y que el consentimiento no es la opción por defecto.

Casos típicos en los que NO se usa consentimiento:

  • Empleados: la base es la ejecución del contrato laboral (Art. 6.1.b) y el cumplimiento de obligaciones legales (Art. 6.1.c, p. ej. cotización a la Seguridad Social). Pedir consentimiento a un trabajador sería viciado por desequilibrio de poder, según doctrina reiterada del Comité Europeo de Protección de Datos (CEPD, Directrices 05/2020).
  • Clientes con contrato firmado: facturación, envío del producto y atención postventa se amparan en el Art. 6.1.b, no en consentimiento.
  • Obligaciones legales: prevención del blanqueo de capitales (Ley 10/2010), facturación electrónica, libros contables, conservación fiscal de 4 años (Art. 66 LGT). Todo esto va por Art. 6.1.c.
  • Videovigilancia con fines de seguridad: habitualmente interés legítimo (Art. 6.1.f) más cartel informativo, no consentimiento.

Se necesita formulario consentimiento expreso sobre todo en marketing directo, envío de newsletters, perfilado comercial, cesión a terceros con fines publicitarios, instalación de cookies no esenciales (Art. 22.2 LSSI-CE) y tratamientos de categorías especiales del Art. 9 RGPD (salud, biometría, datos sindicales, etc.). El criterio rápido: si el tratamiento se puede ejecutar sin que el interesado lo autorice porque hay contrato, ley u obligación previa, NO uses consentimiento. Si solo se justifica por la voluntad de la persona, sí.

Requisitos del consentimiento RGPD válido

El Art. 7 RGPD desarrolla las cuatro características del consentimiento del Art. 4.11. Cualquier consentimiento rgpd pdf que falle en una de ellas es nulo y la AEPD lo declarará no prestado.

  1. Libre: sin coacción, desequilibrio ni condicionar la prestación de un servicio a un consentimiento que no sea estrictamente necesario para ese servicio (Art. 7.4 RGPD). Ejemplo de mala práctica: "Si no aceptas el envío de publicidad, no puedes registrarte". Eso vicia el consentimiento.
  2. Específico: granular por finalidad. Si tratas datos para enviar la newsletter, perfilar al cliente y cederlos a un partner, necesitas tres consentimientos diferenciados, no uno global. La AEPD ha sancionado expresamente el "consentimiento paraguas" en sus guías y resoluciones.
  3. Informado: el interesado debe conocer la identidad del responsable, las finalidades, la base jurídica y sus derechos antes de firmar (ver siguiente H2).
  4. Inequívoco mediante acción afirmativa clara: nada de casillas premarcadas, nada de silencio entendido como aceptación. El Tribunal de Justicia de la Unión Europea (TJUE) lo dejó claro en la sentencia Planet49 (asunto C-673/17, 1 de octubre de 2019): una casilla marcada por defecto no constituye consentimiento válido bajo el RGPD ni bajo la Directiva ePrivacy.

Además, el Art. 7.1 RGPD asigna la carga de la prueba al responsable, no al interesado. Y el Art. 7.2 exige que la solicitud, cuando se presente junto con otros asuntos (p. ej. dentro de unas condiciones generales), sea claramente distinguible del resto del texto, en forma comprensible y de acceso fácil, con lenguaje claro y sencillo. Una cláusula sepultada en el párrafo 14 de unas condiciones de 30 páginas no cumple este requisito.

Información mínima que debe acompañar al consentimiento

Firmar un modelo de consentimiento informado RGPD sin entregar al titular la información del Art. 13 RGPD invalida el consentimiento, porque deja de ser "informado". El Art. 13.1 y 13.2 RGPD enumeran los datos mínimos que debes facilitar en el momento de recoger los datos:

  • Identidad y datos de contacto del responsable del tratamiento (y, en su caso, del representante).
  • Datos de contacto del delegado de protección de datos (DPD), si la organización lo tiene designado.
  • Fines del tratamiento y base jurídica de cada uno.
  • Intereses legítimos perseguidos cuando la base sea el Art. 6.1.f.
  • Destinatarios o categorías de destinatarios de los datos.
  • Transferencias internacionales fuera del Espacio Económico Europeo, con la garantía aplicable (p. ej. Cláusulas Contractuales Tipo o el Data Privacy Framework UE-EE.UU. que sustituyó al Privacy Shield).
  • Plazo de conservación o criterios para determinarlo.
  • Derechos del titular: acceso, rectificación, supresión, limitación, oposición y portabilidad (Arts. 15 a 22 RGPD).
  • Derecho a retirar el consentimiento en cualquier momento (Art. 7.3 RGPD).
  • Derecho a presentar reclamación ante la Agencia Española de Protección de Datos.
  • Si la comunicación de los datos es requisito legal o contractual y las consecuencias de no facilitarlos.
  • Existencia de decisiones automatizadas, incluida la elaboración de perfiles (Art. 22 RGPD), e información sobre la lógica aplicada.

La plantilla descargable de Cardeseo incluye todos estos bloques prerredactados con los huecos editables marcados con corchetes [ ].

Cómo rellenar el modelo paso a paso

  1. Identifica al responsable: rellena razón social, CIF, domicilio y email de contacto. Si tienes DPD designado y comunicado a la AEPD, añade su correo en el campo correspondiente.
  2. Describe la finalidad del tratamiento de forma concreta y separada. Una finalidad por bloque. Evita fórmulas genéricas tipo "mejorar nuestros servicios".
  3. Distingue cada consentimiento con su propia casilla (vacía, no marcada). Una casilla para newsletter, otra para cesión a terceros, otra para perfilado.
  4. Firma manuscrita o electrónica del interesado con fecha. La firma electrónica cualificada eIDAS (Reglamento UE 910/2014) es la opción más sólida probatoriamente.
  5. Archiva el documento firmado en el sistema documental de la empresa junto con los metadatos de fecha, IP (si es online) y versión del texto consentido. Conserva mientras dure el tratamiento más el plazo de prescripción.

Diferencia con la cláusula corta del formulario web

Este modelo consentimiento protección de datos es el documento "largo" de consentimiento informado: el que el titular firma para autorizar un tratamiento concreto y delimitado, con toda la información del Art. 13 RGPD incorporada. No debes confundirlo con la cláusula corta que se incrusta en un formulario web (newsletter, contacto, suscripción). Esa cláusula reducida la tienes en la plantilla de cláusula para formulario RGPD del mismo cluster RGPD de Cardeseo: enlaza por capa de información (1ª capa breve + 2ª capa con política completa).

Regla práctica: para consentimiento puntual offline (autorización de imagen, tratamiento de datos de salud en una clínica, autorización paterna para menores en colegios, datos biométricos en gimnasios) usa este modelo PDF firmado. Para captación online masiva usa cláusula corta + checkbox vacío + enlace a política de privacidad. Ambos cumplen el RGPD, pero responden a casos de uso distintos. Confundirlos suele acabar en sanción por exceso o por defecto de información.

Errores frecuentes en el consentimiento

La AEPD repite en sus memorias anuales los mismos errores en consentimientos de pymes, y todos son evitables con una buena plantilla consentimiento datos personales:

  • Casillas premarcadas (preticked boxes): nulas desde Planet49 (TJUE, C-673/17). Si tu formulario online tiene el checkbox marcado por defecto, no tienes consentimiento.
  • Consentimiento global sin granularidad: una única casilla para "acepto el tratamiento de mis datos para todos los fines" no cumple el Art. 7.2 RGPD. La AEPD exige una casilla por finalidad.
  • Omitir información del Art. 13: pedir consentimiento sin explicar quién es el responsable, para qué se usan los datos y cuáles son los derechos del titular invalida el documento.
  • No permitir retirada fácil: si darse de alta requiere un clic pero darse de baja requiere mandar un burofax, infringes el Art. 7.3 RGPD.
  • Condicionar el servicio: no puedes negar la entrega del producto que el cliente ha comprado porque rechace la newsletter. Es consentimiento forzado (Art. 7.4 RGPD).
  • Confundir consentimiento con base contractual: pedir consentimiento al empleado para gestionar su nómina es absurdo y abre la puerta a que lo retire y bloquee el contrato. La base es Art. 6.1.b, no Art. 6.1.a.
  • No conservar la prueba: sin documento firmado y trazable (versión + fecha + identidad del firmante), el responsable pierde cualquier inspección AEPD por defecto.

Cómo retirar el consentimiento

El Art. 7.3 RGPD establece que el interesado tiene derecho a retirar su consentimiento en cualquier momento, y que la retirada debe ser tan fácil como la prestación, sin coste y sin sufrir consecuencias en otros tratamientos basados en una base jurídica diferente. Esto significa que si el alta se hizo con un checkbox web, la baja debe poder hacerse con otro checkbox o enlace de un solo clic, no obligando al usuario a llamar por teléfono, escribir una carta certificada o navegar tres niveles de menú.

En la práctica, el responsable debe ofrecer al menos un canal directo de retirada: enlace "darse de baja" en cada email comercial (Art. 21 LSSI-CE para comunicaciones electrónicas), email a un buzón identificado, o panel de preferencias en el área privada del usuario. La retirada no tiene efectos retroactivos: el tratamiento realizado antes de la retirada sigue siendo lícito siempre que el consentimiento inicial fuese válido. Sí obliga al responsable a cesar inmediatamente todo nuevo tratamiento basado en ese consentimiento. Y si no hay otra base jurídica que ampare conservar los datos (p. ej. obligación legal de conservación contable), debe procederse a su supresión conforme al Art. 17 RGPD.

Descargar el modelo en PDF

Modelo consentimiento RGPD

Documento PDF editable con todos los apartados del Art. 13 RGPD y casillas granulares por finalidad.

Descarga directa, sin formulario · Descargar →

Descarga gratuita, sin registro y bajo licencia de uso interno. Si necesitas adaptarla a tu sector (sanitario, educativo, marketing, RR. HH., menores de edad), el Departamento Legal de Cardeseo puede personalizarla dentro del onboarding RGPD.

Sanciones por consentimiento defectuoso

Las infracciones por consentimiento inválido se sancionan en los artículos 83.4 y 83.5 RGPD. El Art. 83.5 RGPD castiga las infracciones de los principios básicos del tratamiento (incluido el consentimiento del Art. 7) con multas de hasta 20.000.000 € o, tratándose de una empresa, hasta el 4 % del volumen de negocio total anual global del ejercicio anterior, la cuantía que sea mayor. El Art. 83.4 RGPD, para infracciones de menor gravedad como la falta de procedimientos del Art. 24 o Art. 25 RGPD, sube hasta 10.000.000 € o el 2 % del volumen de negocio anual global.

En la práctica de la AEPD frente a pymes españolas, los importes orientativos que se vienen observando en expedientes recientes por consentimiento defectuoso (envíos comerciales sin opt-in, casillas premarcadas, falta de información del Art. 13) se mueven entre 5.000 € y 100.000 €, sin perjuicio de los topes legales superiores. La AEPD aplica los criterios de graduación del Art. 83.2 RGPD: naturaleza, gravedad y duración de la infracción, intencionalidad, medidas adoptadas para mitigar daños, grado de cooperación con la autoridad y reincidencia. La LOPDGDD (LO 3/2018) añade en su Art. 76 criterios específicos para el ordenamiento español y, en su Art. 39, mantiene el régimen de prescripción de las infracciones (1 a 3 años según gravedad).

Preguntas frecuentes

¿Cómo redactar un consentimiento informado RGPD válido?

Un consentimiento informado RGPD válido debe identificar al responsable, describir cada finalidad por separado, incluir la información del Art. 13 RGPD, ofrecer casillas vacías por finalidad y permitir la retirada tan fácil como la aceptación. La plantilla PDF de Cardeseo ya integra todos estos bloques.

¿Cuál es la diferencia entre consentimiento expreso y tácito?

El RGPD solo admite el consentimiento expreso mediante acción afirmativa clara (Art. 4.11). El consentimiento tácito (silencio, inactividad o casillas premarcadas) no es válido en la Unión Europea desde la sentencia Planet49 del TJUE (C-673/17). El interesado debe hacer algo: marcar, firmar, pulsar.

¿Qué pasa si no tengo el consentimiento por escrito?

Según el Art. 7.1 RGPD la carga de la prueba recae en el responsable. Si no puedes acreditar el consentimiento ante la AEPD (con documento firmado, log con IP y timestamp o registro en CRM), se considera no prestado y el tratamiento es ilícito, exponiéndote a sanciones del Art. 83 RGPD.

¿Cómo retirar el consentimiento de protección de datos?

El Art. 7.3 RGPD obliga al responsable a permitir retirar el consentimiento por un canal tan sencillo como el utilizado para prestarlo, sin coste y sin consecuencias en otros servicios. Habitualmente basta con enlace "darse de baja" en cada email o email al buzón de protección de datos.

¿Es válida una casilla marcada por defecto?

No. El TJUE en el asunto Planet49 (C-673/17, sentencia de 1 de octubre de 2019) y la AEPD en su Guía del consentimiento son claros: una casilla premarcada no constituye acción afirmativa clara y por tanto no cumple el Art. 4.11 RGPD. El consentimiento obtenido así es nulo.

¿Necesito consentimiento para tratar datos de empleados?

No, en la mayoría de casos. La base jurídica para tratar datos de empleados es la ejecución del contrato laboral (Art. 6.1.b RGPD) y el cumplimiento de obligaciones legales (Art. 6.1.c). Pedir consentimiento a un trabajador sería viciado por desequilibrio de poder, según el CEPD (Directrices 05/2020).

¿Cuánto tiempo debo conservar el consentimiento firmado?

Mientras dure el tratamiento y el plazo de prescripción de las acciones que de él se deriven (habitualmente 3-5 años desde el cese del tratamiento, según la base contractual aplicable). La AEPD recomienda conservar siempre el documento firmado más los metadatos de versión y fecha.

Próximos pasos

Descargar el modelo consentimiento protección de datos pdf es el primer paso, no el último. Para una pyme la adecuación al RGPD requiere además: registro de actividades de tratamiento (Art. 30 RGPD), análisis de riesgos, contratos de encargado de tratamiento con cada proveedor (Art. 28), política de privacidad y aviso legal coherentes con LOPDGDD y LSSI-CE, gestión de derechos de acceso, rectificación y supresión, y protocolo de notificación de brechas en 72 horas (Art. 33 RGPD).

Si prefieres delegar todo el bloque RGPD en un equipo legal especializado, el Departamento Legal de Cardeseo ofrece su servicio de adecuación RGPD desde 249 €/año con cobertura completa: auditoría inicial, documentación legal redactada, registro de tratamientos, contratos con proveedores y soporte ante requerimientos de la AEPD. Disclosure: este es un servicio comercial de Cardeseo. También puedes combinarlo con otras plantillas operativas como el registro de jornada laboral en PDF si necesitas cubrir la obligación laboral del RD-ley 8/2019.

Otras plantillas del mismo bloque

← Volver a plantillasCalcular mi tarifa RGPD →