Ir al contenido
descubra Hilo Inteligencia
Guía Ley 25

Consentimiento

Las reglas quebequenses del consentimiento bajo la Ley 25 — qué constituye un consentimiento válido, cómo obtenerlo, documentarlo y retirarlo, más los casos especiales de información sensible y de menores.

Actualizado el 20 de abril de 20266 min de lecturaRedactado por Pascal Dupuisconsentimientoart. 12-14CAILPIPSP

El consentimiento es la piedra angular de la Ley 25. Sin consentimiento válido, la recopilación, el uso y la comunicación de información personal son ilegales — salvo en las excepciones previstas por la ley (autorización legal expresa, interés público, obligación legal, urgencia).

Este capítulo explica lo que la CAI y la LPIPSP exigen concretamente, con ejemplos aplicables a una PyME quebequense.

Las cinco cualidades de un consentimiento válido

El artículo 14 de la LPIPSP enumera cinco cualidades acumulativas — un consentimiento que no cumpla alguna de ellas es inválido y expone a la empresa a una sanción.

Cualidad Qué significa
Manifiesto Claro, sin ambigüedad. El silencio, la inacción o las casillas pre-marcadas no constituyen consentimiento.
Libre Dado sin presión, sin consecuencias negativas desproporcionadas en caso de rechazo. Condicionar un servicio esencial a un consentimiento no necesario = consentimiento viciado.
Informado La persona comprende por qué, por quién y en qué contexto. Las finalidades deben enunciarse en lenguaje sencillo.
Otorgado para fines específicos Un consentimiento cubre una finalidad precisa y debe solicitarse nuevamente para cualquier finalidad distinta.
Formulado en términos sencillos y claros Sin jerga jurídica, sin cláusulas ocultas en 30 páginas de términos y condiciones.

La prueba práctica

Hágase estas tres preguntas antes de considerar obtenido un consentimiento:

  1. ¿La persona realizó un gesto positivo explícito (clic, firma, casilla no pre-marcada)?
  2. ¿La persona sabe a qué consiente, quién utilizará la información y durante cuánto tiempo?
  3. ¿La persona puede rechazar sin perder el acceso al servicio principal?

Si alguna respuesta es «no», el consentimiento no es válido bajo la Ley 25.

La regla del consentimiento separado (art. 14 párr. 2)

El consentimiento debe solicitarse para cada finalidad en términos sencillos y claros. Debe presentarse de forma distinta a cualquier otra información comunicada a la persona afectada.

En términos concretos:

  • No conforme: una frase «Al crear su cuenta, consiente nuestras condiciones de uso y política de privacidad» con un solo botón Aceptar.
  • Conforme: el botón Crear cuenta está separado de una casilla explícita «Acepto que Hilo Tech comparta mi información con [socio] con fines de [finalidad]» — no pre-marcada.

La CAI ha indicado claramente que el consentimiento agrupado por defecto (un solo OK para varias finalidades) no cumple con la exigencia por finalidad.

Consentimiento para información sensible (art. 12)

La información sensible — salud, biometría, datos financieros detallados, vida íntima, opiniones políticas o religiosas — exige un consentimiento expreso. Esto significa:

  • Un gesto positivo específicamente vinculado a esta información (casilla dedicada, firma separada).
  • Una mención explícita de que la información es de naturaleza sensible.
  • Un plazo de conservación claramente indicado.

En la práctica, un formulario médico de admisión o un expediente de RR.HH. que contenga información de salud debe incluir una cláusula separada de consentimiento expreso para esa categoría — distinta del consentimiento general a la política de privacidad.

Consentimiento de menores (art. 4.1)

Desde septiembre de 2023:

  • Menores de 14 años: el consentimiento debe ser otorgado por el titular de la autoridad parental o el tutor.
  • A partir de 14 años: el menor puede consentir por sí mismo, con ciertos matices para la información de salud (regulada también por la Ley sobre los servicios de salud y los servicios sociales).

Para una PyME que recopila inscripciones a un campamento de verano, un servicio de tutoría en línea o un programa de formación juvenil, esta regla lo cambia todo: la casilla «Tengo más de 13 años» ya no es suficiente — debe existir un mecanismo de validación parental.

Retiro del consentimiento (art. 8.3)

Toda persona puede retirar su consentimiento en cualquier momento, con efecto prospectivo. La empresa debe:

  1. Proporcionar un medio sencillo y gratuito para retirar el consentimiento (enlace de baja, formulario en línea, correo electrónico dedicado).
  2. Informar a la persona de las consecuencias del retiro — por ejemplo, si impide la prestación del servicio principal.
  3. Cesar la recopilación y el uso en cuanto se reciba el retiro.
  4. No suprimir retroactivamente los datos ya utilizados con consentimiento válido — el retiro es prospectivo, no retroactivo.

El retiro del consentimiento no debe ser más complicado que su obtención. Si el registro se hace con un clic, la baja debe hacerse con un clic.

Las excepciones — cuándo no se requiere consentimiento

La LPIPSP prevé varias situaciones en las que una información puede recopilarse, utilizarse o comunicarse sin consentimiento:

  • Obligación legal (art. 18 párr. 1 inc. 1): leyes fiscales, Código del Trabajo, colegio profesional, mandatos judiciales.
  • Ejecución de un contrato (art. 13): datos necesarios para ejecutar el servicio acordado (entregar un paquete = dirección; facturar = datos de contacto).
  • Interés serio y legítimo (art. 12 párr. 3): uso compatible con la finalidad inicial, sin efecto desproporcionado sobre la privacidad.
  • Protección de la vida (art. 18 párr. 2): urgencia médica, seguridad pública.
  • Estudio, investigación, estadística (art. 21): sujeto a requisitos de anonimización y aprobación.

Estas excepciones son de interpretación restrictiva. En caso de duda, consulte a su abogado.

Documentación del consentimiento

En una investigación, la CAI puede exigir la prueba de que se obtuvo un consentimiento válido. En la práctica, su sistema debe conservar:

  • La fecha y hora del consentimiento.
  • El texto exacto mostrado a la persona (no un enlace a un documento que pueda haber cambiado).
  • El mecanismo utilizado (casilla marcada, firma, grabación de voz, etc.).
  • El identificador del usuario (correo, UUID) y, si procede, la dirección IP.
  • La versión de la política vigente al momento del consentimiento.

Un simple «el usuario aceptó» en un campo booleano no basta — debe poder reconstruir lo que la persona vio y aprobó.

Nuestro rol del lado TI

En un proyecto de cumplimiento, Hilo Tech configura las herramientas que registran estos elementos (plataformas de consentimiento tipo Cookiebot, OneTrust; banners propios; sistemas CRM con campos de auditoría; Microsoft 365 audit log). La redacción del texto de consentimiento la realiza el abogado del cliente — nosotros integramos la formulación que él aprueba.

Lista de verificación rápida

  • Cada finalidad de recopilación tiene su propio consentimiento (sin casillas agrupadas).
  • Las casillas están no pre-marcadas por defecto.
  • El texto del consentimiento está redactado en español (o francés) claro, sin jerga.
  • Se obtiene un consentimiento expreso separado para información sensible.
  • Los menores de 14 años tienen un mecanismo de validación parental.
  • Se publica un mecanismo sencillo y gratuito de retiro.
  • Cada consentimiento lleva marca de tiempo y se archiva junto con el texto exacto mostrado.

Errores frecuentes

  • El consent wall europeo pegado tal cual. — Muchas PyMEs copian un banner GDPR en inglés sin adaptarlo. Falta el francés, el enlace apunta a la versión inglesa de la política y las categorías no corresponden a lo que la CAI espera.
  • Consentimiento obtenido de una vez para siempre. — Un consentimiento válido al momento de inscripción no cubre una nueva finalidad (ej. transferencia a un socio comercial no mencionado originalmente). Hay que solicitarlo de nuevo.
  • La casilla pre-marcada «Acepto recibir comunicaciones de marketing». — Inválida desde septiembre de 2023. El usuario debe realizar un acto positivo.
  • Ausencia de archivado. — El consentimiento solo es demostrable durante una investigación. Si su sistema no conserva la marca de tiempo + el texto mostrado, es su palabra contra la denuncia.

Preguntas que debe formular a su asesor jurídico

  • ¿Nuestros banners de cookies cumplen con los requisitos quebequenses específicos, distintos del GDPR?
  • ¿Qué redacción de consentimiento expreso utilizar para nuestros datos de salud (si consultorio médico, farmacia, servicio de telemedicina)?
  • ¿Tenemos una base legal distinta del consentimiento para ciertas finalidades (interés legítimo, ejecución de contrato)?
  • ¿Cuál es el plazo razonable de conservación de las pruebas de consentimiento propiamente dichas?
AnteriorAlcance y definicionesSiguienteNotificación de incidentes de confidencialidad
Volver al sumario de la colección Guía Ley 25

¿Preguntas sobre esta guía?

Pascal y Jérémie pueden responder directamente por correo o en una llamada de descubrimiento.

Escríbenos