Blog de Protección de Datos para empresas y autónomos

Estás aquí: Inicio / RGPD / Obligaciones / Deber de información / Deber de informar en el nuevo Reglamento General de Protección de Datos

Deber de informar en el nuevo Reglamento General de Protección de Datos

El RGPD introduce importantes cambios con respecto a la actual LOPD y, entre ellos están los nuevos requisitos sobre la obligación de informar.

Cambios en el Deber de Informar

Antes: LOPD

Todas las empresas están obligadas por ley a realizar una correcta gestión de esa información que, hasta ahora, estaba clasificada en tres tipos (bajo, medio o alto) en función de la clasificación establecida por la actual normativa española.

Eso implicaba que el total de empresas no sólo deban realizar una declaración de ficheros del tipo de documentación de su personal que tratan ante la Agencia de Protección de Datos, sino que deben contar con el Documento de Seguridad, según el cual se especifican los protocolos de actuación delante de la LOPD: quienes son los responsables de este tema, qué tipos de ficheros se tendrán, número de copias de seguridad de la información, …

La LOPD establece las siguientes obligaciones respecto de la información que se ha de facilitar a las personas interesadas en el momento en que se soliciten los datos:

  • existencia del fichero o tratamiento, su finalidad y destinatarios
  • carácter obligatorio o no de la respuesta, así como de sus consecuencias
  • posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
  • identidad y datos de contacto del responsable del tratamiento.

Ahora: RGPD

A partir de ahora, el RGPD añade requisitos adicionales respecto a la obligación de informar a los interesados, extendiendo el concepto de Tratamiento, e incorporando, en líneas generales, los siguientes detalles:
  • datos de contacto del Delegado de Protección de Datos (si necesitamos un DPO)
  • base jurídica o legitimación para el tratamiento
  • plazo o los criterios de conservación de la información
  • existencia de decisiones automatizadas o elaboración de perfiles
  • previsión de transferencias a Terceros Países
  • derecho a presentar una reclamación ante las Autoridades de Control

Y además, en el caso de que los datos no se obtengan del propio interesado, también se deberá informar de:

  • origen de los datos
  • categorías de los datos

Por ello, es preciso que los Responsables del tratamiento revisen y adapten los modelos o formularios existentes antes de la plena aplicación del RGPD para cumplir con esos nuevos requisitos.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Quién debe informar y cuándo

La obligación de informar a las personas interesadas sobre los aspectos referentes al tratamiento de sus datos corresponde al Responsable del Tratamiento.

No obstante a la hora de recoger los datos nos podemos encontramos con dos situaciones:como se debe informar en el nuevo reglamento de proteccion de datos

Que los datos nos los del propio interesado

Se deberá poner a disposición de los interesados toda la información con anterioridad a la recogida de los datos.

Los datos no se obtengan del propio interesado

En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

  • antes de un mes desde que se recogieron esos datos personales
  • en la primera comunicación con el interesado
  • previamente a que los datos, en su caso, se hayan comunicado a otros destinatarios

Excepciones

No será necesario informar cuando el interesado ya disponga de la información, ni tampoco, en el caso de que los datos no procedan del interesado, cuando:

  • la comunicación resulte imposible o suponga un esfuerzo desproporcionado
  • el registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros
  • cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto

Dónde informar

Las formas de informar a los interesados se deberán adaptar a los diferentes procedimientos de recogida de la información, como por ejemplo:

  • formularios en papel
  • formularios en la web
  • mediante entrevista telefónica o presencial

Las características de cada uno de los medios varían en cuanto a extensión, existencia de espacio, claridad, posibilidad de relacionar informaciones, etc.

Como informar: la información por capas

En cualquier caso, la información a las personas interesadas debe reunir unos requisitos básicos que son:

  • con un lenguaje claro y sencillo
  • de forma concisa, transparente, inteligible y de fácil acceso

Deberemos también usarlo como método de prueba ante el afectado que nos reclamen

Tratamientos adicionales

Se puede dar el caso de que una vez informado el interesado sobre los tratamientos, realicemos una nueva actividad con un nuevo tratamiento.

En ese caso, también deberemos informar al afectado, y para mayor comodidad podremos hacerlo por correo postal o mensajería electrónica.

La información por capas

Para cumplir con la exigencia que establece el RGPD de mayor información se recomienda implantar un modelo de información por capas o niveles.

Las características de este modelo son:

  • Presentar en un primer nivel una información básica :
    • forma resumida
    • en el mismo momento
    • en el mismo medio en que se recojan los datos
  • Remitir a la información adicional en un segundo nivel:
    • presentación más detallada del resto de las informaciones
    • utilización de un medio más adecuado para su presentación, comprensión y, si se desea, archivo

Es decir, como ejemplo práctico podríamos poner a una página web en el primer momento nos encontramos con la primera capa y luego accediendo a otro enlace a la segunda capa

Finalidad

La finalidad de usar este información multinivel  se divide en dos:

  • facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios
  • conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ninguna disminución de los principios de licitud, lealtad y transparencia que establece el RGPD

Primera capa: información básica

Esta primera información básica se presentará de forma visible para el usuario.

Deberá también ser identificado por el título “Información básica sobre protección de datos”.

Esta primera capa deberá incluir los siguiente epígrafes:

Responsable

Aquí se debe indicar el nombre del Responsable del tratamiento, es decir, la entidad o autónomo que trata datos personales de terceros, por lo tanto serán la denominación de nuestra empresa.

Finalidad

Daremos una descripción sencilla de los fines del tratamiento, es decir , para que tratamos los datos.

Legitimación

Aquí deberemos incluir la base jurídica del tratamiento, es decir , el por qué tratamos los datos.

El RGPD establece como bases jurídicas:

  • “ejecución de un contrato”
  • “cumplimiento de una obligación legal”
  • “misión en Interés público”
  • “ejercicio de Poderes Públicos”
  • “interés legítimo del Responsable”
  • “interés legítimo de un tercero”
  • “consentimiento del interesado”
Destinatarios

Aquí notificaremos la previsión o no de cesiones o de transferencias internacionales.

Derechos

¡Este es clave!

Deberemos hacer referencia al ejercicio de derechos de acceso, rectificación o supresión de los datos.

Procedencia

En el caso de que los datos recabados no provengan del interesado, se deberá indicar su procedencia.

Segunda capa: información adicional

En este segunda capa se debe completar la anterior información dada.

También se podrá añadir información adicional que requiere el RGPD y que no se encontraba en la primera capa.

Como antes comentábamos, el lenguaje que se use debe de ser :

  • claro
  • conciso
  • comprensible

Además  se podrá añadir también información adicional sobre garantías y medidas adicionales aplicadas en la entidad que contribuyen a mejorar la protección de datos personales y a generar confianza en los usuarios.

Responsable

Aunque la identidad del Responsable del tratamiento ya se ha indicado en la primera capa, aquí se debe completar su información, incorporando los siguientes datos:

  • identidad y datos de contacto del Responsable
  • en su caso, de su representante
  • datos de contacto del Delegado de Protección de Datos
  • dirección postal
  • dirección electrónica
Finalidad

Además de la finalidad resumida ofrecida en la primera capa, debe informarse con mayor detalle de:

  • el plazo durante el cual se conservarán los datos personales
  • los criterios utilizados para determinar este plazo
  • existencia de decisiones automatizadas
  • lógica aplicada (la forma de hacerlo)
  • consecuencias previstas del tratamiento
Legitimación

La información dada en este apartado será diferente según estemos legitimados para tratar los datos personales de terceros:

Ejecución de un contrato

Se hará mención al contrato o tipo de contrato de que se trate, con el detalle suficiente para que no quepa ninguna ambigüedad sobre lo que se refiere.

Cumplimiento de una obligación legal

Deberá hacerse constar, sin ambigüedad, cuál es la norma, con rango de Ley, que impone la obligación

Ejercicio de poderes públicos

Se hará constar, sin ambigüedad, cuál es la norma, con rango de Ley, que confiere los poderes públicos o califica la misión como de interés público.

Interés legítimo del Responsable o de un tercero

Se deberán detallar cuáles son esos intereses.

Consentimiento del interesado

Cuando la legitimación para la finalidad principal no encuentre acomodo en ninguna de las bases jurídicas anteriores, deberá solicitarse el consentimiento del interesado para el tratamiento de sus datos personales, y así se hará constar.

Destinatarios

Si se ha previsto una comunicación de datos personales, legítima por supuesto, se debe informar :

  • Identidad de los destinatarios si están claramente identificados
  • Categorías de los destinatarios, si estos no están determinados previamente

También es conveniente informar también de la existencia de Encargados de Tratamiento.

Cuando se haya previsto transferir datos personales a un tercer país u organización internacional, se deberá informar a los interesados, además, de las condiciones que afectan a la transferencia, en particular, la existencia o ausencia de una decisión de adecuación de la Comisión respecto del tercer país u organización internacional.

Derechos

Se deberá ofrecer la información sobre los derechos que le asisten a las personas interesadas, en relación con el Responsable, de acuerdo con el RGPD y que son:

  • Solicitar el acceso a los datos personales relativos al interesado,
  • Instar su rectificación o supresión,
  • Pedir la limitación de su tratamiento,
  • Oponerse al tratamiento,
  • Derecho a la portabilidad de los datos;

El Responsable deberá informar claramente sobre cómo puede el interesado ejercer materialmente estos derechos, mediante la puesta a su disposición de modelos o formularios y especificando la forma de ponerse en contacto para formular su solicitud. Opcionalmente, puede remitirse al interesado a la Autoridad de Control competente para obtener información adicional acerca de sus derechos.

También deberá informar, en el caso de que se haya otorgado el consentimiento para alguna finalidad específica, que tiene derecho a retirar el consentimiento en cualquier momento.

Procedencia

Este punto solo deberá de incluirse en el casado de que los datos personales no hayan sido obtenidos del interesado.

Pueden proceder  de alguna cesión legítima o de fuentes de acceso al público.

La información a facilitar es, en este caso:

  • la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público disponibles sin restricciones
  • las categorías de datos personales de que se trate, con especial indicación de los datos especialmente protegidos.

de que debo informar en el nuevo rgpd

En resumen

Hemos visto, por tanto que el RGPD amplía considerablemente la necesidad de informar a los afectados sobre los datos que tratamos, como los tratamos y por qué los tratamos

Así que !Cuidado! Deberemos cambiar todas las clausulas de información a los afectados.

 

Esperamos haber resuelto todas tus dudas a la hora de lo que tienes que informar a los interesados, no obstante en Grupo Ático34, estaremos encantados de ayudarte en el tlfno. 91 489 64 19 o en el correo electrónico lopd@atico34.com

Artículos relacionados:

Contacto Solícitenos información cumplimentando el siguiente formulario

He leído y acepto elaviso legal y la política de privacidad

Cumple la LOPD de forma fácil.

¡Pide presupuesto en 2 min! ✓