El RGPD introduce importantes cambios con respecto a la antigua LOPD y, entre ellos están los nuevos requisitos sobre la obligación de informar.
En este artículo hablamos de:
Cambios en el Deber de Informar
Antes: LOPD
Todas las empresas están obligadas por ley a realizar una correcta gestión de esa información que, hasta ahora, estaba clasificada en tres tipos (bajo, medio o alto) en función de la clasificación establecida por la actual normativa española.
Eso implicaba que el total de empresas no sólo deban realizar una declaración de ficheros del tipo de documentación de su personal que tratan ante la Agencia de Protección de Datos, sino que deben contar con el Documento de Seguridad, según el cual se especifican los protocolos de actuación delante de la LOPD: quienes son los responsables de este tema, qué tipos de ficheros se tendrán, número de copias de seguridad de la información, …
La antigua LOPD establecía las siguientes obligaciones respecto de la información que se ha de facilitar a las personas interesadas en el momento en que se soliciten los datos:
- existencia del fichero o tratamiento, su finalidad y destinatarios
- carácter obligatorio o no de la respuesta, así como de sus consecuencias
- posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
- identidad y datos de contacto del responsable del tratamiento.
Ahora: RGPD
- datos de contacto del Delegado de Protección de Datos (si estamos obligados a tener un DPO)
- base jurídica o legitimación para el tratamiento
- plazo o los criterios de conservación de la información
- existencia de decisiones automatizadas o elaboración de perfiles
- previsión de transferencias a Terceros Países
- derecho a presentar una reclamación ante las Autoridades de Control
Y además, en el caso de que los datos no se obtengan del propio interesado, también se deberá informar de:
- origen de los datos
- categorías de los datos
Por ello, es preciso que los Responsables del tratamiento revisen y adapten los modelos o formularios existentes antes de la plena aplicación del RGPD para cumplir con esos nuevos requisitos.
Quién debe informar y cuándo
La obligación de informar a las personas interesadas sobre los aspectos referentes al tratamiento de sus datos corresponde al Responsable del Tratamiento.
No obstante a la hora de recoger los datos nos podemos encontramos con dos situaciones:
Que los datos nos los del propio interesado
Se deberá poner a disposición de los interesados toda la información con anterioridad a la recogida de los datos.
Los datos no se obtengan del propio interesado
En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:
- antes de un mes desde que se recogieron esos datos personales
- en la primera comunicación con el interesado
- previamente a que los datos, en su caso, se hayan comunicado a otros destinatarios
Excepciones
No será necesario informar cuando el interesado ya disponga de la información, ni tampoco, en el caso de que los datos no procedan del interesado, cuando:
- la comunicación resulte imposible o suponga un esfuerzo desproporcionado
- el registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros
- cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto
Dónde informar
Las formas de informar a los interesados se deberán adaptar a los diferentes procedimientos de recogida de la información, como por ejemplo:
- formularios en papel
- formularios en la web
- mediante entrevista telefónica o presencial
Las características de cada uno de los medios varían en cuanto a extensión, existencia de espacio, claridad, posibilidad de relacionar informaciones, etc.
Como informar: la información por capas
En cualquier caso, la información a las personas interesadas debe reunir unos requisitos básicos que son:
- con un lenguaje claro y sencillo
- de forma concisa, transparente, inteligible y de fácil acceso
Deberemos también usarlo como método de prueba ante el afectado que nos reclamen
Tratamientos adicionales
Se puede dar el caso de que una vez informado el interesado sobre los tratamientos, realicemos una nueva actividad con un nuevo tratamiento.
En ese caso, también deberemos informar al afectado, y para mayor comodidad podremos hacerlo por correo postal o mensajería electrónica.
La información por capas
Para cumplir con la exigencia que establece el RGPD de mayor información se recomienda implantar un modelo de información por capas o niveles.
Las características de este modelo son:
- Presentar en un primer nivel una información básica :
- forma resumida
- en el mismo momento
- en el mismo medio en que se recojan los datos
- Remitir a la información adicional en un segundo nivel:
- presentación más detallada del resto de las informaciones
- utilización de un medio más adecuado para su presentación, comprensión y, si se desea, archivo
Es decir, como ejemplo práctico podríamos poner a una página web en el primer momento nos encontramos con la primera capa y luego accediendo a otro enlace a la segunda capa
Finalidad
La finalidad de usar este información multinivel se divide en dos:
- facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios
- conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ninguna disminución de los principios de licitud, lealtad y transparencia que establece el RGPD
Primera capa: información básica
Esta primera información básica se presentará de forma visible para el usuario.
Deberá también ser identificado por el título “Información básica sobre protección de datos”.
Esta primera capa deberá incluir los siguiente epígrafes:
Responsable
Aquí se debe indicar el nombre del Responsable del tratamiento, es decir, la entidad o autónomo que trata datos personales de terceros, por lo tanto serán la denominación de nuestra empresa.
Finalidad
Daremos una descripción sencilla de los fines del tratamiento, es decir , para que tratamos los datos.
Legitimación
Aquí deberemos incluir la base jurídica del tratamiento, es decir , el por qué tratamos los datos.
El RGPD establece como bases jurídicas:
- “ejecución de un contrato”
- “cumplimiento de una obligación legal”
- “misión en Interés público”
- “ejercicio de Poderes Públicos”
- “interés legítimo del Responsable”
- “interés legítimo de un tercero”
- “consentimiento del interesado”
Destinatarios
Aquí notificaremos la previsión o no de cesiones o de transferencias internacionales.
Derechos
¡Este es clave!
Deberemos hacer referencia al ejercicio de derechos de acceso, rectificación o supresión de los datos.
Procedencia
En el caso de que los datos recabados no provengan del interesado, se deberá indicar su procedencia.
Segunda capa: información adicional
En este segunda capa se debe completar la anterior información dada.
También se podrá añadir información adicional que requiere el RGPD y que no se encontraba en la primera capa.
Como antes comentábamos, el lenguaje que se use debe de ser :
- claro
- conciso
- comprensible
Además se podrá añadir también información adicional sobre garantías y medidas adicionales aplicadas en la entidad que contribuyen a mejorar la protección de datos personales y a generar confianza en los usuarios.
Responsable
Aunque la identidad del Responsable del tratamiento ya se ha indicado en la primera capa, aquí se debe completar su información, incorporando los siguientes datos:
- identidad y datos de contacto del Responsable
- en su caso, de su representante
- datos de contacto del Delegado de Protección de Datos
- dirección postal
- dirección electrónica
Finalidad
Además de la finalidad resumida ofrecida en la primera capa, debe informarse con mayor detalle de:
- el plazo durante el cual se conservarán los datos personales
- los criterios utilizados para determinar este plazo
- existencia de decisiones automatizadas
- lógica aplicada (la forma de hacerlo)
- consecuencias previstas del tratamiento
Legitimación
La información dada en este apartado será diferente según estemos legitimados para tratar los datos personales de terceros:
Ejecución de un contrato
Se hará mención al contrato o tipo de contrato de que se trate, con el detalle suficiente para que no quepa ninguna ambigüedad sobre lo que se refiere.
Cumplimiento de una obligación legal
Deberá hacerse constar, sin ambigüedad, cuál es la norma, con rango de Ley, que impone la obligación
Ejercicio de poderes públicos
Se hará constar, sin ambigüedad, cuál es la norma, con rango de Ley, que confiere los poderes públicos o califica la misión como de interés público.
Interés legítimo del Responsable o de un tercero
Se deberán detallar cuáles son esos intereses.
Consentimiento del interesado
Cuando la legitimación para la finalidad principal no encuentre acomodo en ninguna de las bases jurídicas anteriores, deberá solicitarse el consentimiento del interesado para el tratamiento de sus datos personales, y así se hará constar.
Destinatarios
Si se ha previsto una comunicación de datos personales, legítima por supuesto, se debe informar :
- Identidad de los destinatarios si están claramente identificados
- Categorías de los destinatarios, si estos no están determinados previamente
También es conveniente informar también de la existencia de Encargados de Tratamiento.
Cuando se haya previsto transferir datos personales a un tercer país u organización internacional, se deberá informar a los interesados, además, de las condiciones que afectan a la transferencia, en particular, la existencia o ausencia de una decisión de adecuación de la Comisión respecto del tercer país u organización internacional.
Derechos
Se deberá ofrecer la información sobre los derechos que le asisten a las personas interesadas, en relación con el Responsable, de acuerdo con el RGPD y que son:
- Solicitar el acceso a los datos personales relativos al interesado,
- Instar su rectificación o supresión
- Pedir la limitación de su tratamiento
- Oponerse al tratamiento
- Derecho a la portabilidad de los datos
El Responsable deberá informar claramente sobre cómo puede el interesado ejercer materialmente estos derechos, mediante la puesta a su disposición de modelos o formularios y especificando la forma de ponerse en contacto para formular su solicitud. Opcionalmente, puede remitirse al interesado a la Autoridad de Control competente para obtener información adicional acerca de sus derechos.
También deberá informar, en el caso de que se haya otorgado el consentimiento para alguna finalidad específica, que tiene derecho a retirar el consentimiento en cualquier momento.
Procedencia
Este punto solo deberá de incluirse en el casado de que los datos personales no hayan sido obtenidos del interesado.
Pueden proceder de alguna cesión legítima o de fuentes de acceso al público.
La información a facilitar es, en este caso:
- la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público disponibles sin restricciones
- las categorías de datos personales de que se trate, con especial indicación de los datos especialmente protegidos.
En resumen
Hemos visto, por tanto que el RGPD amplía considerablemente la necesidad de informar a los afectados sobre los datos que tratamos, como los tratamos y por qué los tratamos
Así que deberemos cambiar todas las cláusulas de información a los afectados.