Entre las nuevas obligaciones que introdujo el RGPD, se encuentra el deber de informar a los interesados de todo lo relacionado con la recogida y tratamiento de sus datos personales. En este artículo explicaremos en qué consiste el deber de informar del RGPD y cómo debe llevarse a cabo.
En este artículo hablamos de:
¿Qué es el deber de informar en el RGPD?
El deber de informar, recogido en los artículos 13 y 14 del RGPD, es la forma en que se da cumplimiento al principio de transparencia en la protección de datos, puesto que consiste en dar a los interesados (los titulares de los datos) toda la información relativa a la recogida y tratamiento de sus datos, normalmente con carácter previo a dicha recogida y tratamiento, como es en el momento de recabar el consentimiento expreso del interesado, o lo más pronto posible, si el tratamiento de datos no está basado en el consentimiento, sino en alguna de las condiciones contempladas en el artículo 6 del RGPD.
La LOPD actual recoge también, en su artículo 11, el deber de informar al interesado en los términos indicados en los citados artículos 13 y 14 del RGPD.
¿De qué se debe informar en protección de datos?
Como hemos señalado, el deber informar en protección datos está establecido en los artículos 13 y 14 del RGPD, que nos indican toda la información que se debe suministrar a los interesados cuando se va a proceder a recoger y tratar sus datos personales, cuando los datos los suministran ellos (art. 13) o cuando se obtienen por otra vía (art. 14).
Así, cuando los datos personales se obtengan del propio interesado, se deberá informar de:
- Identidad y datos de contacto del responsable del tratamiento y, si procede, del corresponsable y del Delegado de Protección de Datos (DPO).
- La finalidad o finalidades del tratamiento y la base jurídica del mismo.
- Si el tratamiento se basa en el interés legítimo del responsable o un tercero (art. 6.1.f del RGPD), indicar dichos intereses legítimos.
- Destinatarios o categorías de destinatarios de los datos personales.
- Si el responsable tiene intención de realizar transferencias internacionales de datos a terceros países (fuera de la UE) y las garantías correspondientes.
- Plazos de conservación de los datos personales (siempre que sea posible y si no, los criterios usados para determinar dicho plazo).
- La vía para ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento (derecho ARSULIPO).
- El derecho a revocar el consentimiento por parte del interesado, cuando el tratamiento esté basado en el art. 6.1.a o el art. 9.2.a del RGPD.
- Derecho para reclamar infracciones o vulneraciones ante una autoridad de control (en España es la AEPD, Agencia Española de Protección de Datos).
- Si la aportación de datos personales es un requisito legal o contractual o necesario para suscribir un contrato y el interesado está informado de las consecuencias de no facilitar los datos personales.
- Si los datos se emplearán en sistemas de decisiones automatizadas, como la elaboración de perfiles, información relativa sobre la lógica aplicada, importancia y consecuencias previstas de dicho tratamiento para el interesado.
Cuando los datos personales no se hayan obtenido del interesado se le deberá suministrar la siguiente información:
- Identidad y datos de contacto del responsable del tratamiento y, si procede, del corresponsable y del DPO.
- Finalidad del tratamiento y la base jurídica que lo legitima.
- Categorías de datos personales que serán tratadas.
- Destinatarios o categorías de destinatarios de los datos personales.
- La intención de realizar transferencias internacionales de datos y la información relativa a las garantías correspondientes.
- El plazo de conservación de los datos.
- Los intereses legítimos si el tratamiento no se basa en el consentimiento.
- La vía para ejercer los derechos ARSULIPO.
- El derecho a revocar el consentimiento del interesado.
- El derecho a reclamar ante la AEPD.
- Si los datos se emplearán en sistemas de decisiones automatizadas, como la elaboración de perfiles, información relativa sobre la lógica aplicada, importancia y consecuencias previstas de dicho tratamiento para el interesado.
En ambos casos, si el responsable, posteriormente, planea usar los datos con una finalidad distinta para la que se recabaron al principio, deberá informar al interesado sobre esta nueva finalidad, cumpliendo los mismos requisitos citados más arriba y con carácter previo a realizar el nuevo tratamiento.
Cómo cumplir con el deber de informar del RGPD
Para cumplir con el deber de informar RGPD, la información se deberá suministrar de forma concisa, comprensible, empleando un lenguaje claro y sencillo, especialmente en el caso de que los interesados sean niños. Además, la información relativa al tratamiento de datos personales debe ser accesible de forma sencilla, es decir, los interesados deben poder llegar a ella con el menor esfuerzo posible.
Esto quiere decir que se deben evitar tecnicismos, ambigüedades o vaguedades respecto al tratamiento de datos personales y que, en la medida de lo posible, se facilitará la información a través de un documento o un enlace que lleve a ella.
La información se puede facilitar de diferentes formas, dependiendo del medio a través del cual se recojan o traten los datos; por ejemplo, en papel, como información anexa a contratos o formularios, o en una página web para recoger la política de privacidad.
A la vista de la información que se debe suministrar a los interesados, cumplir adecuadamente con el deber de informar del RGPD, puede dar lugar a tener que suministrar extensos documentos cuando se recaban los datos personales, algo que, en el caso, por ejemplo, de páginas web, en concreto los formularios web, afecta al propio diseño y funcionalidad de la página.
Para solventar esta problemática en la guía de la AEPD sobre el deber de informar se recomienda recurrir a la denominada «información por capas o niveles».
Las capas informativas
La información por capas o niveles consiste en suministrar la información al interesado a través de una primera capa con la información básica y una segunda capa adicional, en la que se ofrece toda la información en detalle relativa al tratamiento de datos.
Así, la primera capa informativa estará visible para el interesado en el mismo momento en que se recaben los datos, e incluirá los siguientes epígrafes para aglutinar de forma resumida la información básica:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación del tratamiento
- Destinatarios de los datos
- Derechos ARSULIPO
- Procedencia (cuando los datos recabados no proceden del interesado)
Por su parte, la segunda capa detallará en profundidad toda la información básica suministrada, tal y como hemos indicado más arriba. Puesto que la segunda capa debe ser lo más detallada posible, se podrá incluir información adicional sobre garantías y medidas adicionales aplicadas en la entidad, que contribuyen a mejorar la protección de datos personales y generar confianza en los usuarios.
A modo de esquema, la segunda capa contendrá los siguientes epígrafes (añadiendo toda la información que no hubiese aparecido en la primera capa y que sea relevante):
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- Destinatarios de los datos
- Transferencias internacionales
- Derechos ARSULIPO
- Procedencia de los datos:
- Fuente
- Categorías de datos
Un ejemplo de información en dos capas lo tenemos en los formularios web; la primera capa se incluye en el propio formulario y la segunda, que corresponde a la política de privacidad, se añade como un enlace en el formulario.
¿Quién debe informar al interesado?
La obligación de informar a las personas interesadas sobre los aspectos referentes al tratamiento de sus datos, corresponde al responsable del tratamiento, es decir, la persona jurídica o física que recaba y procede al tratamiento de datos.
¿Cuándo se debe informar al interesado?
En el caso de que los datos se obtengan del propio interesado, se debe cumplir con el deber de informar antes o en el mismo momento de la recogida de los datos.
En el supuesto de que los datos no se hayan obtenido del interesado, por ejemplo, por proceder de alguna cesión legítima o de fuentes de acceso público, el responsable deberá informar al interesado dentro un plazo razonable:
- Antes de un mes desde que se recogieron los datos.
- En la primera comunicación con el interesado.
- En su caso, previamente a que los datos se hayan comunicado a otros destinatarios.
¿Cuándo no es necesario informar al interesado?
No será necesario informar al interesado sobre el tratamiento de sus datos, cuando este ya disponga de la información, y tampoco en el caso en que los datos no procedan del interesado cuando:
- La comunicación resulte imposible o suponga un esfuerzo desproporcionado.
- El registro o la comunicación esté expresamente establecido por el Derecho de la UE o de los Estados miembros.
- Cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.
No cumplir con el deber de informar del RGPD es motivo de sanción
Finalmente, y para entender la importancia del deber de informar del RGPD, hay que señalar que no cumplir con él es motivo de sanción, tal y como recogen las infracciones de la LOPDGDD. En concreto:
- Se considera infracción leve no cumplir con el principio de transparencia de la información y el derecho de información del interesado por no facilitar toda la información exigida en los artículos 13 y 14 del RGPD. La sanción puede alcanzar hasta los 40.000 euros.
- Se considera infracción muy grave exigir el pago de un canon para facilitar la información al interesado a la que se refieren los artículos 13 y 14 del RGPD. La sanción correspondiente está entre los 300.001 y los 20 millones de euros.
Por lo tanto, si tratas datos personales, nunca obvies o descuides el cumplimiento del deber de informar del RGPD.