deber de informar al interesado

La inminente entrada en vigor del Reglamento Europeo de Protección de Datos prevista para el próximo mes de mayo de 2018, supone un auténtico cambio cualitativo en la regulación sobre esta materia y en este artículo trataremos uno de los esenciales aspectos de la misma: el deber de informar al interesado acerca del tratamiento de sus datos personales.

En este sentido, lo primero que debe señalarse es que estamos no ante un  mero “deber” del responsable o encargado del tratamiento de los datos, si no ante un auténtico Derecho del interesado frente a aquellos y erga omnes. La Privacidad es un derecho fundamental en la UE y, por ende, todos los derechos que configuran y protegen aquella gozan de esta prerrogativa.

A mayor abundamiento, ésta materia en la regulación europea GDPR (global data protection regulation) está presidida por el principio de transparencia lo que obliga a los Responsables del Tratamiento a cumplir con la obligación dimanante de éste derecho de información que se refieren los artículos 12,13 y 14 del GDPR y que  aquí abordamos desde cinco cuestiones clave: qué datos, por quién y para qué se van a usar, cómo y cuándo.

¿Qué contenido tiene este deber de informar al interesado?

La información que debe comunicarse al interesado, una vez desaparecida la figura del fichero de datos, debe incluir necesariamente:

  • Qué Datos se van a recoger y/o tratar (qué)
  • la identificación del Responsable de los Datos del interesado y datos de contacto y/o en su caso del DPO (quién)
  • la Finalidad de la recogida y tratamiento de los datos (para qué)
  • la Legitimación para el tratamiento (legal, interés legítimo, consentimiento interesado,etc,..)
  • los Destinatarios (cesiones o transferencias) de los datos
  • los Derechos que asisten al interesado. Acceso, Rectificación, Cancelación, Oposición, Supresión, Limitación, Portabilidad
  • la Procedencia de los datos si no se han obtenido directamente del interesado
  • el Plazo durante el cual se van a conservar estos datos y cuando eso no sea posible, los criterios para poder determinar este plazo
  • el derecho a reclamar ante el órgano de control (AEPD)
  • existencia de decisiones automatizadas (incluida elaboración perfiles)

¿Por quién debe realizarse la comunicación de la información al interesado?

El Responsable del tratamiento de los datos o su representante son aquellos sujetos que deberán cumplir con ésta obligación legal ex artículos 13, 14 y concordantes GDPR.

¿Cómo se lleva a cabo el deber de informar al interesado?

La propia AEPD (agencia española de protección de datos) nos ofrece una guía para cómo realizar el contenido de ésta obligación por parte de los responsables del tratamiento https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php

La nueva normativa hará desparecer la famosa cláusula del actual art. 5 LOPD (En cumplimiento de lo que se dispone en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), le informamos que sus datos de carácter personal se recogerán en un fichero cuyo responsable es la sociedad NEWCO S.L., con domicilio en …………….. y ante el cual podrá ejercitar sus derechos de acceso….)

Y, en todo caso, podremos realizarla de diferentes maneras:

Información por capas o niveles:

  • Primer nivel: Información básica y resumida. En el mismo momento y medio en que se recojan los datos.
  • Segundo nivel: Información adicional y detallada.

En forma de tabla. Similar al de las tablas de información nutricional alimentaria, agrupando la información por epígrafes:

DERECHOS DEL INTERESADO RESPECTO DE LOS DATOS PERSONALES

 

Responsable
Finalidad
Legitimación
Destinatarios
Derechos interesado
Procedencia


¿Cuándo existe el deber de informar al interesado?

En el momento de la recogida u obtención cuando los datos personales sean facilitados por el propio interesado

Cuando NO se hayan obtenido del interesado, dentro del mes siguiente a su obtención, en la primera comunicación con el interesado o en la primera cesión de los mismo, en su caso.

Para finalizar debe señalarse que, como casi siempre, la existencia de deber de información por el Responsable del tratamiento o el ejercicio del derecho de información por parte del interesado contempla algunas excepciones:

  • Cuando se obtienen del interesado y éste ya disponga de la información
  • Cuando los datos no se obtienen del interesado
  • Cuando el interesado ya disponga de la información
  • La comunicación resulte imposible o suponga un esfuerzo desproporcionado Y EN PARTICULAR en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica (datos seudonimizados o anonimizados)
  • Previsión legal expresa de tratamiento o revelación, con medidas oportunas de protección.
  • Obligación de secreto legal o profesional

A modo de conclusión debe señalarse pues que será la aplicación de la nueva norma europea la que  irá construyendo “doctrina” “guías” o criterios interpretativos conforme los órganos de control deban ir pronunciándose acerca de vinculantes consultas o con motivo de infracciones sobre todos estos aspectos del deber/derecho de información al interesado siempre bajo estos principios de lealtad y transparencia que la propia norma indica

Juan José Cortés
Responsable del área de Compliance de Devesa & Calvo Abogados

Rate this post
← Volver al blog