Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Derecho de información

Cuando se plantea un actividad que conlleva el tratamiento de datos personales lo habitual es que los datos se recaben directamente del interesado.

No obstante, el responsable del tratamiento puede tratar los datos personales de una persona sin haber recabado su consentimiento, por ejemplo, porque sean manifiestamente públicos o en base a un interés legítimo a partir de fuentes accesibles al público. 

Ya sea porque los datos se obtengan del interesado o de otras fuentes, el interesado tiene derecho a ser informado acerca del tratamiento que se dará a sus datos personales.

Derecho a ser informado

De acuerdo a los artículos 13 y 14 del RGPD, según se obtengan los datos directamente del interesado u otras fuentes, el responsable del tratamiento debe facilitar al interesado la siguiente información:

  1. La identidad y los datos de contacto del responsable y, en su caso, de su representante.
  2. Los datos de contacto del delegado de protección de datos, en caso de haberse designado.
  3. Los fines del tratamiento a que se destinan los datos personales. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin.
  4. La base jurídica del tratamiento. Cuando el tratamiento esté basado en el consentimiento del interesado se le informará acerca de la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada. Si el tratamiento es necesario para la satisfacción de intereses legítimos del responsable del tratamiento o un tercero se informará al interesado sobre dichos intereses. Si la comunicación de datos personales es un requisito legal o contractual o un requisito necesario para suscribir un contrato se le informará de ello, así como de las consecuencias en caso de que no facilitarlos. 
  5. Las categorías de datos personales de que se trate.
  6. Los destinatarios o categorías de destinatarios, en su caso.
  7. La intención del responsable de transferir los datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión Europea o de garantías adecuadas o apropiadas.
  8. El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar dicho plazo.
  9. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos, a su rectificación o supresión, a la limitación de su tratamiento y a oponerse al mismo, así como el derecho a la portabilidad de los datos.
  10. El derecho a presentar una reclamación a la autoridad de control competente.
  11. La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.
  12. La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Información por capas o niveles

La AEPD recomienda facilitar al interesado la referida información por capas o niveles. En la primera capa se le facilitará una información básica, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos personales y, en una segunda capa, la información completa, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

1ª Capa: Información básica (resumida)

  • La identidad del responsable del tratamiento.
  • Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese.
  • La base jurídica del tratamiento.
  • Previsión o no de cesiones. Previsión o no de transferencias a terceros países.
  • Referencia al ejercicio de derechos.
  • Fuente o procedencia de los datos.

2ª Capa:  Información adicional (detallada)

  • Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
  • Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
  • Categorías de datos que se traten.
  • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
  • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la autoridad de control.
  • La información detallada del origen de los datos, incluso si proceden de fuentes de acceso público.

Cuando se informará al interesado

Si los datos se obtienen directamente del interesado se le informará en el momento en que se recaben los datos personales.

Si los datos se obtienen de otras fuentes, el responsable del tratamiento facilitará la información al interesado, a más tardar, en el plazo de un mes desde que se recabaron. Si los datos personales han de utilizarse para una comunicación con el interesado se le informará en el momento de la primera comunicación. Y si está previsto comunicarlos a otros destinatarios, a más tardar en el momento en que los datos personales sean comunicados por primera vez a estos.

Circunstancias en las que no es obligado informar 

No será necesario facilitarle la información antes mencionada al interesado en los siguientes casos:

  • El interesado ya dispone de la información.
  • La comunicación de la información resulta imposible o supone un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89.1 del RGPD, o en la medida en que la obligación de información pueda imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento. En estos casos, el responsable del tratamiento adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información.
  • La obtención o la comunicación está expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, estableciendo medidas adecuadas para proteger los intereses legítimos del interesado.
  • Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o Estados miembros.

También tendremos en cuenta las limitaciones legales impuestas en el artículo 23 del RGPD.

Conclusiones

Pocas veces se cumple –a la perfección– el deber de información a los titulares de los datos, cuando es un derecho esencial, que debería cumplir escrupulosamente.

Ahora que saben a que tienen derecho, en los casos de tratamiento de sus datos personales, exijan a los responsables del tratamiento que cumplan el deber de información, y si no cumplen, presenten una reclamación al delegado de protección de datos de la organización o a la autoridad de control.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).