Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Derecho de información

El derecho de información se recoge en los artículos 13 y 14 del RGPD.

Cuando se plantea una actividad que conlleva el tratamiento de datos personales, lo habitual es que los datos se recaben directamente del interesado. No obstante, el responsable del tratamiento puede tratar los datos personales de una persona sin haber recabado su consentimiento, por ejemplo, porque sean manifiestamente públicos o en base a un interés legítimo a partir de fuentes accesibles al público. 

Independientemente de si los datos se obtienen del interesado o de otras fuentes, este tiene derecho a ser informado acerca del tratamiento que se dará a sus datos personales.

Derecho a ser informado

De acuerdo con los artículos 13 y 14 del RGPD, según se obtengan los datos directamente del interesado u otras fuentes, el responsable del tratamiento debe facilitar al interesado la siguiente información:

  1. Identidad y datos de contacto del responsable, incluyendo, en su caso, los de su representante.
  2. Datos de contacto del delegado de protección de datos, en caso de haberse designado uno.
  3. Fines del tratamiento. Si el responsable planea realizar un tratamiento ulterior con un fin distinto de aquel para el que se recogieron los datos, deberá proporcionar al interesado, con anterioridad a dicho tratamiento, información sobre ese nuevo fin.
  4. Base jurídica del tratamiento: Cuando el tratamiento se base en el consentimiento del interesado, se le informará de la existencia del derecho a retirar dicho consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento realizado con anterioridad a su retirada. Si el tratamiento es necesario para la satisfacción de intereses legítimos del responsable o de un tercero, se informará al interesado sobre dichos intereses. Si la comunicación de datos personales constituye un requisito legal o contractual, o un requisito necesario para suscribir un contrato, se le informará de ello, así como de las consecuencias derivadas de no facilitar los datos.
  5. Categorías de datos personales (solo aplicable cuando los datos no se obtienen del interesado).
  6. Destinatarios o categorías de destinatarios.
  7. Transferencias internacionales: Si el responsable tiene la intención de transferir los datos personales a un destinatario en un tercer país u organización internacional, informará de ello al interesado, indicando la existencia o ausencia de una decisión de adecuación de la Comisión Europea, o garantías adecuadas.
  8. Plazo de conservación: el periodo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar dicho plazo.
  9. Derechos del interesado: La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos, a su rectificación o supresión, a la limitación de su tratamiento y a oponerse al mismo, así como el derecho a la portabilidad de los datos.
  10. Derecho a reclamar: El derecho a presentar una reclamación a la autoridad de control competente.
  11. Fuente de los datos: Origen de los datos personales y, en su caso, si proceden de fuentes de acceso público.
  12. Decisiones automatizadas, incluyendo la elaboración de perfiles, con información significativa sobre la lógica aplicada, su importancia y las consecuencias previstas.

Información por capas o niveles

La AEPD recomienda facilitar al interesado la referida información por capas o niveles. En la primera capa se le facilitará una información básica, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos personales y, en una segunda capa, la información completa, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

1ª Capa: Información básica (resumida)

  • La identidad del responsable del tratamiento.
  • Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese.
  • La base jurídica del tratamiento.
  • Previsión o no de cesiones. Previsión o no de transferencias a terceros países.
  • Referencia al ejercicio de derechos.
  • Fuente o procedencia de los datos (si no se obtienen del interesado).

2ª Capa:  Información adicional (detallada)

  • Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
  • Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
  • Categorías de datos que se traten.
  • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
  • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la autoridad de control.
  • La información detallada del origen de los datos, incluso si proceden de fuentes de acceso público.

Cuando se informará al interesado

Si los datos se obtienen directamente del interesado, se le informará en el momento en que se recaben los datos personales.

Si los datos se obtienen de otras fuentes, el responsable del tratamiento facilitará la información al interesado, a más tardar, en el plazo de un mes desde que se recabaron. Si los datos personales han de utilizarse para una comunicación con el interesado se le informará en el momento de la primera comunicación. Y si está previsto comunicarlos a otros destinatarios, a más tardar en el momento en que los datos personales sean comunicados por primera vez a estos.

Circunstancias en las que no es obligado informar 

No será necesario facilitarle la información antes mencionada al interesado en los siguientes casos:

  • El interesado ya dispone de la información.
  • La comunicación de la información resulta imposible o supone un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89.1 del RGPD, o en la medida en que la obligación de información pueda imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento. En estos casos, el responsable del tratamiento adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información.
  • La obtención o la comunicación está expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, estableciendo medidas adecuadas para proteger los intereses legítimos del interesado.
  • Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o Estados miembros.

También tendremos en cuenta las limitaciones legales impuestas en el artículo 23 del RGPD.

Conclusión

Pocas veces se cumple –a la perfección– el deber de información a los titulares de los datos, cuando es un derecho esencial, que debería cumplir escrupulosamente.

Ahora que saben a qué tienen derecho, en los casos de tratamiento de sus datos personales, exijan a los responsables del tratamiento que cumplan el deber de información, y si no cumplen, presenten una reclamación al delegado de protección de datos de la organización o a la autoridad de control.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es