“EL DEBER DE INFORMAR” EN EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD)

La LOPD, nuestra normativa actual vigente, establece las siguientes obligaciones respecto de la información:

Comunicar la existencia del fichero o tratamiento, su finalidad y destinatarios.

  • Del carácter obligatorio o no de la respuesta, así como de sus consecuencias.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y datos de contacto del responsable del tratamiento.

El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento” (al que define como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”; no hace uso, el RGPD, del concepto “fichero”). Así, el RGPD obliga a incorporar:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control
  • Y además, en el caso de que los datos no se obtengan del propio interesado:
  • El origen de los datos
  • Las categorías de los datos

Así pues, los procedimientos, modelos o formularios diseñados de conformidad con la LOPD deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD, (25-5-2018) incorporando los nuevos requisitos que, amplían y no contradicen la obligación de informar establecida en la LOPD.

Si los datos se obtienen directamente del interesado, la información debe ponerse a disposición de éstos en el momento en que se les soliciten los datos, previamente a la recogida o registro.

Si los datos no nos los proporciona el propio interesado, debido a que los obtenemos de alguna cesión legítima, o proceden de fuentes accesibles al público, el Responsable del Tratamiento deberá informar a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales,
  • Antes o en la primera comunicación con el interesado,
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

No hará falta para ello ningún requerimiento, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

La información a las personas interesadas debe proporcionarse:

  • con un lenguaje claro y sencillo,
  • de forma concisa, transparente, inteligible y de fácil acceso

¿Cómo compatibilizar la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla?. Las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o Niveles, o sea, presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos, y remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

 (Fuente: AEPD)

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *