El Deber de Informar en el RGPD, a examen.
Nuevas obligaciones, según el RGPD, acerca del deber de informar.
La Agencia Española de Protección de Datos AEPD ha publicado en diferentes Guías, las directrices para facilitar el cumplimiento del Reglamento General de Protección de Datos RGPD, que comenzará a aplicarse en el 2018 en las empresas. En estas Guías apreciamos que éstas añaden requisitos adicionales, además de los existentes hasta la fecha por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en cuanto al deber de informar a las personas interesadas del tratamiento de sus datos. Concretamente, en líneas generales, señala que será preciso incorporar:
- Los datos de contacto del Delegado de Protección de Datos (DPO) o, en su caso,
- La base jurídica o legitimación para el tratamiento,
- El plazo o los criterios de conservación de la información,
- La existencia de decisiones automatizadas o elaboración de perfiles,
- La previsión de transferencias a Terceros Países,
- El derecho a presentar una reclamación antes las Autoridades de Control.
Además, para casos en los que los datos no han sido recabados del propio interesado se deberá añadir el origen y las categorías de los mismos.
¿Quién tiene el deber de informar y en qué momento?
La obligación de cumplir el deber de informar a los interesados del tratamiento de sus datos personales y de poder acreditar con posterioridad haber llevado a cabo tal acción, recae sobre el propio Responsable del Tratamiento justo en el momento en que se solicitan los datos de éstos, es decir, de manera previa a su obtención o registro, siempre y cuando los datos hayan sido recolectados directamente del propio interesado.
En caso contrario, el responsable estará obligado a informar dentro de un “plazo razonable”. Para la propia Guía este concepto de “plazo razonable” consistirá en: “antes de un mes desde que se obtuvieron los datos personales, antes o en la primera comunicación con el interesado o antes de que los datos, en su caso, se hayan comunicado a otros destinatarios”.
No obstante, existen tres excepciones respecto a este deber de informar en el caso de que el interesado ya disponga de la información o los datos no provengan de él mismo. Siempre y cuando:
- la comunicación resulte imposible o suponga un esfuerzo desproporcionado,
- el registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros,
- cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.
Tal y como recoge el propio RGPD, la comunicación de este deber de informar debe proporcionarse siempre con un lenguaje sencillo para el receptor, de una forma concisa, transparente, inteligible y siento ésta de fácil acceso.
Información por capas.
Finalmente, desde las Autoridades de Protección de datos se está empezando a recomendar llevar a cabo la adopción de un modelo de información por capas o niveles. Este modelo consistirá en una primera capa donde se ofrecerá información relevante de manera reducida y visual y una segunda capa donde se desarrollará dicha información de manera más extensa y específica.