¿Cómo cumplir con el Derecho de Información del Interesado?

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Es un hecho que las empresas tienen marcado en el calendario el próximo 25 de mayo de 2018 como fecha límite para informarse y adaptar su tratamiento de datos a la normativa del Reglamento General de Protección de Datos (en adelante, RGPD). Como ayuda a ello, el presente post trata con uno de los deberes que los responsables de tratamiento tienen: cumplir con el Derecho de Información del Interesado. Pero, ¿qué novedades ha traído el reglamento en este ámbito? ¿cómo puede cumplirse este deber de forma diligente?

En primer lugar, en Derecho de Información consiste en el Derecho del Interesado a ser informado sobre el tratamiento de sus datos, dependiendo el momento/límite en el que debe proporcionarse dicha información de si los datos se obtienen del Interesado o no.

Vista esta breve definición del Derecho, debe indicarse que la regulación del mismo viene estipulada en los artículos 13 y 14 RGPD como en el art. 21 del Anteproyecto de Ley Orgánica de Protección de Datos (en adelante, ALOPD).

Y, ¿Qué información debe proporcionarse al Interesado?

  1. Identidad y datos de contacto del Responsable del Tratamiento y de su Representante -si existe-;
  2. Datos de contacto del Delegado de Protección de Datos;
  3. Fines del tratamiento y base jurídica del tratamiento;
  4. Si el tratamiento se basa jurídicamente en la satisfacción intereses legítimos deben indicarse expresamente;
  5. Destinatarios o categorías de destinatarios de los datos -para el caso de realizarse cesiones de datos-;
  6. Intención de transferir los datos a tercer país u organización internacional y la base jurídica legitimadora de dicha transferencia (existencia de decisión de adecuación, garantías adecuadas o apropiadas y medios obtener copia de estas);
  7. Plazo de conservación de datos o criterios para determinar;
  8. Existencia de derechos (acceso, rectificación, supresión, limitación, oposición y portabilidad);
  9. Si tratamiento se basa jurídicamente en el consentimiento, que el interesado tiene derecho a retirar el consentimiento en cualquier momento;
  10. Derecho a presentar una reclamación ante Autoridad de control;
  11. Indicar si la comunicación de datos es requisito legal o contractual o necesario para suscribir un contrato y si el interesado está obligado a facilitar los datos y está informado de las consecuencias de no facilitarlos;
  12. Existencia de decisiones automatizadas -incluida elaboración de perfiles-, indicando la lógica aplicada, importancia y consecuencias del tratamiento para el interesado.
  13. Para el caso que los datos personales NO se obtengan del Interesado, se debe informar sobre la fuente de procedencia de los datos -inclusive si fueran públicos-.

Pero toda esta información no puede ser ofrecida al Interesado de cualquier forma. Los arts. 11.1 RGPD y art. 21.1 ALOPD indican cómo debe darse dicha información: debe utilizarse un lenguaje claro y sencillo, dar la información de forma concisa, transparente, inteligible y de fácil acceso para el Interesado.

Por lo tanto, apreciamos dos principales diferencias de la antigua regulación del art. 5 LOPD:

  • Se realiza un mayor énfasis en la compresión de la información por el Interesado: “lenguaje claro y sencillo, conciso, transparente, inteligible y de fácil acceso”.
  • Se requiere proporcionar más información (Datos DPO, base jurídica de tratamiento, Interés Legítimo, intención de realizar transferencias internacionales, plazo conservación, derecho a retirar el consentimiento, derecho a presentar reclamación ante autoridad de control y decisiones automatizadas).

Una vez introducido el derecho, vista la información que debe otorgarse al Interesado y hecho hincapié en la forma en que debe realizarse la transmisión de la información, debe traerse a colación la Guía que han creado la Agencia Española de Protección de Datos junto con las Agencias Catalana y Vasca sobre el cumplimiento del Deber de Informar, en la cual se recomienda a los Responsables de Tratamiento que informen a los Interesados haciendo uso de la denominada “INFORMACIÓN POR CAPAS”.

Pero ¿en qué consiste este modo de informar al Interesado?

El objetivo de dar la información mediante estos dos filtros o capas es cumplir con las exigencias que antes indicábamos que existen en la forma de otorgar la información, buscando que el Interesado no se pierda en un mar de letras imposible de leer y que difícilmente va a comprender.

Por ello, lo que las Agencias proponen en esta Guía es realizar la información en dos niveles:

  • Un PRIMER NIVEL O CAPA con INFORMACIÓN BÁSICA resumida, que se proporcionará en el momento y mediante el mismo medio en el que se recojan los datos personales del Afectado o, para el caso que los datos NO sean proporcionados por el Interesado, mediante los medios que se analizarán más adelante;
  • Un SEGUNDO NIVEL O CAPA con INFORMACIÓN ADICIONAL, que completará la información requerida por los arts. 13 y 14 RGPD.

1º CAPA.- INFORMACIÓN BÁSICA.

  1. LOCALIZACIÓN DE LA INFORMACIÓN.-

CUANDO LOS DATOS PERSONALES HAN SIDO OTORGADOS POR EL INTERESADO.-

Las Agencias recomiendan que se presente esta información básica en una TABLA dentro del formulario de solicitud en el que se consiente el tratamiento de datos. A poder ser, en el mismo campo de visión donde se manifestará la conformidad con el tratamiento.

Esto implica:

  • Que, si se realiza en soporte papel, se disponga el cuadro en una zona cerca de la indicada para la firma del formulario;
  • Que, si se realiza en soporte electrónico, se disponga el mismo en una zona cercana al botón enviar.

Debe tenerse en cuenta que el Interesado debe poder quedarse una copia del formulario en el que conste dicha tabla.

Si no fuera posible la inclusión de la tabla en los lugares anteriormente descritos, las Agencias recomiendan incorporar una nota o llamada en el campo de visión de la firma o botón de envío dónde deberíamos situar la tabla.

→ Ejemplo. Indicar la siguiente frase: “Antes de firmar la solicitud, debe leer la información básica sobre protección de datos que se presenta en (…el reverso, a pié, etc.)”.

CUANDO LOS DATOS PERSONALES NO HAN SIDO OBTENIDOS DEL INTERESADO.-

La Guía analiza tres modos de facilitar la información: correo postal, correo electrónico y mensajería instantánea.

Correo postal o correo electrónico: Respecto a estos medios, se indica:

  • Incorporar la información básica en la notificación donde se le informa al Interesado del tratamiento, ampliada con el epígrafe resumido de Procedencia.
  • Adjuntar la información adicional o completa como un anexo o separata, incluyendo el epígrafe ampliado de Procedencia.
  • Opcionalmente, incluir una vinculación a la información adicional en forma electrónica.

Mensajería instantánea: sólo permite incluir breve referencia a la naturaleza de la comunicación y una vinculación a información adicional en forma electrónica. NO parece adecuado.

          2.INFORMACIÓN A INDICAR.-

RESPONSABLE DEL TRATAMIENTO.- Indicar sólo la identidad.

FINALIDAD DEL TRATAMIENTO.- describir de forma sencilla la finalidad del tratamiento. Si se persiguen distintas finalidades, se indicará sólo la principal y el resto -junto, de nuevo la principal, se indicarán en la segunda capa-.

LEGITIMACIÓN.- en este epígrafe debe indicarse la base jurídica del Tratamiento.

De forma resumida, recordamos que, según lo dispuesto en el art. 6 RGPD, las bases jurídicas de tratamiento son: consentimiento del Interesado, ejecución del contrato, cumplimiento de obligación legal, misión en interés público o ejercicio de poderes públicos e interés legítimo.

DESTINATARIOS.- debe indicarse aun cuando no se haya previsto comunicar los datos a terceros. En ese caso se indicará, ej. No se cederán datos a terceros, salvo obligación legal.

DERECHOS – hacer breve alusión a la existencia de derechos. Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.

PROCEDENCIA DE LOS DATOS.- indicar la fuente de los datos (sólo cuando los datos NO hayan sido proporcionados por el Interesado).

Una vez indicada esta información, debe mostrarse cómo acceder a la INFORMACIÓN ADICIONAL (2ª capa) con el fin de cumplir con la obligación de Información.

La Guía nos propone añadir una frase como la siguiente: Ej. Puede consultar la información adicional y detallada sobre Protección de Datos en (..indicación textual, hipervínculo, etc.).

Éstos son los ejemplos indicados en la Guía:

SOPORTE PAPEL:

                           

SOPORTE ELECTRÓNICO:

                               

Vistos los soportes electrónico y de papel, la duda surge si el deber de información debe cumplirse mediante una ENTREVISTA TELEFÓNICA. En dicho caso, la Guía nos aconseja que la información se dé:

  • Mediante una locución clara y concisa;
  • Debe asegurarse que el interlocutor haya comprendido la información suministrada antes de proceder a la recogida de la información;
  • La Información Adicional deberá ser puesta a disposición del Interesado por otro medio y deberá informarse de ello al mismo.
  • Si el Interesado solicita cualquier tipo de aclaración sobre la Información, deberá procederse a ofrecer una locución complementaria con aquella información que sea solicitada.

2ª CAPA – INFORMACIÓN ADICIONAL:

El objetivo de esta capa es completar la información otorgada en la 1ª capa con el fin de cumplir con todas las exigencias legales del deber de información. Por lo tanto es muy importante tener en cuenta que en la misma:

  • Volveremos a indicar la información proporcionada en la 1ª capa;
  • Y añadiremos la restante exigida por la ley.

Sobre las formas en que debe/puede proporcionarse ésta segunda capa de información, la Guía diferencia entre las tres formas en que se dio la información de la primera capa:

PAPEL: La información podrá darse:

  • En el mismo formulario cumplimentado (ej. Reverso);
  • En un Anexo que se entregue al Interesado;
  • Información expuesta, claramente visible, en carteles, paneles, trípticos, de los que se pueda solicitar copia.

ELECTRÓNICA: La información podrá darse:

  • En una Página web específica accediendo desde hipervínculo;
  • Mediante un documento disponible para descargar en URL;
  • Información anexa o adjunta a mensaje electrónico dirigido a Interesado.

TELEFÓNICA:

  • Locución, como complemento o alternativa a la oferta de disponibilidad de información adicional accesible e forma electrónica o que pueda remitirse por correo postal o electrónico.

Visto el modo en que puede otorgarse la misma, procedemos a desarrollar qué información debe indicarse en cada uno de los epígrafes así como a incorporar los ejemplos proporcionados en la Guía.

RESPONSABLE – Se debe indicar:

  • Identidad y datos de contacto del Responsable del Tratamiento y del Representante -para el caso que exista-;
  • Datos de contacto del Delegado de Protección de Datos

Es conveniente señalar:

  • Que NO es necesario proporcionar el nombre del Delegado de Protección de Datos -algo practico dado que el mismo puede variar a lo largo del tiempo, siendo recomendable dar unos datos de contacto genéricos-;
  • Que los datos de contacto deben incluir una dirección postal y dirección electrónica (correo electrónico o URL o formulario de contacto).

FINALIDAD – Debe incluirse:

  • Fines del Tratamiento;
  • Plazo de conservación de datos o criterios para determinarlo;
  • Existencia/inexistencia de decisiones individuales automatizadas.
    • Para el caso de existir, debe indicarse: lógica aplicada, importancia y consecuencias del tratamiento.

LEGITIMACIÓN – En este punto debe diferenciarse entre las distintas bases jurídicas que pueden sustentar el tratamiento lícito de datos:

  • Por ejecución de un contrato o aplicación de medidas precontractuales → indicar una referencia al contrato o tipo de contrato de que se trate.
  • Por cumplimiento de una obligación legal → deberá constar cuál es la norma, con rango de ley, que impone la obligación.
  • Por misión en interés público o ejercicio de Poderes Públicos → se hará constar cuál es la norma, con rango de ley, que confiere los poderes públicos o califica la misión como de interés público.
  • Por interés legítimo del Responsable o tercero → se explicitarán cuáles son los intereses legítimos.

En este punto las Agencias indican que se considera una buena práctica incluir un resumen de la ponderación de la legitimidad, frente a los intereses y derechos y libertades fundamentales del interesado, cuando ello contribuya al principio de transparencia.

  • Por consentimiento del interesado → debemos diferenciar entre:
    • Si el consentimiento es solo para una finalidad específica se deberá informar al interesado que se consiente solo respecto la finalidad específica y que, respecto la otra, no debe aportar consentimiento.
    • Si el consentimiento es un requisito legal o contractual o necesario para suscribir el Contrato debe informarse al Afectado que está obligado a facilitar los datos personales así como indicar las consecuencias de no hacerlo.

DESTINATARIOS – En este apartado debe indicarse si se prevé ceder o comunicar datos a terceros, procediéndose a informar al Interesado sobre la identidad de los destinatarios o de las categorías de destinatarios -si no están determinados-.

Para el caso que existan Encargados del Tratamiento, debe indicarse expresamente en este punto.

Asi mismo, también debe indicarse en este apartado si se prevé realizar transferencias internacionales de datos. Para el caso que sea así, deberán indicarse las condiciones que afectan a la transferencia de datos (base jurídica para realizar la transferencia de datos de forma lícita: consentimiento, aportación de garantías adecuadas, decisión de adecuación, Normas Corporativas Vinculantes, etc.).

Si el Responsable aporta garantías adecuadas o apropiadas se informará de ellas y de los medios para obtener una copia de estas o del hecho de que se hayan prestado. Éstas garantías pueden consistir en:

  • Instrumentos jurídicamente vinculantes entre las autoridades u organismos públicos,
  • Normas corporativas vinculantes,
  • Cláusulas tipo,
  • Códigos de conducta,
  • Mecanismos de certificación.

DERECHOS – Debe informarse de forma expresa sobre la existencia de los derechos de los Interesados a:

  1. Derecho a solicitar el acceso a los datos personales relativos al interesado;
  2. Derecho a solicitar su rectificación o supresión;
  3. Derecho a solicitar la limitación de su tratamiento;
  4. Derecho a oponerse al tratamiento;
  5. Derecho a la portabilidad de los datos.

Sumado a lo anterior, debe proporcionarse al Interesado la forma de ejercer dichos derechos, proporcionando modelos o formularios así como la forma de contacto para formular la solicitud.

De manera opcional, la Guía permite la redirección del Interesado a la Autoridad de Control competente con el fin de obtener la información adicional.

Para el caso que el tratamiento, de forma total o parcial, se base en el consentimiento del Interesado, deberá indicarse que el mismo tiene derecho a retirar el consentimiento otorgado.

Por último, debe informarse al Interesado que puede presentar una reclamación ante la Autoridad de Control en materia de Protección  de Datos competente así como indicar el modo de contacto con ésta.

PROCEDENCIA – Se debe indicar:

  • La fuente de la que proceden los datos personales y si proceden de fuentes de acceso público disponibles sin restricciones,
  • Las categorías de datos personales de que se trate, con especial indicación de los datos especialmente protegidos.

El deber de información del Responsable resulta clave para el cumplimiento del principio de transparencia del art. 5 RGPD. Por ello, es esencial que los Responsables del Tratamiento trabajen en la redacción de unas cláusulas informativas claras, concisas y sencillas, buscando que el Interesado realmente comprenda el tratamiento que se va a realizar con sus datos personales.

Todo ello, en conjunto con el principio de accountability o responsabilidad proactiva –por el que el Responsable debe ser capaz de acreditar el cumplimiento de la obligación de Informar al Interesado-, debe servir para concienciar sobre informar, de forma correcta, a los Interesados, intentando que los ciudadanos realmente comprendan qué datos se están tratando y cómo.

¿Será el fin de las kilométricas e ininteligibles cláusulas de información sobre protección de datos?

El tiempo lo dirá.

(Puedes encontrar la presente entrada en inglés en el siguiente enlace).

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *