TOP

GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMAR

La Agencia Española de Protección de Datos (en adelante, AEPD) ha elaborado un documento, a modo de guía, para facilitar a los responsables de tratamiento el cumplimiento de la obligación de informar a los interesados.
A continuación, ofrecemos un resumen con los aspectos más destacados de dicha guía1.
1.- NUEVOS ASPECTOS SOBRE LOS QUE INFORMAR
La Ley Orgánica 15/1999, de Protección de Datos (LOPD) establecía que, en el momento de solicitar datos personales, debíamos informar al interesado de:
-La existencia de un fichero, finalidad y destinatarios de la información.
-Obligatoriedad o no de facilitar respuesta y sus consecuencias.
-Ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición).
-Identidad y datos de contacto del responsable del tratamiento.
El RGPD añade nuevos requisitos2 con la finalidad de mejorar el cumplimiento del principio de transparencia:
-Facilitar los datos de contacto del DPO (Delegado de Protección de Datos), cuando esta figura exista dentro de la organización.
-Base jurídica o legitimación para el tratamiento.
-Plazos o criterios de conservación de la información.
-Existencia de decisiones automatizadas3 o elaboración de perfiles.
-Previsión de realizar transferencias internacionales de datos.
-Derecho a presentar reclamación ante las Autoridades de Control.
-Origen y categorías de los datos (solo cuando éstos no hayan sido recabados directamente del interesado)
El responsable deberá poder acreditar que la obligación de informar ha sido satisfecha.
2.- EN QUE MOMENTO SE DEBE INFORMAR
-Cuando los datos se recaban directamente del interesado, hay que informar cuando se soliciten los datos y con carácter previo a la recogida o registro de los datos.
-Cuando los datos se recaban a través de terceros (por cesión legítima o porque provengan de fuentes accesibles al público) será necesario cumplir con los siguientes requisitos:
· Informar antes de un mes desde que se obtuvieron los datos personales.
· Antes o en la primera comunicación con el interesado.
· Antes de que los datos, en su caso, se comuniquen a otros destinatarios.
NO es necesario informar:
-Si el interesado ya dispone de toda la información.
-En los casos en los que los datos provienen de terceros:
· Si la comunicación resulta imposible o supone un esfuerzo desproporcionado.
· El registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros.
· Cuando los datos deban seguir siendo confidenciales en base a un deber legal de secreto.
3.- MODOS DE INFORMAR
El procedimiento para informar se deberá adaptar al medio de recogida de la información. A modo de ejemplo, en el momento de recogida de datos, se podrán utilizar los siguientes medios para informar:
-Formularios en papel o formularios web.
-Entrevista telefónica.
-Registro en aplicaciones móviles.
También será posible utilizar el correo postal, la mensajería electrónica o notificaciones emergentes en servicios y aplicaciones cuando debamos informar al interesado sobre datos ya disponibles o sobre tratamientos adicionales.
La información deberá prestarse con un lenguaje claro y sencillo, de forma concisa, transparente, inteligible y de fácil acceso.
4.- INFORMACIÓN POR CAPAS
Las Autoridades de Protección de Datos, conscientes del hecho de que la aplicación del RGPD conlleva una mayor exigencia de información, recomienda establecer un método de información por capas o niveles consistente en:
1. Presentar información básica y resumida en un primer nivel. Se deberá presentar en el mismo momento y en el mismo medio en que se recogen los datos.
2. Un segundo nivel que contenga la información detallada y completa. Se elegirá un medio más adecuado para su presentación, comprensión y, en su caso, archivo.
La información se podrá presentar a modo de epígrafes (responsable, finalidad, legitimación, destinatarios, derechos y, en su caso, procedencia) con el objetivo de que los interesados puedan acceder a la información más relevante de forma rápida y simplificada.
4.1.- PRIMERA CAPA. INFORMACIÓN BÁSICA
Según ha manifestado la AEPD, la forma preferente en la que se ha de presentar la información básica es en forma de tabla (en un formato similar al de las tablas de información nutricional alimentaria). La tabla debe quedar dentro del “campo de visión” del interesado y estar claramente identificada con un título del tipo “Información básica sobre protección de datos”.
En esta primera capa se deberá presentar información sintética sobre:
· Identidad del responsable del tratamiento
· Descripción sencilla de los fines del tratamiento
· Base jurídica del tratamiento
· Previsión o no de cesiones y transferencias internacionales
· Ejercicio de derechos
Si, por cuestiones de diseño, no es posible que la tabla se sitúe en el lugar donde el interesado deba manifestar su conformidad, será posible incorporar una nota con remisión al lugar donde se puede encontrar dicha tabla informativa.
4.2.- SEGUNDA CAPA. INFORMACIÓN ADICIONAL
La información presentada en la segunda capa debe incluir los detalles de la información resumida y añadir la información adicional que no se ha presentado en la primera capa.
La segunda capa debe ser completa; es decir, no se puede omitir información por el hecho de que ésta se haya ya incluido en la información básica.
En concreto, se deberá facilitar la siguiente información:
-Identidad y datos de contacto (dirección postal y electrónica si se dispone de ella) del Responsable.
-Datos de contacto del DPO (dirección postal y electrónica si se dispone de ella), si procede.
-Finalidades detalladas del tratamiento incluyendo el plazo de conservación de los datos o, cuando no sea posible, los criterios que se utilizan para delimitar este plazo.
En este apartado se informará también de la existencia, en su caso, de decisiones automatizadas, incluida la elaboración de perfiles.
-Legitimación sobre la que se basa el tratamiento, disponiendo de las siguientes posibilidades:
· Ejecución de un contrato. En este caso se hará constar una referencia al contrato para que no quepa ambigüedad sobre éste.
· Cumplimiento de una obligación legal. En este caso se hará constar la norma específica con rango de Ley que impone la obligación a tratar los datos.
· Misión de interés público o ejercicio de Poderes Públicos (Sector Público principalmente). En este caso se hará constar la norma con rango de Ley que confiere los poderes públicos o califica la misión como de interés público.
· Interés legítimo del Responsable o de un tercero. Se deberán explicar cuál es dicho interés. La AEPD sugiere, además, incluir un resumen de la ponderación de la legitimidad frente a los intereses, derechos y libertades fundamentales del interesado.
· Consentimiento del interesado. Si la finalidad principal está legitimada por alguna de las bases jurídicas anteriores y alguna finalidad requiera consentimiento, será necesario hacer constar ambas legitimaciones.
-Obligación o no del interesado a facilitar los datos y, en su caso, consecuencias de no facilitarlos.
-Destinatarios de la información en el caso de que se tenga previsto ceder o comunicar legítimamente los datos personales. Si están claramente determinados, se facilitará la identidad concreta y si no es posible, se dará información sobre las categorías de destinatarios.
La AEPD recomienda también informar de la existencia de encargados de tratamiento, especialmente cuando se trate de transferencias internacionales de datos.
En el caso de transferencias internacionales, se deberá informar también de la existencia o ausencia de decisión de adecuación de la Comisión respecto al país de destino de la información. Si el responsable basa la transferencia en garantías adecuadas (tales como normas corporativas vinculantes, códigos de conducta o mecanismos de certificación) se informará de los medios para obtener acreditación de dichas garantías.
-Derechos que asisten a los interesados
· Acceso.
· Rectificación o supresión.
· Limitación del tratamiento.
· Portabilidad de datos.
Se deberá informar claramente sobre el procedimiento para ejercitarlos, poniendo a disposición del interesado modelos o formularios y especificando la forma de ponerse en contacto con el responsable para formular la solicitud.
También se deberá informar de la posibilidad de retirar el consentimiento al tratamiento de datos que se pudiera haber otorgado con anterioridad, así como de la posibilidad de presentar reclamaciones ante la Autoridad de Control.
-Procedencia de los datos. Solo se incluirá cuando los datos personales no se han obtenido directamente del interesado. Cuando proceda incluir esta información, se comunicará la fuente de donde proceden los datos y las categorías de datos que se van a tratar.
Algunos ejemplos de cómo se puede presentar la segunda capa informativa al interesado:
-Información adicional en papel: en el reverso del formulario, anexo o separata que se entregue al interesado, así como carteles, paneles, trípticos… de los que se pueda solicitar copia para conservar.
-Información adicional electrónica: hipervínculos, documento disponible para su descarga o adjunto a un mensaje electrónico dirigido al interesado.
Madrid, febrero de 2017.
Helas Consultores, S.L.
HELAS CONSULTORES, S.L.: especialistas en Consultoría y Auditoría centrándose nuestra actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.