EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento.
El derecho a la información se regula en los art. 13 y 14 así como en los considerandos 60 a 62 del RGPD. A diferencia de la Directiva la obligación de información que tenían los responsables del tratamiento de datos pasa a ser un derecho del interesado y no un deber u obligación del responsable.
El derecho a ser informado y su contenido se divide en dos, en función del origen de la obtención del dato:
1.2.1 Datos obtenidos del interesado:
El art.13 incrementa la información que ha de facilitarse al interesado.
Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado
- Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
- la identidad y los datos de contacto del responsable y, en su caso, de su representante;
- los datos de contacto del Delegado de Protección de Datos, en su caso;
- los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
- cuando el tratamiento se base en el artículo 6, apartado 1, letra f) (Interés legítimo), los intereses legítimos del responsable o de un tercero;
- los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
- en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 (Transferencias mediante garantías adecuadas) o 47 (Normas corporativas vinculantes) o el artículo 49 (Excepciones para situaciones específicas), apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
- Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
- el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
- la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
- cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a) (Consentimiento), o el artículo 9, apartado 2, letra a) (Consentimiento explícito categorías especial datos), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
- el derecho a presentar una reclamación ante una autoridad de control;
- si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
- la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, (Decisiones individuales automatizadas, incluida la elaboración de perfiles) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
- Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.
Podríamos clasificarla en información Fija y Variable, siendo la primera aquella información que siempre se ha de facilitar al interesado y Variable aquella información que varía en función de que la misma sea aplicable al supuesto de hecho o al concreto responsable de tratamiento de que se trate.
Información Fija:
Información Variable:
La referida información no será de aplicación en los supuestos en los que interesado ya disponga de la misma.
1.2.2 Datos No obtenidos del interesado
En el art.14 se establece la información que se deberá facilitar cuando los datos no hayan sido recabados u obtenidos del interesado. En estos casos el responsable deberá facilitar en el plazo de 1 mes (se modifica el plazo de 3 meses de nuestra normativa) además de la información anterior del art. 13 la siguiente información:
Se aclara además que en estos supuestos de no obtención directa del interesado el plazo para informar es de un mes con dos excepciones:
Adicionalmente, se establece que en los casos en los que se proyecte realizar un tratamiento posterior para una finalidad distinta a la de la recogida y obtención del dato, se deberá informar con anterioridad a dicho tratamiento de toda la información recogida en dichos arts. 13 y 14.
Por último, en el art. 14.5 se establecen los supuestos o excepciones respecto al deber de información al interesado:
Al igual que en el supuesto de obtención directa del interesado, no será necesario informar en los casos en los que el interesado ya dispone de dicha información, ni en los siguientes supuestos:
1.2.3 Guía de la AEPD para el cumplimiento del deber de informar.
En relación con el deber de información la AEPD de datos ha publicado unas Guías para el cumplimiento del deber de informar en donde destaca la división de la información por capas o niveles, de forma similar a como se venía realizando con las cookies. Así la AEPD recomienda dividir la información en dos capas, de tal forma que una primera capa se informe de la información básica y resumida del tratamiento de datos en el mismo momento y en el mismo medio en el que se recojan los datos, para a continuación remitir a un segundo nivel o segunda capa en donde se incluirá de forma detallada el resto de obligaciones de información. Esta segunda capa podrá ser un medio distinto más adecuado para su presentación y comprensión pudiendo tratarse incluso de un archivo descargable. El cuadro resumen publicado por la AEPD sería el siguiente:
Epígrafe | Información básica (1a capa, resumida) | Información adicional (2a capa, detallada) |
---|---|---|
“Responsable” (del tratamiento) |
Identidad del Responsable del Tratamiento | Datos de contacto del Responsable |
Identidad y datos de contacto del representante | ||
Datos de contacto del Delegado de Protección de Datos | ||
“Finalidad” (del tratamiento) |
Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles | Descripción ampliada de los fines del tratamiento |
Plazos o criterios de conservación de los datos | ||
Decisiones automatizadas, perfiles y lógica aplicada | ||
“Legitimación” (del tratamiento) |
Base jurídica del tratamiento | Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. |
Obligación o no de facilitar datos y consecuencias de no hacerlo | ||
“Destinatarios” (de cesiones o transferencias) |
Previsión o no de Cesiones | Destinatarios o categorías de destinatarios |
Previsión de Transferencias, o no, a terceros países | Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables | |
“Derechos” (de las personas interesadas) |
Referencia al ejercicio de derechos. | Como ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento |
Derecho a retirar el consentimiento prestado | ||
Derecho a reclamar ante la Autoridad de Control | ||
“Procedencia” (de los datos) |
Fuente de los datos (cuando no proceden del interesado) | Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público |
Categorías de datos que se traten |
De esta manera ala AEPD recomienda presentar siempre los cinco primeros epígrafes (“Responsable”, “Finalidad”, “Legitimación”, “Destinatarios” y “Derechos”), añadiendo el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado. El objetivo por tanto por un lado es facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios de recogida de datos, y por otro, conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada en una primera capa, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD.
Un ejemplo de Cláusula de información en formato papel podría ser el siguiente:
Ejemplo de Cláusula Información básica 1ª capa en formato Papel sobre Protección de Datos | |
---|---|
Responsable | Ediciones Warren&Brandeis, S.A. |
Finalidad | Gestión de la suscripción |
Legitimación | Ejecución de un contrato |
Destinatarios | No se cederán datos a terceros, salvo obligación legal |
Derechos | Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional |
Información adicional | Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos |
Otra ejemplo de cláusula de información en formato electrónico podría ser el siguiente:
Información básica sobre Protección de Datos | |
Responsable | Ediciones Warren&Brandeis, S.A. +info |
Finalidad | Gestionar el envío de información y prospección comercial +info |
Legitimación | Consentimiento del interesado +info |
Destinatarios | Otras empresas del grupo Warren&Brandeis, Inc. Encargados de Tratamiento fuera de la UE, acogido a “Privacy Shield” +info |
Derechos | Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional +info |
Información adicional | Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos/info/ |