Inicio
Temas
Deber de Información en materia de protección de datos en el Reglamento General ... LO 3/2018 (LOPDGDD)
Inicio
Temas
Deber de Información en m... (LOPDGDD)
Ver Indice
»

Última revisión

Deber de Información en materia de protección de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Tiempo de lectura: 18 min

Relacionados:

Estado: VIGENTE

Orden: administrativo

Fecha última revisión: 31/05/2021

Tiempo de lectura: 18 min

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente cuando esos interesados sean niños.
 

¿Qué información deberá facilitarse cuando los datos personales se obtengan del interesado?

Artículo 13 del RGPD

«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;

f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información».

En suma, el responsable del tratamiento, en el momento en el que se obtengan los datos personales, facilitará al interesado la siguiente información:

  • Identidad, datos de contacto del responsable, y si fuera el caso, de su representante.
  • En su caso, datos de contacto del delegado de protección de datos.
  • Fines del tratamiento a que se destinan los datos personales y la base jurídica del mismo.
  • Si el tratamiento se basa en el artículo 6.1. f) del RGPD, los intereses legítimos del responsable o de un tercero.
  • En su caso, destinatarios o categorías de destinatarios de los datos personales.
  • En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.
  • En el caso de las transferencias indicadas en los artículos 46, 47, o el párrafo segundo del artículo 49.1 del RGPD, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.

CUESTIONES

1. ¿A qué tratamiento se refiere el artículo 6.1.f) del RGPD?

El citado artículo del RGPD indica que «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».

2. ¿Cuáles son las transferencias indicadas en el artículo 13.1.f) del RGPD?

El mencionado precepto hace referencia a las siguientes transferencias:

- Transferencias mediante garantías adecuadas (artículo 46 del RGPD).

- Normas corporativas vinculantes (artículo 47 del RGPD).

- Excepciones para situaciones específicas (párrafo segundo del artículo 49.1 del RGPD).

Además de lo citado con anterioridad, el responsable del tratamiento también facilitará al interesado la siguiente información, para garantizar un tratamiento leal y transparente:

  • Plazo de conservación de los datos personales, o si no es posible, los criterios empleados para determinarlo.
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso, rectificación, supresión, limitación, o a su oposición al tratamiento, así como del derecho a la portabilidad de los datos personales.
  • Derecho a retirar el consentimiento, cuando el tratamiento se base en el artículo 6.1.a) o en el artículo 9.2.a) del RGPD.
  • Derecho a presentar una reclamación ante una autoridad de control.
  • Si es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si está obligado a aportar datos personales, y a su vez, está informado de las consecuencias de no facilitarlos.
  • Existencia de decisiones automatizadas, incluso la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 del RGPD, y, en estos supuestos, información significativa sobre la lógica aplicada, importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Además, si el responsable del tratamiento planea un tratamiento posterior de datos personales para un fin distinto para el que se hubieren recogido, facilitará al interesado, con anterioridad al referido tratamiento, información sobre ese otro fin y la información adicional oportuna según lo dispuesto en el artículo 13.2 del RGPD.

Sin embargo, no será aplicable lo dispuesto en el artículo 13, apartados 1, 2 y 3, del RGPD a los casos en los que el interesado ya posea la información relacionada.

A tenor de lo anterior, el considerando 60 de la misma norma destaca que los principios de tratamiento leal y transparente requieren que:

«(...) se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente».

CUESTIÓN

¿Qué tratamiento podrá considerarse lícito a tenor de lo establecido en el artículo 6.1.a) del RGPD ?

Se considera lícito el tratamiento en el que interesado da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos [artículo 6.1.a) del RGPD].

Si bien está prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

No obstante, no se aplicará lo anterior, cuando el interesado da su consentimiento de forma explícita para el tratamiento de datos personales con uno o más de los fines especificados, excepto cuando el derecho de la Unión Europea o de los Estados miembros disponga que la citada prohibición no puede ser levantada a instancia del interesado [artículo 9.2.a) del RGPD].

¿Qué información deberá facilitarse cuando los datos personales no se hayan obtenido del interesado?

 Artículo 14 del RGPD

«1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) las categorías de datos personales de que se trate;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;

c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;

e) el derecho a presentar una reclamación ante una autoridad de control;

f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;

b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o

c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.

5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

a) el interesado ya disponga de la información;

b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;

c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza legal».

En consecuencia, el responsable del tratamiento, cuando los datos personales no se hayan obtenido del interesado, le facilitará la siguiente información:
  • Identidad y datos de contacto del responsable y, en su caso, de su representante.
  • En su caso, los datos de contacto del delegado de protección de datos.
  • Fines del tratamiento a que se destinan los datos personales y base jurídica de los mismos.
  • Categorías de datos personales que sean tratados.
  • En su caso, los destinatarios o las categorías de destinatarios de los datos personales.
  • En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.

Asimismo, además de lo anterior, el responsable del tratamiento suministrará al interesado la siguiente información: 

  • El plazo de conservación de los datos personales, o si no fuera posible, de los criterios empleados para determinarlo.
  • Si el tratamiento se basa en el artículo 6.1.f) del RGPD, los intereses legítimos del tratamiento o de un tercero.
  • La existencia del derecho a solicitar al responsable el acceso, la rectificación o la supresión de los datos personales del interesado, o la limitación y la oposición al tratamiento, así como el derecho a la portabilidad de los datos.
  • Si el tratamiento está basado en el artículo 6 [letra a) del apartado 1] o en el artículo 9 [letra a) del apartado 2] del RGPD, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada.
  • La existencia del derecho a presentar una reclamación ante una autoridad de control.
  • La fuente de los datos personales y, en su caso, si proceden de fuentes de acceso público.
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, del RGPD, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Además, el responsable del tratamiento de datos suministrará la información relacionada, en los siguientes momentos:

a) Dentro de un plazo razonable, desde la obtención de los datos personales, y a más tardar dentro de un mes.

b) En el momento de la primera comunicación al interesado.

c) En el momento en que los datos personales sean comunicados por primera vez.

No obstante, si el responsable del tratamiento planea el tratamiento posterior de los datos personales para un fin, que no sea para el que lo obtuvieron, facilitará al interesado, antes del citado tratamiento, información sobre el otro fin y cualquier otra información oportuna de la referida con anterioridad.

Ahora bien, no serán aplicables los preceptos explicados en este punto, cuando:

a) El interesado ya esté informado.

b) La comunicación de la citada información resulte imposible o suponga un esfuerzo desproporcionado.

c) La comunicación esté prevista por el derecho de la Unión Europea o de los Estados miembros.

d) Si los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional.

A mayor abundamiento, la Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de datos (AEPD) aclara diversas cuestiones prácticas de interés, en concreto, destacamos la relacionada con la llamada «información por capas», así:

«Para hacer compatible la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla, desde las Autoridades de Protección de Datos se recomienda adoptar un modelo de información por capas o niveles.

El enfoque de información multinivel consiste en lo siguiente:

- presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.

- remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

El conjunto de las informaciones requeridas por el RGPD pueden agruparse en unos determinados epígrafes, a los efectos de su organización y presentación, especialmente en cuanto a la información a presentar, de forma resumida, en la primera capa o nivel.

Se recomienda presentar siempre los cinco primeros epígrafes ("Responsable", "Finalidad", "Legitimación", "Destinatarios" y "Derechos"), añadiendo el epígrafe "Procedencia" únicamente cuando los datos no procedan del propio interesado.

Es importante destacar que este enfoque multinivel se introduce con la finalidad, por un lado, de facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios, y por otro, de conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD».

Transparencia e información al interesado en el tratamiento de datos 

Artículo 11 de la LOPDGDD

«1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.

3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

En estos supuestos, la información básica incluirá también:

a) Las categorías de datos objeto de tratamiento.

b) Las fuentes de las que procedieran los datos».

Para concluir, la LOPDGDD divide en dos grupos los datos que necesariamente deberán suministrarse al afectado, basándose en el modo en que han sido obtenidos:

1. Cuando los datos personales se obtengan del afectado:

  • Identidad del responsable del tratamiento, y en su caso, de su representante.
  • Finalidad del tratamiento.
  • Los derechos establecidos en los artículos 15 a 22 del RGPD.

2. Cuando los datos personales no se hayan obtenido del afectado:

  • La información del punto anterior.
  • Las categorías de datos.
  • Las fuentes de los datos.

CUESTIONES

1. ¿Qué sucederá si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles?

En estos supuestos, el apartado segundo del artículo 11 de LOPDGDD dispone que «(...) la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679».

2. ¿Cuáles son los derechos establecidos en los artículos 15 a 22 del RGPD?

El RGPD reconoce los siguientes derechos:

- Derecho de acceso al interesado (artículo 15 del RGPD).

- Derecho de rectificación (artículo 16 del RGPD).

- Derecho de supresión (artículo 17 del RGPD).

- Derecho a la limitación del tratamiento (artículo 18 del RGPD).

- Obligación de notificación relativa a la rectificación o supresión o la limitación del tratamiento (artículo 19 del RGPD).

- Derecho a la portabilidad de los datos (artículo 20 del RGPD).

- Derecho de oposición (artículo 21 del RGPD).

- Decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 del RGPD).