Derecho de transparencia e información en la LO 3/2018 (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/01/2019

Los derechos a la transparencia e información del interesado se encuentran, regulados en los artículos 12, 13 y 14 del RGPD, así como en el artículo 11 de la LOPDGDD.

Por un lado el denominado "principio de transparencia" se configura como un instrumento para satisfacer los derechos del interesado (artículo 12 RGPD), y por otro, el derecho a la información del interesado correlativamente (artículos 13 y 14 RGPD) se vincula con unas obligaciones concretas relacionadas con el deber de informar. En cuanto a la LOPDGDD se regula en el título III sobre los Derechs de las persones en su "artículo 11. Transparencia e información", donde básicamente se recogen las disposiciones del RGPD.

El RGPD prevé por tanto que la información a las personas interesadas, tanto en las cláusulas informativas, como en las respuestas a los ejercicios de derechos, se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. En este aspecto, va más allá de lo que disponía la LOPD, que tan sólo exigía que la información se prestara de modo expreso, preciso e inequívoco. Por tanto, deberá evitarse acudir a fórmulas especialmente farragosas y que incorporen remisiones a  textos legales. Será necesario que las cláusulas informativas expliquen el contenido de una forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.

El RGPD prevé que la información a los interesados se facilite por escrito, incluídos, como señala el considerando 58, los medios electrónicos, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad online. Además cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente como máximo en el plazo de un mes. En el caso de que se haya efectuado una solicitud por parte del interesado, el plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

El responsable del tratamiento deberá de informar sin dilación al interesado en caso de no poder atender su solicitud, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad del interesado que presenta una solicitud de ejercicio de derechos de habeas data, podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del mismo

 

Conforme lo dispuesto en el artículo 12 del Reglamento, y tal y como hemos expuesto al inicio, el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. En consecuencia, el responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específico en que se traten los datos personales.

 

El derecho a la información se encuentra regulado -como dijimos- en los artículos 13 y 14 del RGPD.

Como veremos ambos preceptos presentar una estructura similar, refiriéndose en primer lugar a una primer conjunto de datos básicos, y posteriormente a una segunda batería de información que -siendo igualmente importante- se concibe como una actividad informativa destinada a respetar los principios de transparencia y lealtad .

De forma similar, desde las Autoridades de Protección de Datos se recomienda adoptar un modelo de información por capas o niveles. Este enfoque consiste en presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos, y posteriormente remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

Las declaraciones o avisos de privacidad por capas se apoyan en dos pilares fundamentales:

  • El primer nivel consiste en la información básica para el interesado, que debe estar de forma resumida, y se debe ofrecer en el mismo momento en que se recopila la información y por el mismo medio por el cual se recojan los datos.
  • En el segundo nivel debe encontrarse la información de forma detallada, en un medio más adecuado para su presentación y compresión por el interesado.

- El primero de los preceptos regula la información que deberá de facilitarse al interesado cuando los datos hayan sido obtenidos del mismo. Así, el artículo 13 determina :

Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.


Pues bien, a fin de garantizar un tratamiento de datos leal y transparente, además de esta información -a la hace referencia el apartado 1 del citado artículo 13- el responsable también informará al interesado sobre los siguientes extremos:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

 

En el caso de que el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin diferente a aquel para el que se recogieron, deberá de proporcionar al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente

Como vemos, si los datos se obtienen directamente del interesado, la información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.

 

- Por su parte, el artículo 14, determina la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado. Asi, en estos casos el responsable deberá de facilitar la siguiente información:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) las categorías de datos personales de que se trate;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

Pues bien , al igual que sucede en los casos en que los que los datos han sido obtenidos del interesado, el articulo 14 también contempla la necesidad -en aras de garantizar un tratamiento de datos leal y transparente- de que el responsable informe al interesado sobre:

a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;

c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;

e) el derecho a presentar una reclamación ante una autoridad de control;

f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

En cuanto al art 11 de la LOPGDD se indica expresamente que cuando los datos o hubieran sido obtenidos directamente del afectado, se deberá además incluir las fuentes de las que procedieron los datos.

Esta información debe ser facilitada por el responsable a iniciativa propia, es decir sin que resulte necesario que exista un requerimiento previo por parte del titular.

Por lo que respecta al momento en el que deberá de facilitarse la información, en los casos en que los datos no se obtengan del propio interesado, -bien por proceder de alguna cesión legítima, bien por haber sido obtenidos de fuentes de acceso público- el responsable está obligado a informar a las personas interesadas dentro de un plazo razonable, pero en cualquier caso :

  1. antes de un mes desde que se obtuvieron los datos personales,
  2. antes o en la primera comunicación con el interesado,
  3. o antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

Cabe señalar que la obligación de informar al interesado no resultará exigible por un lado, cuando el titular ya disponga de la información, y por otro cuando, en el caso de que los datos no hubieran sido obtenidos del interesado, concurra alguno de estos supuestos:

  • Cuando ya dispone de la información.
  • Cuando la comunicación de dicha información resulta imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  • Cuando puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento, pero se adoptan medidas para proteger los derechos, libertades e intereses legítimos del interesado.
  • Cuando la obtención o la comunicación está expresamente establecida por normas de derecho aplicables.
  • Cuando los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional regulada por normas de Derecho.

 

Sin embargo, los responsables del tratamiento no solo deben proporcionar la información prescrita en los artículos 13 y 14, sino que también se debe explicar cuáles serán las consecuencias más importantes del tratamiento.

En cuanto al tratamiento de los datos con fines de videovigilancia, el art. 22.4 de la LOPDGDD establece que "El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información.

En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento".

 

Por último, el Considerando 74 del RGPD establece que el responsable está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento. Por ello, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento y los posibles riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

En todo caso, no resultará adecuado acudir a formalismos que reproduzcan textos legales, por cuando que los interesados deberán de poder comprender el contenido de la información facilitada con independencia de sus conocimientos en la materia.

 

No hay versiones para este comentario

Datos personales
Responsable del tratamiento
Autoridad de control de datos
Elaboración de perfiles
Interés legitimo
Delegado de protección
Tratamiento de datos personales
Transferencia de datos personales
Acceso a datos personales
Portabilidad de datos personales
Protección de datos
Comunicación de datos
Categorías de datos personales
Obligación de información
Amenazas
Interés publico
Secreto profesional

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Transferencias internacionales de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liec...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Contenido y metodología de la Evaluación de impacto según el RGPD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...

  • Derecho de oposición en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    En el RGPD (así como el la LOPDGDD) se reconoce expresamente el derecho del interesado a oponerse -en cualquier momento- por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamient...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados