El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.
¿Cómo se ha de transmitir la información en virtud del Principio de Transparencia según el nuevo RGPD?
- La información dirigida al interesado ha de ser concisa, trasparente, inteligible y de fácil acceso.
- La información al interesado será transmitida a través de un lenguaje claro y sencillo. Para ello se evitará el abuso de citas legales, términos confusos o ambiguos.
- Se rehuirán las políticas de privacidad excesivamente largas, o difíciles de entender.
- La información que vaya dirigida a menores[1], además de utilizar un lenguaje claro y sencillo, deberá ser entendible por éstos últimos.
- La información se puede facilitar por escrito, medios electrónicos o verbalmente, si lo solicita y se acredita la identidad del interesado, además por otros medios o en combinación con iconos normalizados que “deberán ser legibles mecánicamente”.
En relación al derecho a la información del interesado el RGPD distingue:
- La información que deberá facilitarse cuando los datos personales se obtengan del interesado. Deberá realizarse en el momento de la recogida de los datos personales.
- La información que se facilitará cuando los datos personales no se hayan obtenido del interesado. Deberá realizarse en el plazo máximo de un mes desde la recogida o, si es anterior, en el momento en el que se comuniquen los datos tratados al interesado o un tercero.
Información que siempre deberá facilitarse cuando los datos personales se obtengan del interesado:
- La identidad y los datos de contacto del responsable y, en su caso, de su representante.
- La finalidad del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento (consentimiento, ejecución de un contrato; cumplimiento de una obligación legal; misión en interés público o ejercicio de Poderes públicos; interés legítimo del Responsable o un tercero).
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- La posibilidad de revocar el consentimiento
- El derecho a presentar una reclamación ante una autoridad de control.
Información que, en caso de que se de cada supuesto, se deberá facilitar al interesado:
- Los datos de contacto del Delegado de Protección de Datos (DPD o DPO).
- Del interés legítimo del responsable o un tercero, en el caso de uso de dichos supuestos de tratamiento.
- Los destinatarios o las categorías de destinatarios de los datos personales, en su caso
- La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.
- De la existencia de decisiones individualizadas automatizadas, incluida la elaboración de perfiles.
- La existencia de comunicaciones de datos, bien por requisito legal o contractual, y de la obligación a facilitar dichos datos y las consecuencias de la negativa a facilitarlos.
Cuando los datos no hayan sido recabados u obtenidos del interesado, el responsable deberá facilitar, además de la información anterior, la siguiente información:
- El origen de los datos.
- Las categorías de datos.
La obligación de informar a los interesados sobre las circunstancias relativas al tratamiento de sus datos personales, recae sobre el Responsable del tratamiento.
En el caso de que se nombre un DPD, entre sus obligaciones se encontrará la de supervisar el correcto cumplimiento de los principios del RGPD. Entre otros: licitud, lealtad, transparencia, limitación, minimización de datos, exactitud, integridad y confidencialidad.
[1] Al hablar de menores se hace referencia a los niños que, a tenor del artículo 8 RGPD, pueden dar su consentimiento sin permiso paterno: Mayores de 16 o 13 años dependiendo de la regulación del Estado Miembro. En España, el proyecto de LOPD indica: “El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años.”
El Equipo Govertis