Deber de Informar

publicado en: Compliance, Diligencia, RGPD | 0

Tiempo de lectura, 4 minutos

Una piedra angular de la protección de datos personales es que el titular de los datos esté informado de quién los tiene y qué hace con ellos. Labor que, al menos para la mayoría de agentes económicos y sociales, es relativamente fácil de asumir.

Es principio fundamental del RGPD que los datos se traten de manera lícita, leal y transparente (art 5). Y la transparencia obliga a informar. En la misma línea, el consentimiento (una de las seis bases que pueden legitimar el tratamiento) se dará mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado.

Así, el responsable debe informar al interesado, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo. Y, además, ha de estar en condiciones de demostrarlo, llegado el caso.

Cuando se recurre al consentimiento, el deber de informar lo antecede. De forma que una información viciada puede dar lugar a un consentimiento nulo de pleno derecho, con riesgo de sanción de segundo nivel de gravedad prevista en el RGPD. El deber de informar no depende de la base legitimadora (es siempre obligatorio en los seis casos, enumerados en el Anexo), pero no es necesario si el usuario dispone ya de la información (se da por cumplido).

¿Qué se informa?

La identidad del responsable, los fines, los intereses legítimos de terceros, los destinatarios o sus categorías, la potencial transferencia de datos fuera de la Unión Europea, el plazo de conservación, el ejercicio de derechos de acceso, rectificación, supresión, de presentar reclamaciones ante la autoridad competente (la Agencia Española de Protección de Datos para el sector privado), si hay un requisito legal o contractual para el tratamiento, las posibles decisiones automatizadas a partir de esos datos…. Teniendo en cuenta que las denuncias por uso no autorizado de datos son las más frecuentes, instrumentar adecuadamente el deber de informar al interesado es una tarea importante y quizá ya urgente en empresas e instituciones.

¿Cómo se informa?

Se impone el criterio de informar por capas (o niveles). El primero, básico, contiene información sucinta y abreviada, habitualmente en forma de tabla o cuadro. El segundo, completo, puede ser un enlace a un documento

¿Cuándo se informa?

En el momento de obtener los datos si el origen de los mismos es el propio titular de los mismos (el interesado)

En caso de que el origen sea otra fuente, durante el mes siguiente a la obtención, salvo que los datos se utilicen para comunicar con el titular, como muy tarde en la primera comunicación.

Antonio March | amc@datium.eu

Abril 2018

Las seis bases legitimadoras (art 5 RGPD)

  • Consentimiento
  • Ejecución de un contrato en el que interesado es parte
  • Cumplimiento de una obligación legal aplicable al responsable de tratamiento
  • Protección de los intereses vitales del interesado u otra persona física
  • Interés público o ejercicio de poderes públicos conferidos al responsable de tratamiento
  • Satisfacción de intereses legítimos del responsable de tratamiento o un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertados fundamentales del interesado