EL DEBER DE INFORMAR EN LA PRÁCTICA, SEGÚN LAS NOVEDADES DEL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
Los artículos 13 y 14 del Reglamento Europeo de Protección de Datos (RGPD) regulan la obligación de información en materia de protección de datos. Recordemos que las personas que nos proporcionan información personal deben ser informadas sobre el destino de sus datos, la finalidad de la recogida, las posibles cesiones y sobre los derechos que las amparan.
Esta información debe proporcionarse por un medio eficaz y de forma que se pueda demostrar que la información ha sido facilitada.
Lo normal es que se haga por escrito.
El RGPD ha introducido una serie de novedades en este ámbito y con objeto de facilitar el cumplimiento de la normativa por parte de los responsables de ficheros, la Agencia Española de Protección de datos ha publicado en su web una GUÍA PARA EL CUMPLIMIENTO DEL DEBER DE INFORMAR (así como varias guías más), que puede ser consultada en su web en el siguiente enlace:
Estos serían los extremos sobre los que habría que informar al titular de los datos:
La existencia del fichero o tratamiento, su finalidad y destinatarios.
El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
La identidad y datos de contacto del responsable del tratamiento.
Los datos de contacto del Delegado de Protección de Datos, en su caso.
La base jurídica o legitimación para el tratamiento.
El plazo o los criterios de conservación de la información.
La existencia de decisiones automatizadas o elaboración de perfiles.
La previsión de transferencias a Terceros Países.
El derecho a presentar una reclamación ante las Autoridades de Control.
Y además, en el caso de que los datos no se obtengan del propio interesado:
El origen de los datos.
Las categorías de los datos.
Teniendo en cuenta que se requieren más cuestiones que las que actualmente exige la LOPD, los responsables de ficheros tendrán que revisar sus clausulas informativas y ponerlas al día, y a ser posible, ya, como recomienda la Agencia Española de Protección de Datos, aunque la obligación no sea exigible hasta mayo de 2018.
La guía ofrece los modelos que deben utilizarse, y son de estructura muy similar a las tablas sobre información nutricional de los alimentos. La idea es que la persona, de un solo vistazo, pueda tener toda la información necesaria.
El nuevo Reglamento Europeo de Protección de Datos, hace especial énfasis en el tema de la información y consentimiento para el tratamiento de datos de carácter personal.
Veamos en qué medida se regula esta cuestión y atendamos al tenor literal del considerando 39 del referido texto legal:
1º. Los tratamientos de datos serán siempre lícitos y leales: a la persona le tiene que quedar absolutamente claro que sus datos se recogen o tratan y en qué medida.
2º. Se consolida el principio de transparencia. Según el mismo, cualquier información o explicación que se proporcione al interesado sobre el tratamiento de sus datos, será de fácil acceso y comprensión, con uso de lenguaje sencillo y claro.
3º. ¿Y sobre qué ha de quedar claramente informada la persona? Pues sobre la identidad del responsable del tratamiento, los fines del mismo, y sus derechos.
4º. Los datos que se recojan serán los adecuados, pertinentes y estrictamente necesarios para el tratamiento que se pretende de los mismos.
5º. Los datos se conservarán por quien los recoja, durante el tiempo mínimo necesario para su tratamiento. Y se fijarán con exactitud cuánto van a durar los plazos de conservación.
6º. En el tratamiento de los datos, siempre se habrá de garantizar la confidencialidad y seguridad de los mismos, impidiendo el acceso por personas no autorizadas.
7º. Por supuesto, el principio de consentimiento en el tratamiento de datos, es esencial: no se pueden recoger ni tratar datos sin contar antes con la autorización expresa del titular de la información, teniendo no obstante en cuenta, las excepciones legales.
8º. El hecho de que se haya prestado el consentimiento, tiene que poder ser demostrado por la persona o entidad que recoge y trata los datos. Por tanto, el consentimiento nunca se puede suponer. Literalmente, dice el Reglamento Europeo en su considerando 42 que:
“…debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”
9º. Por supuesto, el principio de consentimiento, tiene una serie de excepciones, como:
Cuando sea necesario en el contexto de un contrato o de la intención de concluirlo.
Cuando exista una obligación legal.
Cuando sea necesario para proteger un interés esencial para la vida de la persona.
10º. Todo lo anterior se recoge expresamente en los artículos 5, 6, 12 y 13 del Reglamento Europeo.
La Resolución de la Agencia Española de Protección de datos, de 22 de octubre de 2014 (resolución nº R/02359/2014), dictada en el procedimiento nº A/00221/2014, trata el tema de la falta de información al interesado (artículo 5.1 LOPD) en un formulario web, a través del cual se recogían datos personales.
Ni en la web, ni en el propio cuadro del formulario se incluía texto alguno sobre la finalidad de la recogida, destinatario de la información ni ninguno de los demás requisitos legales.
Recordemos que el artículo 5.1 de la referida norma, exige que los interesados que van a proporcionar datos personales, sean previa y expresamente informados:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
A lo que se añade en el párrafo 2º que:
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
Una vez comprobado por la Agencia que –efectivamente- la web no contaba con información alguna, la misma concluye que existe incumplimiento de la LOPD y que la conducta estaría tipificada en como infracción leve en su artículo 44.2.c).
En este caso la Agencia decidió no imponer sanción a la empresa denunciado, sino apercibirle para que acreditase el cumplimiento de su obligación legal de información. Aunque al final ni siquiera fue preciso el apercibimiento, ya que la denunciada procedió a cumplir el requisito previamente.
No obstante, lo que debe quedar claro es que se trata de una conducta sancionable, que deberías tener en cuenta en todo momento, en relación con cualquier formulario de contacto o recogida de datos que pueda existir en tu web.
