El deber de informar en la LOPD

El deber de informar en la Ley Orgánica de Protección de Datos Personales

El deber de informar que alcanza a los responsables del tratamiento de datosCualquier operación o procedimiento técnico, sea o no auto... personales ha sido siempre un punto clave en la normativa sobre este tema. Con ocasión de las recientes modificaciones en su regulación, te contamos en qué consiste este deber, cómo debe ser cumplido y de qué tratan las últimas novedades reglamentarias.

Nociones básicas del deber de informar en la Ley Orgánica de Protección de Datos Personales (LOPD)

Todas las personas físicas a las que se les soliciten datos de carácter personal tienen el derecho de conocer, con anterioridad o posterioridad a la recogida de los datos, determinadas circunstancias relativas al tratamiento de estos.

Este derecho de información, previsto en el artículo 5º de la Ley Orgánica de Protección de Datos Personales (LOPD), tiene su reverso en el deber de información que recae sobre los responsables.

En efecto, toda persona física o jurídica responsable del tratamiento de datos de carácter personal tiene la obligación de informar a los interesados acerca de ciertas cuestiones básicas relacionadas con la recopilación y el uso final de esos datos.

De esta manera, la LOPD establece que se debe informar a los interesados: (i) que sus datos personales formarán parte de un ficheroTodo conjunto organizado de datos de carácter personal, que..., la finalidad específica de la recogida de los datos personales y los destinatarios de la información; (ii) del carácter obligatorio o facultativo de responder a las preguntas que les sean realizadas; (iii) de las consecuencias de la obtención de los datos o la negativa a aportarlos; (iv) y de la identidad y dirección del responsable del tratamiento de los datos o, en su caso, del representante de este.

¿Cuándo se hace efectivo el deber de información?

Se establece una diferenciación según si los datos son, directamente, recabados de la persona interesada o no.

Así, cuando los datos se obtienen del propio interesado, el deber de información se cumple en el acto. Es decir, en el momento en el que se solicitan los datos de la persona.

En algunas ocasiones, puede haber recopilación de datos que no provengan de la persona interesada. Por ejemplo, cuando provienen de fuentes de acceso público. En tal caso, el deber de información del responsable debe cumplirse dentro de un plazo razonable; pero, en todo caso: (i) dentro del primer mes desde que se recogieron los datos, (ii) en la primera comunicación con el interesado o (iii) antes de que los datos sean comunicados a los destinatarios.

¿Cómo se cumple el deber de informar?

En realidad, hay tantos medios como mecanismos para recopilar datos. Por ejemplo,  a través de formularios en papel o en páginas web, en comunicaciones telefónicas o por correo postal. Lo importante es que la información se cumpla en un lenguaje claro y fácil de entender.

Hay ocasiones en las que no es obligatorio que el responsable cumpla con su deber de información, puesto que el interesado ya dispone de ella. Esta situación también se da ante casos en los que los datos no provienen del interesado, cuando la comunicación fuese imposible o demande un esfuerzo exagerado, cuando el registro o la comunicación de los datos estén expresamente establecidos por las leyes de la Unión Europea o sus Estados miembros o cuando los datos deban mantener su carácter confidencial.

Las novedades del RGPD al respecto de la información

En junio de 2016 entró en vigencia el nuevo Reglamento General de Protección de Datos (RGPD), aprobado por el Parlamento y Consejo Europeo con la finalidad de establecer estándares comunes para los Estados miembros.

El RGPD contiene ciertas disposiciones que complementan (pero no contradicen) lo establecido por la legislación española, en cuanto al deber de información, entre otras cuestiones de importancia.

El contenido del deber de información

Ya hemos visto las previsiones de la LOPD, en cuanto al contenido de la información a la persona interesada. Con el nuevo RGPD, se añaden nuevos contenidos:

1. La información de contacto del Delegado de Protección de Datos. Vale aclarar que el delegado es una figura creada por este nuevo Reglamento. Se trata de una persona con conocimiento de la legislación sobre datos personales y que actuará de forma independiente a la agencia de control.

2. La legitimación o base jurídica para el tratamiento de los datos.

3. El plazo o los criterios para la conservación de los datos.

4. La existencia de decisiones automatizadas o elaboración de perfiles con los datos personales.

5. La posibilidad de transferencia de la información a otros países.

6. El derecho que asiste al interesado de presentar una reclamación ante las autoridades competentes.

Asimismo, cuando los datos no se obtienen directamente del interesado, se debe informar de su origen y las categorías.

La necesidad de adaptarse

Estas novedades del RGPD significan que los responsables del tratamiento de datos deberán adaptar los procedimientos o modelos de recopilación de datos diseñados de acuerdo a la LOPD.

Se recomienda hacerlo con anterioridad a la fecha de plena aplicación del RGPD: 25 de mayo de 2018.

Además, para cumplir con las nuevas directivas europeas, las autoridades responsables de la aplicación han aconsejado adoptar un modelo de información por niveles o “capas”.

Así, en un primer nivel, se presenta una información básica y resumida, en el momento en el que se recopilan los datos. Luego hay un segundo nivel con información más detallada, que se comunica al interesado en un medio más adecuado para su comprensión y, si quiere, su archivo.

Veamos la cuestión con algunos ejemplos. Sabemos que el deber de información exige identificar al responsable del tratamiento. En el primer nivel de información, solamente se indica la identidad del responsable. En la información adicional (o segundo nivel), se van a mencionar los datos de contacto del responsable, la identidad y los datos de contacto de su representante y los datos de contacto del delegado de protección de datos.

Lo mismo ocurre con el resto de los contenidos: finalidad y legitimación del tratamiento, destinatarios de posibles cesiones, derechos de los interesados y procedencia de los datos.

Para mayor información sobre el deber de informar y las novedades del RGPD, sugerimos revisar las guías oficiales de la Agencia Española de Protección de Datos.

Artículos relacionados

La LOPD en los sindicatos laborales Los trabajadores pueden ejercer su derecho de representación a través de los sindicatos laborales. Estas entidades les representarán y les garantizan una serie de derechos realmente beneficiosos en materia laboral. Igualmente, se les asegurarán funci...
Obligaciones en materia de protección de datos La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, establece una serie de obligaciones legales: - Obligatoriedad de Declaración de ficheros de datos a la Agencia Española de Protección de Datos: Las empresas y p...
Auditoría LOPD El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece en el artículo 96 la obligación de realizar la auditoría bienal de los ficheros que contengan datos clasificados de nivel medio o alto.La Auditoria LOPD  debe dictaminar en...
Delegado de Protección de Datos (DPO) La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre y su Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal,...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *