El deber de informar en la LOPD

El deber de informar en la Ley Orgánica de Protección de Datos Personales

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

El deber de informar que alcanza a los responsables del tratamiento de datos personales ha sido siempre un punto clave en la normativa sobre este tema. Con ocasión de las recientes modificaciones en su regulación, te contamos en qué consiste este deber, cómo debe ser cumplido y de qué tratan las últimas novedades reglamentarias.

Nociones básicas del deber de informar en la Ley Orgánica de Protección de Datos Personales (LOPD)

Todas las personas físicas a las que se les soliciten datos de carácter personal tienen el derecho de conocer, con anterioridad o posterioridad a la recogida de los datos, determinadas circunstancias relativas al tratamiento de estos.

Este derecho de información, previsto en el artículo 5º de la Ley Orgánica de Protección de Datos Personales (LOPD), tiene su reverso en el deber de información que recae sobre los responsables.

En efecto, toda persona física o jurídica responsable del tratamiento de datos de carácter personal tiene la obligación de informar a los interesados acerca de ciertas cuestiones básicas relacionadas con la recopilación y el uso final de esos datos.

De esta manera, la LOPD establece que se debe informar a los interesados: (i) que sus datos personales formarán parte de un fichero, la finalidad específica de la recogida de los datos personales y los destinatarios de la información; (ii) del carácter obligatorio o facultativo de responder a las preguntas que les sean realizadas; (iii) de las consecuencias de la obtención de los datos o la negativa a aportarlos; (iv) y de la identidad y dirección del responsable del tratamiento de los datos o, en su caso, del representante de este.

¿Cuándo se hace efectivo el deber de información?

Se establece una diferenciación según si los datos son, directamente, recabados de la persona interesada o no.

Así, cuando los datos se obtienen del propio interesado, el deber de información se cumple en el acto. Es decir, en el momento en el que se solicitan los datos de la persona.

En algunas ocasiones, puede haber recopilación de datos que no provengan de la persona interesada. Por ejemplo, cuando provienen de fuentes de acceso público. En tal caso, el deber de información del responsable debe cumplirse dentro de un plazo razonable; pero, en todo caso: (i) dentro del primer mes desde que se recogieron los datos, (ii) en la primera comunicación con el interesado o (iii) antes de que los datos sean comunicados a los destinatarios.

¿Cómo se cumple el deber de informar?

En realidad, hay tantos medios como mecanismos para recopilar datos. Por ejemplo,  a través de formularios en papel o en páginas web, en comunicaciones telefónicas o por correo postal. Lo importante es que la información se cumpla en un lenguaje claro y fácil de entender.

Hay ocasiones en las que no es obligatorio que el responsable cumpla con su deber de información, puesto que el interesado ya dispone de ella. Esta situación también se da ante casos en los que los datos no provienen del interesado, cuando la comunicación fuese imposible o demande un esfuerzo exagerado, cuando el registro o la comunicación de los datos estén expresamente establecidos por las leyes de la Unión Europea o sus Estados miembros o cuando los datos deban mantener su carácter confidencial.

Las novedades del RGPD al respecto de la información

En junio de 2016 entró en vigencia el nuevo Reglamento General de Protección de Datos (RGPD), aprobado por el Parlamento y Consejo Europeo con la finalidad de establecer estándares comunes para los Estados miembros.

El RGPD contiene ciertas disposiciones que complementan (pero no contradicen) lo establecido por la legislación española, en cuanto al deber de información, entre otras cuestiones de importancia.

El contenido del deber de información

Ya hemos visto las previsiones de la LOPD, en cuanto al contenido de la información a la persona interesada. Con el nuevo RGPD, se añaden nuevos contenidos:

1. La información de contacto del Delegado de Protección de Datos. Vale aclarar que el delegado es una figura creada por este nuevo Reglamento. Se trata de una persona con conocimiento de la legislación sobre datos personales y que actuará de forma independiente a la agencia de control.

2. La legitimación o base jurídica para el tratamiento de los datos.

3. El plazo o los criterios para la conservación de los datos.

4. La existencia de decisiones automatizadas o elaboración de perfiles con los datos personales.

5. La posibilidad de transferencia de la información a otros países.

6. El derecho que asiste al interesado de presentar una reclamación ante las autoridades competentes.

Asimismo, cuando los datos no se obtienen directamente del interesado, se debe informar de su origen y las categorías.

La necesidad de adaptarse

Estas novedades del RGPD significan que los responsables del tratamiento de datos deberán adaptar los procedimientos o modelos de recopilación de datos diseñados de acuerdo a la LOPD.

Se recomienda hacerlo con anterioridad a la fecha de plena aplicación del RGPD: 25 de mayo de 2018.

Además, para cumplir con las nuevas directivas europeas, las autoridades responsables de la aplicación han aconsejado adoptar un modelo de información por niveles o “capas”.

Así, en un primer nivel, se presenta una información básica y resumida, en el momento en el que se recopilan los datos. Luego hay un segundo nivel con información más detallada, que se comunica al interesado en un medio más adecuado para su comprensión y, si quiere, su archivo.

Veamos la cuestión con algunos ejemplos. Sabemos que el deber de información exige identificar al responsable del tratamiento. En el primer nivel de información, solamente se indica la identidad del responsable. En la información adicional (o segundo nivel), se van a mencionar los datos de contacto del responsable, la identidad y los datos de contacto de su representante y los datos de contacto del delegado de protección de datos.

Lo mismo ocurre con el resto de los contenidos: finalidad y legitimación del tratamiento, destinatarios de posibles cesiones, derechos de los interesados y procedencia de los datos.

Para mayor información sobre el deber de informar y las novedades del RGPD, sugerimos revisar las guías oficiales de la Agencia Española de Protección de Datos.

Artículos relacionados

Claves de la regulación de los códigos de conducta con el nuevo RGPD Los códigos de conducta son uno de los aspectos más destacables dentro del nuevo Reglamento General de Protección de Datos. Estos se regulan en el artículo 40 y 41 RGPD y son procesos que tienen un carácter voluntario.El carácter voluntario cuent...
Las claves de la responsabilidad proactiva A partir del próximo mes de mayo se produce un punto de inflexión en la regulación de los datos personales en blogs, empresas y webs. En este contexto, la responsabilidad proactiva es de una gran importancia, según los principios del RGPD (Reglamento...
Textos legales para una página web La LOPD y la LSSI en una página web Tener una web legal no significa añadir un pop-up que informe sobre lo relativo a la ley de cookies, tanto si las tiene como si no, y es mucho más que tener unos textos legales más o menos similares a los de otra ...
¿Qué pasa si mi página no cumple con la LOPD y la LSSI? ¿Cumple mi página web con la LOPD y la LSSI? Para  cumplir con la LOPD y la LSSI en mi página web, debería de conocer las normativas vigentes. De lo contrario, las consecuencias directas e indirectas de que mi página web no cumpla con la normativa v...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *