Legal

RGPD: derecho a la transparencia e información al afectado de los datos, ¿cómo se gestiona?

Carlos Roberto Cabello Carlos Roberto Cabello

Carlos Roberto trabaja desde hace 15 años con empresas en el área de sistemas y atención al cliente para ayudarles a mejorar su relación con las nuevas tecnologías.

sage
4 minutos de lectura

Explicamos en qué consiste el derecho de transparencia e información al afectado de los datos y en qué obligaciones se manifiesta para los responsables.

  • Qué deben cumplir las empresas cuando los datos se obtengan directamente del afectado
  • Cómo dar cumplimiento al deber de información cuando los datos no se han obtenido directamente del afectado

Una de las cuestiones en las que hace más hincapié la LOPDPGDD es la transparencia e información al propietario de los datos en todo momento, para que sea consciente de cuáles se recogen, para qué fin y a quién tiene que acudir para hacer valer sus derechos. Por ello, el derecho a la transparencia e información aparece regulado en el artículo 11 de la LOPDPGDD.

El usuario debe estar informado en todo momento del tratamiento de sus datos y del uso que se le están dando. La transparencia ha sido una de las premisas del RGPD europeo y en la nueva LOPDPGDD se especifica cómo las empresas deben facilitar dicha información a los propietarios de los datos. Cobra especial importancia la figura del responsable de tratamiento de datos, ya que será la persona de contacto entre empresa y los propietarios de los datos.

Cómo informar cuando los datos se obtienen directamente del afectado

Se pueden dar dos situaciones en la recogida de datos: que se obtengan directamente del afectado o a través de terceros. Un ejemplo de recogida directa sería la persona que se inscribe a través de un formulario para recibir la newsletter de nuestra empresa.

En este caso, el deber de la información de la empresa hacia el usuario es que deberá facilitar, al menos, la siguiente información básica:

  • Identidad del responsable del tratamiento de datos y su representante en caso de existir.
  • Finalidad del tratamiento.
  • Información de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición o tratamiento automatizado en base a perfiles.

En este último caso, la elaboración de perfiles, el usuario podría oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos o le afecten significativamente.

Normalmente, toda esta información se ofrece al usuario a través de unas condiciones legales que debe aceptar expresamente. La redacción de la información de dichas condiciones tiene que hacerse de tal forma que sea fácilmente comprensible por cualquier persona, sin necesidad de que tenga conocimientos jurídicos.

Cómo informar cuando los datos no se obtienen del afectado

En otras ocasiones, los datos que se están tratando no se han obtenido directamente del afectado. En estos casos, además de la información básica antes citada como la dirección y los datos del responsable del tratamiento, su finalidad y los derechos que tiene el usuario además debería informar de:

  • Las categorías de datos que son objeto de tratamiento.
  • De dónde proceden dichos datos, es decir, cómo se han obtenido, ya sea a través de una empresa de la que a su vez es cliente el interesado, una cesión de datos, etc.

Cómo debe facilitarse la información está regulado en el artículo 14 del RGPD. Por ejemplo, debería notificarse en caso de transferir los datos a un destinatario en un tercer país u organización internacional. Un ejemplo práctico es cuando los datos pasan de estar en el servidor de la empresa a alojarse en la nube de un tercero, que realiza copias de seguridad de dichos sistemas en diferentes centros de datos, alguno de ellos alojado fuera de la UE, en cuyo caso ha de informar el país de destino u organización internacional y, cuando corresponda la documentación de garantías adecuadas.

También se debe facilitar información al interesado respecto al plazo de conservación de los datos personales o los intereses legítimos para su tratamiento. La información se debe facilitar al interesado en un plazo razonable, una vez obtenidos dichos datos. El límite habitual es de un mes. En caso de utilizarse dicha información para comunicarse con el interesado deberá hacerse en la primera comunicación.

No obstante, existen algunos casos en los que estas obligaciones no serían aplicables:

  • Si el interesado ya dispone de dicha información porque la empresa que ha cedido los datos ya se lo ha comunicado.
  • En caso de que la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado. Por ejemplo, con el tratamiento de datos para fines de interés público, estadístico o de investigación científica.
  • Cuando los datos tengan carácter confidencial y estén sujetos a la obligación del secreto profesional.

Quizás en el caso de la imposibilidad o el esfuerzo desproporcionado suponga una de las zonas grises de la redacción de la ley. Porque el esfuerzo puede ser desproporcionado para una pyme, pero no para una gran empresa o una administración pública.

En todo caso, el esfuerzo realizado para que el interesado siempre tenga el control de sus datos es el espíritu que impera tanto en la redacción de la LOPDPGDD como del RGPD y donde las empresas deben trabajar para superar los mínimos propuestos por ambas leyes.

Formación bonificada sobre RGPD. ¿A qué esperas?

Facilita a tus empleados el cumplimiento de la normativa RGPD con una formación a medida

  • ¡Impartida por profesionales especializados, en modalidad online y con diploma acreditativo!
Conoce nuestros cursos online
Sage

Siguiente lectura recomendada

Encuentra más artículos sobre estas temáticas