“Luces y sombras en la obligación de información del nuevo RGPD”, artículo de Jesús Martín, abogado de ECIJA, para LegalToday.

Tras la aprobación del Reglamento General de Protección de Datos (Reglamento UE 2016/679 #RGPD) se entra, por primera vez en la historia, en una etapa donde todos y cada uno de los Estados Miembros de la Unión Europea tienen un único marco normativo que regula el derecho a la protección de los datos personales. A través de esta normativa, la UE ha querido adaptarse al nuevo entorno digital en el que vivimos, favoreciendo el crecimiento de la economía digital y competitividad de las empresas. Todo ello provoca un enorme reto para las empresas en cuanto al cumplimiento normativo de las diferentes obligaciones que emanan de la normativa europea: Las empresas que traten datos de carácter personal deberán ser conscientes de la importancia de la protección de los derechos de los ciudadanos.

Una de las obligaciones principales para el tratamiento de datos personales es el deber de información en virtud del principio de transparencia sobre las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten a los interesados. La importancia de esta obligación la determina la Agencia Española de Protección de Datos cuando establece que “(…) Este principio es, a la vez que una obligación para los responsables de los tratamientos, un derecho de los titulares de los datos y, muchas veces, constituye la primera ayuda que tiene el ciudadano para poder ejercitar el resto de derechos que marca la Ley (Acceso, Rectificación, Cancelación y Oposición)”.

La consecuencia es clara, todos los procesos, modelos, formularios y/o maneras de acceder al tratamiento de datos personales deberán ser revisados y adaptados al RGPD,incluyendo aquellos requisitos que establece la nueva normativa y, además, la información a las personas deberá proporcionarse con un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso. Es precisamente en este momento cuando nos planteamos la opción de conjugar los nuevos requisitos a través de algunas de las formas más habituales de recogida de datos personales (formularios en papel, entrevistas telefónicas, formularios web, registro de apps, etc).

¿Luces y sombras en la obligación de información del nuevo RGPD? A priori parece complicado hacer compatible la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla (y más aún en el entorno de movilidad digital en el que nos encontramos hoy en día). ¿Os imagináis la posibilidad de incluir en una cláusula de protección de datos los datos e identidad del responsable, los datos del DPO, una descripción detallada de los fines del tratamiento, los plazos o criterios de conservación de los mismos, si existen o no decisiones automatizadas y de creaciones de perfil, etc.?

Pues bien, las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o niveles (¿os suena con el tema de las Cookies, verdad?) consistente en presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos y, remitir una información adicional en un segundo nivel, donde se presentarían de forma detallada el resto de las informaciones en un medio más adecuado para su presentación, comprensión y/o archivo. Por tanto, podemos establecer que la obligación de información requerida por el RGPD puede agruparse en unos determinados epígrafes clave, a los efectos de su organización y presentación (“responsable”, “finalidad”, “legitimación”, “destinatarios”, “derechos”, “procedencia”) y luego determinar qué información incluir en cada capa o nivel. Esta misma semana la AEPD ha elaborado una guía en la cual establece un ejemplo al respecto:

img-id187684 Luces y sombras en la obligación de información del nuevo RGPD

No debemos obviar el objetivo de proteger a los interesados por parte del legislador europeo, tarea ardua a la hora de dar cumplimiento a las obligaciones de información impuestas. Qué tipo de información incluir a simple vista para el usuario a la hora de tomar los datos, qué procedimiento seguir, adaptar esa información al método de toma de datos, establecer la información de manera clara o concisa…son cuestiones que seguramente variarán dependiendo del tipo y volumen de datos que trate cada empresa u organización.

(…)

Haga clic aquí para acceder a la versión completa del artículo.



Socios relacionados


Jesús Martín Botella

ver perfil