GDPR 4. La información del tratamiento


Josep Aragonés Salvat     24/07/2016

La información del tratamiento en el nuevo Reglamento (GDPR)


Tal como indicábamos en el artículo anterior, El consentimiento explícito, el principio fundamental de un tratamiento es la lealtad y transparencia con el interesado. Aplicando este principio, el GDPR dispone que se deberá facilitar la información del tratamiento de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente si va dirigida a niños.
 
A diferencia de la LOPD, que la información del tratamiento se reflejaba en una cláusula diminuta donde se indicaba que los datos estaban incluidos en un fichero debidamente inscrito en el RGPD, la finalidad del tratamiento, los destinatarios de los datos -si los hubiere-  y los datos de contacto para ejercer los derechos ARCO, el GDPR nos obliga a ser más transparentes, lo que quiere decir que el interesado debe estar claramente informado del tratamiento.
 
La información se podrá facilitar por escrito o por medios electrónicos; inclusive oralmente si lo solicita el interesado. También podrá transmitirse en combinación con iconos formalizados que permitan proporcionar de forma visible, inteligible y claramente legible una presentación adecuada del tratamiento de datos previsto.

 

Contenido de la información al interesado en el GDPR


El Responsable del tratamiento deberá facilitar, como mínimo, la siguiente información:
 
  • La base jurídica del tratamiento.
  • La identidad y los datos de contacto del Responsable del tratamiento y del DPO (si existe).
  • Los fines del tratamiento.
  • El plazo de conservación o los criterios que lo determinen.
  • Los derechos del interesado.
  • El interés legítimo del Responsable del tratamiento, si el tratamiento se basa en este interés.
  • Los destinatarios de los datos, si se prevé comunicarlos a otro Responsable.

Y para tratamientos específicos se añadirá la siguiente información:
 
  • Las transferencias internacionales de datos y la existencia o ausencia de una decisión de suficiencia o de garantías apropiadas.
  • Cuando exista un mecanismo automatizado de elaboración de perfiles, deberemos facilitar información sobre la lógica aplicada y las consecuencias previstas para el interesado.
  • Si nos proponemos tratar los datos para otros fines, deberemos facilitar al interesado información de estos fines.

Y si los datos son obtenidos de fuentes externas (no del interesado), se añadirá la siguiente información:
 
  • La fuente de procedencia de los datos.
  • Las categorías de datos tratados.
 

Política de información al interesado


No será suficiente informar al interesado del tratamiento. El Responsable del tratamiento deberá diseñar políticas concisas, transparentes, sencillas y accesibles para comunicar al interesado los detalles del tratamiento y el ejercicio de los derechos sobre sus datos.

Estas políticas deberán estar en conocimiento y a disposición del personal autorizado que trata los datos para comunicarlas al interesado en los plazos y formas que establece Reglamento. De la misma forma deberá establecer los procedimientos a seguir para dar curso a las solicitudes de los derechos de los interesados y cumplir con los plazos establecidos en el Reglamento para responderlas.

 

Comunicación de la información al interesado


La información del tratamiento se deberá facilitar en el momento de la obtención de los datos, no siendo necesario volver a hacerlo una vez el interesado haya sido informado.

En el caso que los datos se hayan obtenido de fuentes externas (no del interesado), se facilitará la información al interesado en un plazo máximo de 1 mes o, si vamos a utilizar los datos para comunicarnos con él, en el momento de la primera comunicación.

Si está previsto comunicarlos a un destinatario, la información se deberá facilitar al interesado, como máximo, en el momento en que los datos los comuniquemos por primera vez al destinatario.

No será necesario comunicar la información al interesado:

Cuando el interesado ya disponga de la información o cuando la comunicación sea imposible o suponga un esfuerzo desproporcionado.

Tampoco será necesario comunicar la información cuando el tratamiento sea una obligación legal del Responsable del tratamiento, como por ejemplo, la obtención de datos para la emisión de facturas.
 
 

Seguimiento del curso Experto en el GDPR


Tema anterior: 3. El consentimiento explícito     Tema siguiente: 5. Los derechos del interesado



Información relacionada