Hace un par de semanas comenzábamos la serie de artículos sobre los derechos del interesado hablando del derecho de transparencia, hoy nos centraremos en:
El derecho de información.
El RGPD,al igual que sucede actualmente en nuestro derecho interno, establece diferentes obligaciones respecto de este derecho en función de la fuente de obtención de los datos personales, es decir, si los datos son recogidos directamente del interesado o afectado, o por el contrario si los datos se han obtenido de un tercero. La diferencia con nuestra normativa es que el RGPD amplía la información que el responsable debe facilitar al interesado.
Analicemos cada caso:
1 Lo datos son recogidos directamente del interesado:
El artículo 13 establece que cuando los datos sean así obtenidos, el responsable del tratamiento, en el momento de su recogida, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; obligación que ya se viene exigiendo en nuestro derecho interno.
b) los datos de contacto del delegado de protección de datos, en su caso; nueva y clara obligación para las entidades obligadas a nombrar un DPO (art.37.1 RGPD).
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
La novedad en este caso la encontramos en la segunda parte cuando habla de indicar la base jurídica del tratamiento que deberá ser clara y precisa y de aplicación previsible para sus destinatarios. Además y tal y como reza la norma a lo largo de sus considerandos podrá venir establecida en el Derecho de la Unión o de los Estados miembros, o contener disposiciones específicas para adaptar la aplicación de normas del Reglamento.
d) los intereses legítimos del responsable o un tercero cuando el tratamiento se base en la necesidad de satisfacción de tales intereses;
La novedad radica en el hecho de que habrá que informar de ello.
e) los destinatarios o las categorías de destinatarios de los datos personales;
Podemos entender aquí que se refiere a las posibles cesiones de datos que estén previstas realizar. Aunque también es interesante hacer una reflexión al respecto y atendiendo a la definición de del RGPD, esto es: “la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero”. ¿Se pude estar refiriendo a los encargados de tratamiento?
f) La intención de transferir los datos personales a un tercer país u organización internacional.
Se deberá indicar además la existencia o ausencia de una decisión de adecuación de la Comisión y hacer referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas (…).
Asimismo el RGPD exige, en aras de garantizar un tratamiento de datos leal y transparente, que el Responsable del tratamiento informe de:
a. el plazo de conservación de los datos, o en su caso los criterios utilizados para fijar ese plazo.
Novedad interesante pues el RGPD obliga, desde un primer momento, a informar a los afectados el plazo de conservación de sus datos. Entendemos que sería recomendable entonces que las entidades tengan preestablecidos procedimientos internos de conservación de datos atendiendo por ejemplo, a lo estipulado en normas específicas a al criterio de finalidad.
b. el derecho a solicitar al responsable el acceso a los datos, su rectificación o supresión, la limitación de su tratamiento, a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
c. cuando el interesado haya dado su consentimiento para el tratamiento de sus datos personales, de la existencia del derecho a retirarlo en cualquier momento.
Derecho que existe en nuestro derecho interno pero que el Reglamento obliga a informar.
d. el derecho a presentar una reclamación ante la autoridad de control.
e. si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato.
Volvemos a la idea de la base jurídica como fundamento de derecho para el tratamiento.
Y por último:
Se deberá de informar de la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado ante la existencia de decisiones automatizadas, incluida la elaboración de perfiles.