Auditoría & Co

Tratando datos: la información no lo es todo, pero casi

A la hora de adaptar una organización a la normativa de protección de datos, uno de los aspectos que más atención merece es la información que se ofrece a los interesados. Ya con la antigua LOPD de 1999 era necesario explicarles lo que se iba a hacer con sus datos, pero con el RGPD y la nueva LOPDGDD las exigencias en este campo aumentan.

Si no se proporciona los datos exigidos por la normativa vigente, la organización responsable del tratamiento estará cometiendo una de las infracciones previstas en el artículo 83.5.a) RGPD. En él se prevé las acciones que contienen un subtipo agravado de multa, que llega hasta el doble de la cuantía básica de la multa estándar. Una de estas acciones es, precisamente, no ofrecer la información obligatoria. Lo que significa que debemos prestarle especial cuidado, porque de lo contrario los riesgos económicos serán elevados.

Vamos a determinar, por lo tanto, qué información debemos ofrecer a la hora de tratar datos de carácter personal.

Lo primero que debemos resaltar es que el RGPD distingue dos situaciones: si ha sido el propio interesado el que nos ha proporcionado los datos, o si los datos los hemos obtenido de otras fuentes (como puedan ser terceros o fuentes accesibles al público).

Datos obtenidos del propio interesado:

Si es el propio interesado el que nos ofrece sus datos personales, deberemos comunicarle lo siguiente en el momento de obtener dichos datos:

  • Quién es el responsable del tratamiento o su representante.
  • Si existe Delegado de Protección de Datos, cuál es su información de contacto.
  • Para qué finalidad se tratará los datos.
  • Cuál es la base jurídica del tratamiento (puede ser el consentimiento del interesado, la existencia de una obligación legal, que haya un interés legítimo para el tratamiento, etc.), y cabe indicar que este apartado merece especial atención.
  • Cuáles son los destinatarios de los datos tratados.
  • En caso de que exista intención de transferir los datos a terceros países, esto debe comunicarse. También hay que informar de si ese tercer país ofrece las garantías mínimas exigibles para el tratamiento de los datos.
  • El plazo durante el cual se conservará los datos (o los criterios usados para determinar ese plazo).
  • Los derechos que asisten a los interesados (incluyendo de forma expresa el derecho a presentar una reclamación ante una autoridad de control).
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales o las posibles consecuencias de no facilitarlos.
  • En caso de que existan decisiones automatizadas (entre ellas, la elaboración de perfiles), se debe avisar de este extremo. Igualmente se debe mencionar de forma sucinta qué lógica se aplica en dichas decisiones, la importancia que tienen y las consecuencias previstas de dicho tratamiento para el interesado.

Desde luego, es una gran cantidad de información (y de ahí que los avisos de política de privacidad de las páginas web adaptadas al RGPD sean tan extensos). Sin embargo, hay que tener en cuenta que no siempre hay que ofrecerla. El RGPD prevé que si el interesado ya dispone de esa información por otras vías, no es necesario reiterarla. Aun así, puede ser una buena práctica ofrecerla siempre para minimizar los riesgos.

Datos no obtenidos del interesado:

Cuando no es el interesado el que nos ofrece sus datos, sino que los obtenemos de otras fuentes, la situación es similar aunque con ciertos matices. En general tiene que proporcionarse al interesado la misma información que acabamos de ver. Sin embargo hay que tener en cuenta lo siguiente:

  • No hay que informar al interesado de si la comunicación es un requisito legal o contractual. Esto tiene sentido, desde el momento en que no es el interesado quien nos ofrece sus datos para contratar nada, por ejemplo.
  • Además de la lista de arriba, sí que hay que informar de la fuente de la que proceden los datos y, en su caso, si proceden de fuentes de acceso público.
  • También hay que informar de las categorías de datos personales de que se trate.

En estos supuestos, como no es el interesado el que nos ofrece sus datos, tampoco tenemos posibilidad de ofrecer la información al recabarlos. En vez de eso, deberemos ofrecérsela a más tardar en un mes tras obtener los datos. Si usamos los datos para comunicarnos con el interesado, se deberá ofrecer la información a más tardar en el momento de la primera comunicación. Si tenemos previsto comunicar los datos a un tercero, deberemos ofrecer la información a más tardar en el momento en que los datos sean comunicados por primera vez.

Esta obligación de comunicación no será necesaria -entre otros supuestos- cuando el interesado disponga de la información o cuando su comunicación resulte imposible o suponga un esfuerzo desproporcionado.

¿Cómo ofrecer la información?:

La información de la que hablamos no puede ofrecerse de cualquier manera: se ha de redactar de forma concisa, transparente y fácil de entender.

Ello implica, por ejemplo, que deberemos evitar textos con excesiva jerga jurídica o con frases poco claras. Además, la información deberá ser de fácil acceso (no sirve, por ejemplo, que coloquemos un enlace en la página web al que solo se acceda desde una remota página, con un hipervínculo que casi ni se vea).

La información se facilitará en general por escrito, aunque si el interesado lo solicita -y podemos demostrar su identidad- también será posible hacerlo de forma verbal.

El régimen de información según la LOPDGDD:

La nueva LOPDGDD matiza todo lo anterior sin contradecirlo.

En la normativa española se entiende que el deber de información está cumplido si se le ofrece, en un primer momento, la siguiente información:

  • La identidad del responsable y de su representante.
  • La finalidad del tratamiento.
  • Los derechos que asisten al interesado.
  • La información relativa a elaboración de perfiles, en su caso.
  • Si los datos no se han obtenido por el interesado, además, se deberá informar de las categorías de datos tratadas y las fuentes de las que provienen los datos.

El resto de la información podrá proporcionarse ofreciendo al interesado una dirección electrónica para acceder a la misma.

El sistema español, pues, permite ofrecer a los interesados una primera comunicación más simple, siempre que permitamos que obtengan de forma inmediata el resto de la información (por ejemplo, a través de un enlace de internet).

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales

Categoria

Auditoría de Protección de Datos, Auditoría Sistemas de Información

Fuente: Auren

Source
Subscribirse al Directorio Escribir un Artículo

Destacadas

Diapositiva de Fotos

Etiquetas

Acerca de nosotros

Portal de auditoría y auditores en España

Newsletter

¡Suscríbase a nuestro newsletter para estar al día con las últimas noticias y ofertas!

Contacte con nosotros

Auditoría & Co
Auditoría & Co - NewCo Professional S.L
Deu i Mata, 152
Barcelona, Barcelona 08029
P: +34 606 96 07 82 ( Urgencias )

2024 © Auditoría & Co - NewCo Professional S.L. Todos los derechos reservados. Terminos y Condiciones | Política de Privacidad

Actualidad

Actuaciones Periciales Asesoría Fiscal Auditoría energética Auditorías de fondos de capital riesgo Auditores Administradores Concursales Auditoría Control Interno Auditoría de cuentas anuales individuales y consolidadas Auditoría de Empresas Cotizadas Auditoría de Entidades sin ánimo de lucro Auditoría de Gestión Auditoría de Protección de Datos Auditoría de Reports Auditoría de Subvenciones Auditoría Financiera Auditoría General Auditoría Informática Auditoria Medio Ambiente Auditoría Operativa Auditoría Penal Preventiva – Compliance Auditoría Proyectos Europeos e Internacionales Auditoría Sector Público Auditoría Sistemas de Información Auditorías de Declaraciones de Punto Verde Certificación de hechos concretos Compliance - Cumplimiento Legal Compra Venta Sociedades – Due Diligence Control de Costes Estados Financieros bajo IFRS, US, GAAP Fiscalidad Internacional y Precios de Transferencia Forensic Fusiones y Adquisiciones Gestión Servicios Laborales Gobierno Corporativo Informes Especiales Órganos Reguladores Normas Internacionales NIC, NIIF Outsourcing Reestructuraciones Empresariales Refinanciación de Deudas Responsabilidad Social Empresarial Revisión Limitada Sector bancario y financiero Transaction Advisory Services Valoración de Empresas y Tasación de Activos

Directorio

Actuaciones Periciales Asesoría Fiscal Auditoría energética Auditorías de fondos de capital riesgo Auditores Administradores Concursales Auditoría Control Interno Auditoría de cuentas anuales individuales y consolidadas Auditoría de Empresas Cotizadas Auditoría de Entidades sin ánimo de lucro Auditoría de Gestión Auditoría de Protección de Datos Auditoría de Reports Auditoría de Subvenciones Auditoría Financiera Auditoría General Auditoría Informática Auditoria Medio Ambiente Auditoría Operativa Auditoría Penal Preventiva – Compliance Auditoría Proyectos Europeos e Internacionales Auditoría Sector Público Auditoría Sistemas de Información Auditorías de Declaraciones de Punto Verde Certificación de hechos concretos Compliance - Cumplimiento Legal Compra Venta Sociedades – Due Diligence Control de Costes Estados Financieros bajo IFRS, US, GAAP Fiscalidad Internacional y Precios de Transferencia Forensic Fusiones y Adquisiciones Gestión Servicios Laborales Gobierno Corporativo Informes Especiales Órganos Reguladores Normas Internacionales NIC, NIIF Outsourcing Reestructuraciones Empresariales Refinanciación de Deudas Responsabilidad Social Empresarial Revisión Limitada Sector bancario y financiero Transaction Advisory Services Valoración de Empresas y Tasación de Activos

Provincias

Álava Albacete Alicante Almería Asturias Ávila Badajoz Barcelona Burgos Cáceres Cádiz Cantabria Castellón Ceuta Ciudad Real Córdoba Cuenca Girona Granada Guadalajara Guipúzcoa Huelva Huesca Islas Baleares Jaén La Coruña La Rioja Las Palmas León Lleida Lugo Madrid Málaga Melilla Murcia Navarra Orense Palencia Pontevedra Salamanca Santa Cruz de Tenerife Segovia Sevilla Soria Tarragona Teruel Toledo Valencia Valladolid Vizcaya Zamora Zaragoza