LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 03:34:34

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Luces y sombras en la obligación de información del nuevo RGPD

Asociado senior de ECIJA

Tras la aprobación del Reglamento General de Protección de Datos (Reglamento UE 2016/679 #RGPD) se entra, por primera vez en la historia, en una etapa donde todos y cada uno de los Estados Miembros de la Unión Europea tienen un único marco normativo que regula el derecho a la protección de los datos personales. A través de esta normativa, la UE ha querido adaptarse al nuevo entorno digital en el que vivimos, favoreciendo el crecimiento de la economía digital y competitividad de las empresas. Todo ello provoca un enorme reto para las empresas en cuanto al cumplimiento normativo de las diferentes obligaciones que emanan de la normativa europea: Las empresas que traten datos de carácter personal deberán ser conscientes de la importancia de la protección de los derechos de los ciudadanos.

Protección de datos

Una de las obligaciones principales para el tratamiento de datos personales es el deber de información en virtud del principio de transparencia sobre las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten a los interesados. La importancia de esta obligación la determina la Agencia Española de Protección de Datos cuando establece que "(…) Este principio es, a la vez que una obligación para los responsables de los tratamientos, un derecho de los titulares de los datos y, muchas veces, constituye la primera ayuda que tiene el ciudadano para poder ejercitar el resto de derechos que marca la Ley (Acceso, Rectificación, Cancelación y Oposición)".

La consecuencia es clara, todos los procesos, modelos, formularios y/o maneras de acceder al tratamiento de datos personales deberán ser revisados y adaptados al RGPD, incluyendo aquellos requisitos que establece la nueva normativa y, además, la información a las personas deberá proporcionarse con un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso. Es precisamente en este momento cuando nos planteamos la opción de conjugar los nuevos requisitos a través de algunas de las formas más habituales de recogida de datos personales (formularios en papel, entrevistas telefónicas, formularios web, registro de apps, etc).

¿Luces y sombras en la obligación de información del nuevo RGPD? A priori parece complicado hacer compatible la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla (y más aún en el entorno de movilidad digital en el que nos encontramos hoy en día). ¿Os imagináis la posibilidad de incluir en una cláusula de protección de datos los datos e identidad del responsable, los datos del DPO, una descripción detallada de los fines del tratamiento, los plazos o criterios de conservación de los mismos, si existen o no decisiones automatizadas y de creaciones de perfil, etc.?

Pues bien, las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o niveles (¿os suena con el tema de las Cookies, verdad?) consistente en presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos y, remitir una información adicional en un segundo nivel, donde se presentarían de forma detallada el resto de las informaciones en un medio más adecuado para su presentación, comprensión y/o archivo. Por tanto, podemos establecer que la obligación de información requerida por el RGPD puede agruparse en unos determinados epígrafes clave, a los efectos de su organización y presentación ("responsable", "finalidad", "legitimación", "destinatarios", "derechos", "procedencia") y luego determinar qué información incluir en cada capa o nivel. Esta misma semana la AEPD ha elaborado una guía en la cual establece un ejemplo al respecto:

No debemos obviar el objetivo de proteger a los interesados por parte del legislador europeo, tarea ardua a la hora de dar cumplimiento a las obligaciones de información impuestas. Qué tipo de información incluir a simple vista para el usuario a la hora de tomar los datos, qué procedimiento seguir, adaptar esa información al método de toma de datos, establecer la información de manera clara o concisa…son cuestiones que seguramente variarán dependiendo del tipo y volumen de datos que trate cada empresa u organización.

Por ello, y como estamos acostumbrados, no existirá una cláusula estándar de protección de datos que incluya el deber de información ni una estructura concreta mediante la cual se proporcione al usuario toda la información exigida por el RGPD. Todo ello dependerá de muchos factores como la forma mediante la cual se recaben los datos, la tipología de datos, si estos se obtienen a través del interesado, la finalidad para la cual se tomen, el volumen, etc. Llegados a este punto, debemos hacer hincapié en el principio de privacidad desde el diseño que ha proclamado la Comisión Europea durante todo el proceso legislativo de la nueva normativa, a fin de asegurar que las garantías de protección de los datos se incorporan ya en la fase de planificación de los procedimientos y sistemas, el cual deberá ser tenido en cuenta por cada organización que trate datos personales.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.