Los principios de lealtad y transparencia recogidos en el nuevo Reglamento General de Protección de datos 2016/679, exigen que se informe al interesado de la existencia de operaciones de tratamiento sobre sus datos y sus fines. El citado texto, establece de forma específica los aspectos sobre los que hay que informar al interesado y el momento en el que hay que facilitar esa información, dependiendo de que los datos se hayan obtenido directamente de los interesados o de otra fuente alternativa.
Sin embargo, el deber de facilitar la información al interesado sobre el tratamiento de sus datos no es un deber absoluto, habiendo circunstancias que determinan que el deber de información no es necesario, principalmente en aquellos supuestos en los que los datos personales no se hayan obtenido directamente del interesado, como así recoge específicamente el artículo 14.5 del reglamento europeo, estableciendo que "no es necesario imponer la obligación de proporcionar información cuando el interesado ya posea la misma, cuando el registro o la comunicación de los datos personales estén establecidos por ley, o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado, particularmente cuando el tratamiento se realice con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos".
Hasta la fecha, la normativa española, en el artículo 153 del RD 1720 / 2007, en relación con el 5.5 LOPD, (y desarrollando una previsión similar del artículo 11.2 de la Directiva 95/46/CE), establece un procedimiento específico para poder obtener la exención del deber de informar al interesado, a criterio de la propia Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Para obtener la citada exención pues, era necesario iniciar un procedimiento administrativo con una serie de requisitos, para que posteriormente, si la Agencia estimaba la solicitud, dictaba una resolución autorizando la exención del deber de informar a los interesados.
Hay que indicar que si bien los criterios para valorar si la información al interesado resulta imposible o exige esfuerzos desproporcionados se han mantenido en el considerando 62 del Reglamento Europeo, esto es, el número de interesados afectados, la antigüedad de los datos y las garantías adecuadas adoptadas, encontramos una importante diferencia entre el procedimiento que había que seguir en base a la legislación española y el supuesto recogido en el reglamento europeo, ya que en el primero de ellos, era la propia Agencia, mediante un procedimiento administrativo regulado y tasado, la que debía valorar la proporcionalidad de la medida aplicada, lo cual en cierto sentido, parece lógico ya que la medida acordada puede privar al afectado de sus derechos, además de liberar al responsable del tratamiento del cumplimiento de esa obligación.
Sin embargo, el artículo 14.5.b) del reglamento europeo, únicamente establece que "el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información", pero sin la necesidad de obtener como hasta ahora la autorización de la autoridad de control, lo que en la práctica, como ya ha señalado algún autor, puede llevar a que cada estado miembro de la unión europea realice interpretaciones divergentes de este precepto, dando al traste con la armonización que el reglamento europeo persigue como objetivo principal.
Si bien este tipo de procedimientos tramitados ante la Agencia de protección de datos no han sido muy numerosos durante los últimos años, en la práctica puede haber supuestos en los que los responsables del tratamiento puedan optar por esta modalidad, principalmente debido a operaciones mercantiles de fusión, escisión o similares de gran envergadura y que hagan necesario volver a facilitar la información al interesado, tal y como se regula actualmente en el artículo 19 del RD 1720 / 2007 y que sí suele ser un supuesto frecuente en el ordenamiento español.
Desde mi punto de vista, la mejor opción para poder demostrar que el tratamiento de datos se ha llevado a cabo sin vulnerar los derechos y garantías de los interesados, y siguiendo la línea del reglamento europeo en cuanto al principio de "accountability" o responsabilidad activa, si un responsable desea eximirse del deber de informar al interesado, debería cumplir por analogía con los requisitos que actualmente establece la Agencia en su procedimiento administrativo, esto es:
a) Identificar claramente el tratamiento de datos al que pretende aplicarse la exención del deber de informar.
b) Motivar incluso a nivel interno de la organización las causas en que fundamenta la imposibilidad o el carácter desproporcionado del esfuerzo que implicaría el cumplimiento del deber de informar.
c) Exponer detalladamente las medidas compensatorias que propone realizar en caso de exoneración del cumplimiento del deber de informar.
d) Aportar una cláusula informativa que, mediante su difusión, permita compensar la exención del deber de informar, por ejemplo, haciéndola pública a través de la página web, emitir un comunicado a través de los canales sociales de la organización, etc…
Todo ello, a la espera de que tanto la Agencia Española de Protección de Datos como el futuro Comité europeo de protección de datos, establezcan otro tipo de medidas más adecuadas.
