El deber de información a los interesados sobre el tratamiento de sus datos por la parte del Responsable del Tratamiento se ha transformado en uno de los pilares esenciales del Reglamento General de Protección de Datos y es la principal expresión del principio de transparencia de la norma.
Las diferentes empresas, con motivo de su actividad diaria, pueden conseguir datos personales por la parte del propio interesado (formularios en papel; checkbox en formularios web; navegación web (cookies); etc.) o bien por terceros (cesiones lícitas entre empresas; datos obtenidos desde fuentes de acceso público; etc.). El citado Reglamento establece la información que el Responsable deberá proporcionarse a los interesados en los dos casos.
Datos obtenidos del propio interesado (art. 13 RGPD): identidad y datos de contacto del responsable y en su caso, del representante y de del Delegado de Protección de Datos; los fines del tratamiento de los datos y la base jurídica que los legitima; los intereses lícitos del responsable o bien del tercero (en el caso de que un tratamiento se base en el interés legítimo); los receptores o categorías de receptores de los datos personales; la previsión de transferencias a terceros países (fuera del Espacio Económico Europeo); el plazo o bien criterios de conservación de estos datos; mencionar los derechos que asisten al interesado en el tratamiento de sus datos personales (acceso, rectificación, eliminación, oposición, restricción de su tratamiento, o bien el derecho a la portabilidad de los datos); el derecho a retirar el permiso prestado; el derecho a presentar una reclamación frente a la Autoridad de Control; la necesidad de comunicar los datos y las consecuencias de no facilitar semejantes datos; y la existencia, en su caso, de resoluciones automatizadas en el tratamiento de datos, incluyendo la preparación de perfiles.
Toda esta información deberá facilitarse al interesado en el instante en el que se pidan los datos y siempre de forma anterior. En caso de que el Responsable decida más tarde efectuar un tratamiento de los datos de los que dispone con un fin diferente para el que se recogieron, deberá suministrar información al interesado sobre ese otro fin y el resto de información adicional conforme los puntos detallados.
Por otra parte, cuando el Responsable haya logrado los datos de terceros (art. 14 RGPD), este tendrá la obligación de informar al interesado de los mismos extremos explicados previamente, agregando la fuente de procedencia de los datos y las categorías de datos que se tratarán.
Este último hecho es bastante frecuente en el campo turístico en el que diferentes empresas hoteleras y de transporte reciben datos de Agencias de Viajes, o lo que es exactamente lo mismo, consiguen datos personales por medio de terceros para la consecución del servicio contratado por la parte del turista.
El deber de información en estos casos deberá aportarse por la parte del Responsable del Tratamiento en un plazo razonable y, en cualquier caso: antes de un mes desde la obtención de los datos personales; ante o en la primera comunicación que realicen con el interesado; o bien antes de comunicar los datos por primera vez a otros destinatarios.
Como podemos observar, la cantidad de información que puede conseguir un interesado conforme con lo descrito puede provocar un efecto negativo y de confusión dicho sujeto, quebrando con esto el principio de transparencia que comentábamos al comienzo. Por tal motivo, la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales deja en su art. 11 realizar la llamada “información por capas” que consistente en aportar una capa informativa básica sobre el tratamiento de los datos personales de manera concisa y con el objetivo de facilitar la comprensión al interesado de las operaciones que se efectuarán sobre sus datos (como por ejemplo un breve apartado incluido en un contrato), y más tarde remitirle a una segunda capa informativa, en la que se especifiquen de forma precisa el resto de información respecto al tratamiento de los datos personales (como por ejemplo, una política de privacidad o bien de protección de datos contenida en su página web).
Abogado Monlex
