A la hora de adaptar una organización a la normativa de protección de datos, uno de los aspectos que más atención merece es la información que se ofrece a los interesados. Ya con la antigua LOPD de 1999 era necesario explicarles lo que se iba a hacer con sus datos, pero con el RGPD y la nueva LOPDGDD las exigencias en este campo aumentan.

Si no se proporciona los datos exigidos por la normativa vigente, la organización responsable del tratamiento estará cometiendo una de las infracciones previstas en el artículo 83.5.a) RGPD. En él se prevé las acciones que contienen un subtipo agravado de multa, que llega hasta el doble de la cuantía básica de la multa estándar. Una de estas acciones es, precisamente, no ofrecer la información obligatoria. Lo que significa que debemos prestarle especial cuidado, porque de lo contrario los riesgos económicos serán elevados.

Vamos a determinar, por lo tanto, qué información debemos ofrecer a la hora de tratar datos de carácter personal.

Lo primero que debemos resaltar es que el RGPD distingue dos situaciones: si ha sido el propio interesado el que nos ha proporcionado los datos, o si los datos los hemos obtenido de otras fuentes (como puedan ser terceros o fuentes accesibles al público).

Datos obtenidos del propio interesado:

Si es el propio interesado el que nos ofrece sus datos personales, deberemos comunicarle lo siguiente en el momento de obtener dichos datos:

• Quién es el responsable del tratamiento o su representante.
• Si existe Delegado de Protección de Datos, cuál es su información de contacto.
• Para qué finalidad se tratará los datos.
• Cuál es la base jurídica del tratamiento (puede ser el consentimiento del interesado, la existencia de una obligación legal, que haya un interés legítimo para el tratamiento, etc.), y cabe indicar que este apartado merece especial atención.
• Cuáles son los destinatarios de los datos tratados.
• En caso de que exista intención de transferir los datos a terceros países, esto debe comunicarse. También hay que informar de si ese tercer país ofrece las garantías mínimas exigibles para el tratamiento de los datos.
• El plazo durante el cual se conservará los datos (o los criterios usados para determinar ese plazo).
• Los derechos que asisten a los interesados (incluyendo de forma expresa el derecho a presentar una reclamación ante una autoridad de control).
• Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales o las posibles consecuencias de no facilitarlos.
• En caso de que existan decisiones automatizadas (entre ellas, la elaboración de perfiles), se debe avisar de este extremo. Igualmente se debe mencionar de forma sucinta qué lógica se aplica en dichas decisiones, la importancia que tienen y las consecuencias previstas de dicho tratamiento para el interesado.

Desde luego, es una gran cantidad de información (y de ahí que los avisos de política de privacidad de las páginas web adaptadas al RGPD sean tan extensos). Sin embargo, hay que tener en cuenta que no siempre hay que ofrecerla. El RGPD prevé que si el interesado ya dispone de esa información por otras vías, no es necesario reiterarla. Aun así, puede ser una buena práctica ofrecerla siempre para minimizar los riesgos.

Datos no obtenidos del interesado:

Cuando no es el interesado el que nos ofrece sus datos, sino que los obtenemos de otras fuentes, la situación es similar aunque con ciertos matices. En general tiene que proporcionarse al interesado la misma información que acabamos de ver. Sin embargo hay que tener en cuenta lo siguiente:

• No hay que informar al interesado de si la comunicación es un requisito legal o contractual. Esto tiene sentido, desde el momento en que no es el interesado quien nos ofrece sus datos para contratar nada, por ejemplo.
• Además de la lista de arriba, sí que hay que informar de la fuente de la que proceden los datos y, en su caso, si proceden de fuentes de acceso público.  
• También hay que informar de las categorías de datos personales de que se trate.       

En estos supuestos, como no es el interesado el que nos ofrece sus datos, tampoco tenemos posibilidad de ofrecer la información al recabarlos. En vez de eso, deberemos ofrecérsela a más tardar en un mes tras obtener los datos. Si usamos los datos para comunicarnos con el interesado, se deberá ofrecer la información a más tardar en el momento de la primera comunicación. Si tenemos previsto comunicar los datos a un tercero, deberemos ofrecer la información a más tardar en el momento en que los datos sean comunicados por primera vez.

Esta obligación de comunicación no será necesaria -entre otros supuestos- cuando el interesado disponga de la información o cuando su comunicación resulte imposible o suponga un esfuerzo desproporcionado.

¿Cómo ofrecer la información?:

La información de la que hablamos no puede ofrecerse de cualquier manera: se ha de redactar de forma concisa, transparente y fácil de entender.

Ello implica, por ejemplo, que deberemos evitar textos con excesiva jerga jurídica o con frases poco claras. Además, la información deberá ser de fácil acceso (no sirve, por ejemplo, que coloquemos un enlace en la página web al que solo se acceda desde una remota página, con un hipervínculo que casi ni se vea).

La información se facilitará en general por escrito, aunque si el interesado lo solicita -y podemos demostrar su identidad- también será posible hacerlo de forma verbal.

El régimen de información según la LOPDGDD:

La nueva LOPDGDD matiza todo lo anterior sin contradecirlo.

En la normativa española se entiende que el deber de información está cumplido si se le ofrece, en un primer momento, la siguiente información:

• La identidad del responsable y de su representante.
• La finalidad del tratamiento.
• Los derechos que asisten al interesado.
• La información relativa a elaboración de perfiles, en su caso.
• Si los datos no se han obtenido por el interesado, además, se deberá informar de las categorías de datos tratadas y las fuentes de las que provienen los datos.

El resto de la información podrá proporcionarse ofreciendo al interesado una dirección electrónica para acceder a la misma.

El sistema español, pues, permite ofrecer a los interesados una primera comunicación más simple, siempre que permitamos que obtengan de forma inmediata el resto de la información (por ejemplo, a través de un enlace de internet).

 Fabián Plaza Miranda, Auren Abogados y asesores Fiscales