La obligación de informar a los usuarios del tratamiento de sus datos

En base al principio de transparencia encuadrado en el RGPD como uno de los principios relativos al tratamiento, a la hora de acceder a cualquier dato de carácter personal habrá que informar al interesado, entre otras cosas, de que se están utilizando sus datos, quién lo está haciendo, con qué fin y durante cuanto tiempo. Esta información deberá ser clara y veraz y estar en todo momento a disposición del interesado para que pueda comprobarla.

Para hacer esto posible, se realizará por parte del responsable una acción efectiva de informar al interesado a través de lo que se conoce como un “deber de informar” que contendrá toda la información básica que se indica en los artículos 13 y 14 del RGPD y 11 de la LOPDGDD.

En primer lugar, deberán indicarse los datos del responsable del tratamiento para que el afectado sepa en todo momento quién es la persona, física o jurídica, que va a tratar sus datos.

De igual modo, si ese responsable tiene un delegado de protección de datos también le informará al afectado de la existencia e identidad del mismo.

Por otro lado, se señalará la finalidad del tratamiento, es decir, el fin de la recogida de los datos. La finalidad no será la misma para todas las actuaciones de una empresa y, por tanto, habrá que definirla bien para cada actividad de tratamiento. Así, por ejemplo, un colegio recabará los datos de sus alumnos con la finalidad de realizar una formación educativa, mientras que por otro lado tendrá acceso a los datos de sus empleados para la finalidad de la realización de nóminas.

Además, se le indicará al interesado cual es la base jurídica para realizar dicho tratamiento pudiendo ser ésta el consentimiento, la ejecución de un contrato, una obligación legal del responsable, la persecución de intereses vitales del afectado o de terceros, el interés público, o el interés legítimo del responsable.

Asimismo, habrá que señalar el plazo de conservación de los datos. Antiguamente estos plazos permanecían indeterminados y se conservaban los datos indefinidamente. Hoy en día no es válido ese argumento de muchas empresas de “no sé cuanto tiempo voy a necesitar disponer de estos datos, mejor me los guardo por si acaso”. No, si no se tiene un conocimiento preciso del tiempo que se va a necesitar conservar los datos puede señalarse algún criterio que determine su eliminación, como puede ser, por ejemplo, un mes desde la solicitud de baja del servicio.

Por otra parte, un asunto de gran importancia es la información al afectado de la posibilidad de ejercer sus derechos, cómo hacerlo y ante quién. Esto es lo que antiguamente se conocía como derechos ARCO por tratarse de cuatro derechos: de Acceso, Rectificación, Cancelación y Oposición. Sin embargo, con el RGPD pasaron a ser muchos más: derecho de acceso, rectificación, supresión, limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones automatizadas.

Adicionalmente, se debe informar al afectado de que puede presentar una reclamación ante la autoridad de control que en el caso de España es la Agencia Española de Protección de Datos (AEPD).

Sin embargo, aquí no queda todo pues para aquellas ocasiones en las que se vayan a ceder los datos personales de un tercero, también se deberá informar al interesado sobre quién será el destinatario de esos datos. Del mismo modo, si se realizaran transferencias internacionales de datos, se deberá informar al afectado. Asimismo, si resultara que se realizan decisiones automatizadas o se elaboran perfiles de los interesados, deberán los interesados ser informados de estos hechos.

Por último, también puede suceder que dicho tratamiento sea necesario por tratarse de un requisito legal o contractual, en cuyo caso se deberá informar al interesado de esta obligación y de las posibles consecuencias que puede conllevar el hecho de que no facilite sus datos.

En resumen, informar, informar, informar…

Como hemos comprobado, por tanto, la necesidad de informar a los afectados sobre los datos que se tratan y porqué supone que se cambien todas las clausulas de información a los interesados y se vuelva a recabar aquel consentimiento que se obtuvo antaño y que hoy en día está incompleto y desfasado. Cumplir con este deber es tedioso y puede parecer un esfuerzo desproporcionado para algo que no creemos que sea tan importante, pero leyendo las guías que pone la AEPD a disposición de los ciudadanos y siguiendo el esquema que aquí hemos visto, se hace relativamente fácil, así que ¡no lo dejes pasar!