Actualmente, la LOPD establece las siguientes obligaciones respecto de la información que se ha de facilitar a las personas interesadas en el momento en que se soliciten los datos:
- La existencia del fichero o tratamiento, su finalidad y destinatarios.
- El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
- La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- La identidad y datos de contacto del responsable del tratamiento.
A partir de ahora, el RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento”, e incorporando, en líneas generales, los siguientes detalles:
- Los datos de contacto del Delegado de Protección de Datos
- La base jurídica o legitimación para el tratamiento
- El plazo o los criterios de conservación de la información
- La existencia de decisiones automatizadas o elaboración de perfiles
- La previsión de transferencias a Terceros Países
- El derecho a presentar una reclamación ante las Autoridades de Control
Y además, en el caso de que los datos no se obtengan del propio interesado:
- El origen de los datos
- Las categorías de los datos
En consecuencia, los procedimientos, modelos o formularios diseñados de conformidad con la LOPD deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD, incorporando los nuevos requisitos de acuerdo con las directrices que se proporcionan en esta guía. Puesto que los nuevos requisitos amplían y no contradicen la obligación de informar establecida en la LOPD, se recomienda revisar y aplicar dicha adaptación cuanto antes.
Para mayor detalle pueden consultarse los artículos 13 y 14 del RGPD, relativos al derecho de información de las personas interesadas.
¿Quién y cuándo debe informar?
La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el Responsable del Tratamiento.
La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.
En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:
- antes de un mes desde que se obtuvieron los datos personales
- antes o en la primera comunicación con el interesado
- antes de que los datos, en su caso, se hayan comunicado a otros destinatarios
Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.
¿Cuándo NO es preciso informar?
Únicamente no será necesario informar cuando el interesado ya disponga de la información, ni tampoco, en el caso de que los datos no procedan del interesado, cuando:
- la comunicación resulte imposible o suponga un esfuerzo desproporcionado
- el registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros
- cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.
