Uno de los principios relativos al tratamiento de datos personales se refiere a que los datos personales deberán ser tratados por el responsable del tratamiento de manera transparente en relación con el interesado.
Índice de Contenidos
Este principio se concreta en la obligación del responsable del tratamiento de tomar las medidas oportunas para facilitar al interesado información sobre el tratamiento de datos que se tiene intención de llevar a cabo o ya está realizando, y exige que esa información se facilite en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, características en la que hay que poner especial énfasis cuando se trata de informar a niños.
La información deberá ser facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá́ facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios. Recordar en este punto, que es al responsable al que corresponde acreditar el cumplimiento de este principio, por lo cual, aun siendo admisible la información verbal cuan el interesado lo solicite, habrá que tomar medidas para probar que se ha llevado a cabo.
Se prevé que la información pueda transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
El principio de transparencia debe estar presente, ya, desde el momento en el que se recogen los datos para el tratamiento, El responsable tiene la obligación de informar al interesado de las circunstancias del tratamiento, distinguiendo si los datos se han obtenido directamente del interesado o no.
El responsable del tratamiento, en el momento en que los datos personales se recaben, y salvo que el interesado ya disponga de esa información, está obligado a informar de lo siguiente:
Para cumplir con el principio de transparencia la información que deberá facilitar el responsable del tratamiento al interesado será:
En este segundo supuesto la información se deberá facilitar dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos; si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
El responsable sólo quedará exento de informar cuando el interesado ya disponga de la información; y cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, o en la medida en que la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. La obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros, o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.
La Agencia Española de protección de Datos en su guía para el cumplimiento del deber de informar establece que se puede llevar a cabo el cumplimiento del derecho a la información en dos capas, una primera capa con información básica y una segunda capa que contuviera el resto de la información. La nueva Ley Orgánica de Protección de datos y de Garantía de los Derechos Digitales, siguiendo este criterio establece que se puede facilitar una primera información básica, y una dirección electrónica u otro medio, que permita acceder a de forma sencilla e inmediata al resto de la información. La información básica deberá contener, al menos:
Si los datos personales no se han recabado directamente del interesado, esta primera capa deber a contener además:
Si con posterioridad el responsable del tratamiento desea llevar a cabo un tratamiento distinto, para otro fin que no sea aquel para el que se recogieron, deberá antes de comenzar ese nuevo tratamiento proporcionar al interesado, información sobre ese otro fin y cualquier información adicional pertinente.
Cuando se trate de tratamientos con fines de videovigilancia, el deber de información se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento General de Protección de Datos1derecho de supresión, limitación del tratamiento, portabilidad y derecho de oposición..
Se puede descargar un modelo de cartel informativo desde la web de la Agencia Española de Protección de Datos. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información. Pero además, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.
Cuando la videovigilancia tenga por finalidad funciones de control de los trabajadores o los empleados públicos, el responsable del tratamiento habrá de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
Si se pretende establecer un sistema de geolocalización en el ámbito laboral, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
Una vez ya en marcha el tratamiento, este deber de transparencia se manifiesta a través del derecho de acceso, mediante el cual el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, que se le informe de las peculiaridades de ese tratamiento, como cuales son los fines del tratamiento; que categorías de datos personales de se tratan; si se han comunicado los datos a un tercero; por cuanto tiempo se van a conservar; que derechos tiene, el derecho a presentar una reclamación ante una autoridad de control; cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; si hay decisiones automatizadas, incluida la elaboración de perfiles. Si han existido transferencias internacionales de datos.
El derecho de acceso, al igual que el derecho de información visto más arriba, es gratuito, el Responsable no puede cobrar por facilitar este derecho, no obstante ante solicitudes reiteradas por medio del interesado o elección, para atender el derecho de acceso, de un medio distinto al que ofrece el responsable, y que suponga un coste desproporcionado, si se podrá cobrar un canon razonable en el primer supuesto o el exceso de costes en el segundo.
El Reglamento General de Protección de datos establece la obligación de notificar las violaciones de la seguridad de los datos personales, por un lado a la autoridad de control, y en lo que aquí nos interesa, a los interesados. Esta obligación de información a los interesados es exigible cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, se debe hacer sin dilación indebida, describiendo en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; las posibles consecuencias de la violación de la seguridad de los datos personales; las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
No es necesario informar al interesado si se dan determinadas condiciones como cuando se hayan adoptado medidas de protección técnicas y organizativas apropiadas como el cifrado, o se haya tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado, o suponga un esfuerzo desproporcionado pudiendo en este caso sustituirse por una comunicación pública o medida semejante.
El Reglamento General de Protección de Datos no se aplica a la protección de datos personales de personas fallecidas, no obstante la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales permite, salvo que la persona fallecida lo hubiera prohibido o una ley lo prohíba, que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos puedan dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella.
También disponen de este derecho de información las personas o instituciones a las que el fallecido hubiese designado expresamente para ello. Si se trata de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal. Y si fuera un incapaz, además de las señaladas en cuanto a los menores, podrán ejercitarlo quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.
Notas
| ⇡1 | derecho de supresión, limitación del tratamiento, portabilidad y derecho de oposición. |
|---|