Una de las principales obligaciones que el RGPD impone a los responsables del tratamiento de datos personales es la de cumplimiento del deber de informar a los titulares de esos datos sobre su tratamiento.
¿Sabes de qué y cómo debes informar a tus clientes para tratar sus datos?
No te preocupes, con esta guía podrás orientarte sobre lo que debes hacer para cumplirlo.
¿En qué consiste la obligación de informar?
Esta obligación está relacionada con la obtención del consentimiento ya que, antes de solicitar el consentimiento a nuestros clientes, debemos facilitarles una serie de informaciones sobre las finalidades y circunstancias en las que vamos a tratar sus datos personales.
La obligación de informar se deriva del principio de transparencia recogido en el artículo 5 del RGPD. Según este principio, toda información facilitada a los interesados sobre el tratamiento de sus datos personales debe ser fácil de entender.
Es decir, a tus clientes les debe quedar totalmente claro que sus datos personales van a ser utilizados para la finalidad indicada. Y que tienen derecho a solicitar su rectificación, cancelación, oposición, limitación o portabilidad.
¿De qué debemos informar?
La información que debemos proporcionar al interesado incluirá:
- Tipo de datos personales que vamos a tratar y de dónde los hemos obtenido, en caso de que no nos los haya facilitado su titular.
- Finalidad o finalidades de ese tratamiento
- Quién es el responsable del tratamiento y el DPD, si estamos obligado a nombrarlo.
- Terceros a los que vamos a ceder esos datos
- Posibilidad de ejercer los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad. Y medios para ejercer esos derechos.
- Base jurídica que justifica el tratamiento de sus datos. Puede ser un contrato, su consentimiento o el interés legítimo.
- Periodo de tiempo durante el que vamos a conservar sus datos.
- Si vamos a usar esos datos para elaborar perfiles de comportamientos o para tomar decisiones automatizadas.
- Si realizaremos transferencias de los datos a otros países.
- Posibilidad de presentar reclamaciones ante la AEPD.
- Si el interesado debe facilitarnos los datos por ley o por contrato, y las consecuencias de no facilitarlos.
¿Quién está obligado a informar?
La obligación de informar recae sobre:
- Responsable del tratamiento
- Encargado del tratamiento
- Delegado de Protección de Datos, en los casos en que exista.
¿Cuándo debemos facilitar esa información?
La información debes facilitarla en el momento de solicitar los datos al interesado, antes de registrarlos.
En caso de que los datos los obtengas por otros medios que no sean del propio interesado, debes proporcionarle esa información dentro del plazo de un mes desde que recogiste los datos. O, en cualquier caso, antes de enviarle la primera comunicación o de cederlos a terceros.
Excepciones a la obligación de informar
Existen unos casos concretos en los cuales no estamos obligados a informar al interesado sobre el tratamiento de sus datos personales:
- Si el interesado ya tiene la información
- Cuando la comunicación con el interesado suponga un esfuerzo desproporcionado o sea imposible
- En caso de que el tratamiento de esos datos personales deba ser secreto por ley.
Medios para informar
Los sistemas usados para recopilar los datos personales pueden ser muy variados. Por ello, también los medios para informar a los interesados son diversos, ya que deben adaptarse al medio a través del que se recogen esos datos.
Los principales medios de recogida de datos y de información al cliente son:
- Formularios en papel
- Formularios en páginas web
- Teléfono
- Registro en aplicaciones móviles
En caso de que queramos informar al cliente sobre el tratamiento de datos suyos que ya tenemos, podemos utilizar:
- Correo postal
- Correo electrónico
- Sistemas de mensajería instantánea
- Notificaciones emergentes en servicios y aplicaciones
¿Cómo debemos facilitar esa información?
Cualquiera que sea el medio utilizado, la información que proporciones a tus clientes debe ser:
- Clara
- Sencilla
- Transparente
- Concisa
- Comprensible
- De fácil acceso
Información por capas
Para facilitar el cumplimiento del RGPD y la LOPDGDD y proporcionar al cliente toda la información exigida, la AEPD propone utilizar un sistema de información por capas.
¿Y esto en qué consiste?
Pues en facilitar esa información en diferentes niveles. En una primera capa se dará la información más importante de forma resumida. Y en una segunda capa se desarrollará esa información.
Primera capa: información básica
Aquí debemos proporcionar la información fundamental pero resumida. Esa información se dará en el momento y a través del mismo medio utilizado para recoger los datos personales.
Podemos dividirla en diferentes epígrafes para hacerla más comprensible. Así, existirán los epígrafes Responsable, Legitimación, Finalidad, Destinatarios y Derechos.
E identificar claramente esa información con el título “Información básica sobre protección de datos”.
Es aconsejable presentar esa información en forma de tabla para que sea más accesible y visible para los clientes.
En caso de que esa información no sea posible incluirla en la página donde el usuario debe indicar sus datos y firmar, tendremos que poner una indicación donde el cliente pueda verla informándole de dónde puede leer esa información (por ejemplo, acceda a la información sobre el tratamiento de sus datos personales en el reverso de la página).
¿Qué información incluir en la primera capa?
La información que debemos incluir, según los epígrafes, será:
- Legitimación: lo que justifica que podamos tratar esos datos.
- Contrato
- Obligación legal
- Interés público o legítimo
- Consentimiento
- Responsable: profesional o empresa que va a tratar los datos personales.
- Destinatarios: siempre se indicará si los datos se van a ceder a terceros o no. En caso de cederse, se especificará a quién se cederán.
- Derechos: aquí se mencionarán de forma básica los derechos que el interesado puede ejercer sobre sus datos personales.
- Por último, se informará sobre dónde puede acceder a la información complementaria de la segunda capa.
Segunda capa: información complementaria
En esta segunda capa debemos completar toda la información facilitada en la primera capa e incluir información adicional que no facilitamos en la primera capa y que exige el RGPD.
¿A través de qué medio puedo facilitar esta información?
Depende del medio que hayas utilizado para recoger los datos y proporcionar la información básica. Los medios pueden ser:
- Papel: en el cuestionario a cumplimentar por el cliente, en un anexo o en carteles expuestos y visibles para el cliente.
- Electrónicos: en web específica a la que el cliente puede acceder a través de un enlace, un documento descargable desde la url o en un mensaje enviado al cliente.
- Telefónicos: a través de una locución u ofreciendo al cliente la posibilidad de enviársela por correo postal.
¿Qué información incluir?
El nivel de detalle de la información que debemos incluir en esta segunda capa dependerá de la complejidad de los tratamientos a realizar.
Según los epígrafes, la información a incluir será:
- Responsable: la identidad del responsable del tratamiento ya se ha indicado en la primera capa así que aquí incluiremos los datos de contacto de su representante o del Delegado de Protección de datos, en caso de que existan. Debemos facilitar una dirección postal y, si tienen, una dirección de correo electrónico.
- Finalidad: se ofrecerá mayor detalle sobre los fines a los que se destinarán los datos personales y el plazo durante el que se conservarán estos. Aquí se informará también sobre si los datos se usarán para la elaboración de perfiles y las consecuencias que ello originará al cliente.
- Legitimación: en caso de que la legitimación para tratar los datos sea un contrato, debemos especificar claramente el contrato del que se trata. Si es una obligación legal, debemos indicar con claridad cuál es esa ley. Si la legitimación se basa en el interés público o el interés legítimo, tendremos que especificar la norma que atribuye tal interés público o cuáles son esos intereses legítimos del responsable o de un tercero. Por último, si es el consentimiento, debemos hacer constar la necesidad de ese consentimiento.
- Destinatarios: debemos proporcionar la identidad de los destinatarios a los que vamos a ceder los datos o, en caso de no estar determinados, la categoría de destinatarios. Aquí informaremos sobre si vamos a transferir los datos a terceros países y si estos tienen un nivel adecuado de protección de datos.
- Derechos: debemos especificar todos los derechos que el cliente puede ejercer como son el derecho de acceso, rectificación o supresión, limitación del tratamiento, oposición y portabilidad. Le informaremos también sobre los medios a través de los cuales puede ejercer esos derechos y sobre la opción de revocar el consentimiento otorgado en cualquier momento. Igualmente le informaremos sobre su derecho a reclamar ante la AEPD en caso de que no se haya satisfecho su solicitud de ejercicio de esos derechos.