Ya hemos visto que en nuevo reglamento de protección de datos conlleva nuevos retos para empresas y organizaciones en la gestión de información de carácter personal.
Pues bien, entre estos retos, se encuentran las nuevas exigencias informativas que es necesario abordar puesto que estos nuevos requisitos amplían y no contradicen la obligación de informar establecida en la LOPD.
Estos nuevos requisitos tienen como objetivo intensificar la transparencia, la claridad y la accesibilidad relativa a la información que debe suministrarse al interesado respecto al tratamiento de la información personal que le concierne.
Para abordar estas nuevas exigencias, voy a centrarme en el qué, quién, cuándo, dónde y cómo informar según el RGPD .
Qué informar
El nuevo reglamento de protección de datos (RGPD) incrementa los requisitos informativos añadiendo elementos adicionales como:
- Los datos de contacto del Delegado de Protección de Datos.
- La base jurídica o legitimación del tratamiento.
- El plazo o los criterios de conservación de la información.
- La existencia de decisiones automatizadas o elaboración de perfiles.
- La previsión de transferencias a terceros países.
- El derecho a presentar una reclamación ante las Autoridades de Control y además, en el caso de que los datos no se obtengan del propio interesado.
- El origen de los datos.
- Las categorías de los datos.
Quién debe informar
Quien tiene la responsabilidad de informar a los afectados sobre las circunstancias del tratamiento, es el Responsable del Tratamiento.
Cuándo se debe informar
Si los datos se obtienen directamente del interesado, la información se debe poner a disposición de estos en el momento en que se soliciten los datos, previamente a la recogida o registro.
Dónde informar
Dependiendo del procedimiento utilizado para la recogida de información deberán escogerse los modos que mejor se adapten a las circunstancias de cada uno de los medios empleados para la recopilación o registro de los datos, por ejemplo:
- Formularios en papel.
- Entrevista telefónica.
- Navegación o formularios Web.
- Registro de aplicaciones móviles.
- Datos de actividad personal.
- Datos de sensores (IoT).
Por otra parte, las comunicaciones al interesado sobre datos ya disponibles, o tratamientos adicionales, pueden hacerse llegar, entre otros, por medio de:
- Correo postal.
- Mensajería electrónica.
- Notificaciones emergentes en servicios y aplicaciones.
En el caso de que los datos no se obtengan del propio interesado (cesión legítima o de fuentes de acceso público), el Responsable informará a las personas interesadas dentro de un plazo razonable pero siempre antes de un mes desde que se obtuvieron los datos personales, antes o en la primera comunicación con el interesado o antes de que los datos se comuniquen a otros destinatarios.
Cómo informar
La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse:
- Con un lenguaje claro y sencillo.
- De forma concisa, transparente, inteligible y de fácil acceso.
Para cumplir ambos requisitos se está planteando incluso el desarrollo de iconos estandarizados que permitan una visión ágil y sencilla de los aspectos más relevantes del tratamiento. En su diseño ya está trabajando la Comisión Europea. Se deberán evitar las fórmulas especialmente farragosas a las que estamos acostumbrados en textos infinitos e incomprensibles para la mayor parte de usuarios, se trataría de “textos informativos friendly”
Las clausulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.
Para resolver el dilema en cuanto a las exigencias de concisión y comprensión con los mayores requisitos informativos, se propone el modelo de información por capas que ya estamos aplicando con las cookies. Al igual que con las cookies, se trataría de presentar una información básica en una primera capa y remitir a la información adicional en una segunda capa, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y reproducción.
Conclusión
Visto todo lo anterior, es mejor comenzar a revisar cuanto antes todos los sistemas de captura de información y adecuarlos a estas nuevas exigencias, ganaremos mucho terreno en el proceso de transición hacia el RGPD.