María Arias Pou: El deber de información en el Reglamento General de Protección de Datos
Día Europeo de Protección de Datos 2016
Monográfico de la Asociación Profesional Española de Privacidad
+
+
María Arias Pou
Doctora en Derecho.
Coordinadora de la Comisión de Menores de APEP y Abogado TIC.
+
Un año más celebramos el Día Europeo de Protección de Datos. Este año nos encuentra a todos revisando el último texto que se ha publicado en relación con el Reglamento General de Protección de Datos, RGPD. Dedicaré este artículo a analizar cómo ha quedado redactado el deber de información al titular de los datos. Hace un año, en esta misma sede, manifesté mi opinión sobre las principales novedades que, en su día, la Propuesta de Reglamento General de Protección de datos recogía en relación con este deber. Algunas de estas novedades se han mantenido en el texto definitivo y otras fueron desechadas ya en la versión de la Propuesta de Reglamento aprobada por el Consejo el pasado 15 de junio de 2015.
Mi primera reflexión no puede ser otra que transmitir el sentimiento de que, una vez más, hemos desaprovechado una oportunidad para mejorar en la información que debemos dar al interesado y para facilitar a los responsables del tratamiento el cumplimiento de esta obligación. Y lo digo, como ya se imaginará el lector, porque hemos perdido las ‘Políticas de información normalizadas’ que recogía el artículo 13 bis en la versión del RGPD aprobada en primera lectura por el Parlamento Europeo el 12 de marzo de 2014. Sin embargo, en mi opinión, el hecho de que se haya planteado la opción de proceder a cumplir el deber de información a través de iconos normalizados ya es un avance y una línea de trabajo que no debemos desaprovechar, quizá el RGPD no era el lugar adecuado para ello.
Los nuevos dispositivos, las nuevas formas de comunicación con los clientes o potenciales clientes y los nuevos formatos dificultan muchas veces el cumplimiento de este deber. He dedicado mucho tiempo a estudiar el deber de información y en concreto a buscar la forma más leal y legal para el titular de los datos pero también más factible de cumplir para el responsable del tratamiento. Lo que pretendo con este artículo es revisar cómo ha quedado redactado este deber y qué novedades se han incluido en él.
Entre las principales novedades que se introducen quiero llamar la atención en primer lugar como el RGPD –siguiendo el esquema que recogía la Directiva 95/46/CE y que recogía la versión aprobada por el Consejo en junio de 2015– divide su artículo 14 en dos preceptos dedicados uno al deber de información al interesado, cuando los datos se recogen directamente de él y otro al deber de información al interesado cuando los datos provienen de un tercero, actual artículo 14 a. Para conocer un poco mejor esta obligación voy a analizar dos aspectos de la misma: en primer lugar, el momento en el que debe proporcionarse esta información y en segundo lugar, el contenido que debe tener esta información para cumplir con la norma.
¿Cuándo debo informar?
En relación con el momento en el que se debe proporcionar la información, cuando los datos se recogen del interesado, se mantiene que se debe proceder a informar en el momento de la recogida de los datos. Por su parte, cuando los datos proceden de un tercero se incorpora el plazo de un mes para proporcionar al titular de los datos la información. Para finalizar esta referencia al momento en el que se debe proporcionar la información quiero llamar la atención sobre la obligación de informar al titular de los datos cuando éstos vayan a ser tratados con un fin distinto al que originó la recogida de los datos con carácter previo al tratamiento de datos que se quiere realizar, cuestión esta muy relevante en la práctica.
¿De qué debo informar?
Respecto al contenido de la información se enumera en distintos grupos y el resultado supone una ampliación de los elementos sobre los que se debe informar al titular de los datos que, si bien comparto que puede suponer mayor seguridad jurídica para el titular, implica un mayor esfuerzo para el responsable en relación con su cumplimiento y, en mi opinión, lo dificulta, pero de eso ya nos ocuparemos cuando llegue el momento de aplicarlo. Sí considero de interés destacar algunas cuestiones como que la información sobre la finalidad del tratamiento se amplía con la necesidad de incluir una referencia a la base jurídica del tratamiento, novedad introducida ya en la versión de 15 de junio de 2015. Además se incluye la necesidad de la información referida al interés legítimo del responsable o de un tercero que le lleva a tratar los datos. También se debe informar sobre el tiempo durante el que los datos van a ser conservados, muy importante en relación con la calidad de los datos; sobre los destinatarios de los datos indicando en concreto si se va a llevar a cabo una transferencia internacional de los datos; sobre el derecho a revocar el consentimiento prestado para el tratamiento de los datos o sobre la existencia de mecanismos de decisión automatizada que permita la elaboración de perfiles; entre otros.
A modo de conclusión
Para terminar y en otro orden de cosas quiero destacar cómo el RGPD tiene muy presente el entorno electrónico a la hora de configurar el deber de información y se refiere expresamente en su Considerando 46 al cumplimiento de este deber en las páginas web o a la complejidad que esto conlleva en las actividades relacionadas con la publicidad en línea por el gran número de sujetos que participan en las mismas. También menciona a los menores como sujetos que requieren una especial atención a la hora de configurar la información que se les debe proporcionar.
Como conclusión final diré que este deber de información va a exigir la aplicación del principio de privacidad desde el diseño y no se nos debe olvidar como elemento a considerar en las evaluaciones de impacto en protección de datos. Este es el reto que, desde mi punto de vista, nos toca enfrentar respecto del deber de información al titular de los datos.
María Arias Pou
Doctora en Derecho. Coordinadora de la Comisión de Menores de APEP y Abogado TIC.
+
+
Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.