Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sistema de Datos de Carácter Personal ante la próxima implantación del Reglamento General de Protección de Datos 2016/679, se tratará en ésta los contenidos planificados según el post Calendario 2017 para la LOPD  correspondiente al mes de abril y que atañe a la Información que deberá facilitarse cuando los datos personales se obtengan del interesado (Art. 13) y  Condiciones para el consentimiento (Art. 7).

Antes de proseguir se podría destacar como deducción que el artículo 13 se encuentra al amparo del principio de transparencia que establece el Reglamento en cuestión; éste exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo. El objetivo es que las personas se informen y sean conscientes de lo que sucede con los datos que proporcionan.

ARTICULO 13 del RGPD (Información que deberá facilitarse cuando los datos personales se obtengan del interesado)

Dicho ésto, desde el punto de vista del artículo 13 del RGPD (el que actualizará el artículo 5 de la LOPD y el Artículo 18 Acreditación del cumplimiento del deber de Información) enmarcado en la sección segunda ‘Información y acceso a los datos personales’, se pone de manifiesto los siguientes aspectos:

1º Que el responsable del tratamiento (sea el propio Responsable del Fichero o en quien este delegue), cuando obtenga datos de un interesado aportados por éste mismo, deberá facilitarle la siguiente información:

La identidad y los datos de contacto del responsable y, en su caso, de su representante: En este sentido, y en beneficio por ejemplo ante el ejercicio de los derechos ARCO, esta figura jurídica deberá actuar bajo el ya mencionado principio de transparencia.

Los datos de contacto del delegado de protección de datos, en su caso: Aunque en el RGPD no se define con exactitud esta figura, si podemos encontrar la misma en el Documento de Trabajo de los servicios de la Comisión relativo a la evaluación de impacto de su propuesta (SEC(2012) 72 final, de 25 de enero). Dicho documento define a éste como: una persona responsable dentro del responsable o del encargado del tratamiento para supervisar y monitorear de manera independiente la aplicación interna y el cumplimiento de las normas de protección de datos. El DPO puede ser tanto un empleado como un consultor externo” (traducción no oficial del original en inglés).

Si bien el DPO (Data Protection Officer) no es una figura obligatoria; si lo es en los siguientes casos:

a) Para una autoridad o un organismo público, salvo los tribunales cuando éstos actúen en el ejercicio de su función judicial.

b) Cuando el responsable o encargado del tratamiento tenga actividades principales que  consistan en:

“operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o”
“el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”

c)    En entidades con más de 250 trabajadores.

Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento:  El Reglamento General de Protección de Datos conserva el principio establecido en la Directiva 95/46/CE en virtud del cual todo tratamiento de datos personales debe apoyarse en una base jurídica que lo legitime. Establece, como regla general, que los datos personales deben ser tratados con el consentimiento del interesado, pero admite cualquier otra base legítima conforme a Derecho: relación contractual, intereses vitales del interesado o de terceros, obligación legal para el responsable, interés público, etc. En este aspecto, el RGPD no introduce cambios para los responsables del tratamiento de datos.

Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero: o lo que es lo mismo el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Los destinatarios o las categorías de destinatarios de los datos personales, en su caso: Si procede hacer específico en dicha cláusula la cesión o comunicación de datos. En este sentido, hay que recordar, que no se considera cesión cuando el responsable del fichero contrate a un tercero para una prestación de servicios (contabilidad, nominas, marketing, etc.).

Se entienden destinatarios o categorías de destinatarios, por ejemplo, a: Organismos de la Seguridad Social, Registros Púbicos, Colegios Profesionales, Administración Tributaria, etc.)

Si procede la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.

2º Además de lo mencionado en el ítem 1º, el responsable del tratamiento facilitará al interesado a bien de garantizar un tratamiento de datos leal y trasparente:

1. El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo
2. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos: lo que ya se conoce como ejercicio de derechos ARCO más la portabilidad de los datos (Obtener una copia de sus datos personales en un formato electrónico estructurado y de uso habitual y Transferir sus datos, y otras informaciones que haya facilitado, de un sistema de tratamiento electrónico a otro)
3. La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada
4. El derecho a presentar una reclamación ante una autoridad de control.
5. Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
6. La existencia de decisiones automatizas, incluida la elaboración de perfiles (informar sobre los algoritmos/formulas en este sentido), a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3º Si el Responsable del tratamiento de Datos de Carácter Personal se plantea un uso posterior de éstos y de los fines primarios, dicha figura informará de ese uso posterior además de cualquier otra información pertinente conforme al ítem 2 del artículo 13.

4º Los ítems 1,2 y 3 no se aplicarán si el interesado ya posee la información requerida.

ARTICULO 7 del RGPD (Condiciones para el consentimiento)

Será bueno refrescar/dar a conocer qué es Consentimiento (artículo 3 de la LOPD) desde la perspectiva de los Datos de Carácter Personales.

Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Dicho esto,

1. Si el consentimiento es necesario por el tipo de tratamiento,  el responsable tendrá que demostrar que el interesado consintió conforme se ha definido consentimiento.
2. Si el consentimiento se expresa por escrito y se refiere además a otros asuntos, la solicitud deberá clarificar  los demás asuntos de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
3. El interesado tiene derecho a retirar su consentimiento cuando estime. Esta retirada no afectará a la legalidad del tratamiento basada en el consentimiento previo a su retirada Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

De interés para usted, podrá descargar el

Descargar “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016”

Fuente-Información: © RGPD 2016/679
Fuente-Foto: © de su autor / © publicación