Con la aplicación del Reglamento General de Protección de Datos prevista a partir del 25 de mayo de 2018, la Agencia se ha pronunciado en este sentido con la publicación de una serie de guías, entre las cuales se encuentra la Guía para el cumplimiento del deber de informar. Su objetivo principal es ayudar a las organizaciones a detectar los cambios respecto a la normativa actual y fijar las claves oportunas para que en esta etapa transitoria se pueda empezar a trazar la línea de cambio hacia la nueva normativa.
¿Sobre quién recae el deber de informar?
El deber de informar es consecuencia directa del principio de transparencia, en relación con las circunstancias y condiciones de los tratamientos de datos personales así como de los derechos que asisten a los afectados. La Guía para el cumplimiento del deber de informar va dirigida a todos aquellos que pueden efectuar los tratamientos, principalmente: Responsable de Tratamiento, Encargado de Tratamiento y Delegado de Protección de datos. Aunque debemos tener en cuenta que la obligación de informar a las personas interesadas sobre las características y circunstancias del tratamiento de sus datos recae sobre el Responsable de Tratamiento.
¿Qué cambios introduce el RGPD en el deber de informar?
Conocemos las obligaciones de la LOPD respecto a la información que se debe facilitar a las personas interesadas en el momento en que se recaben los datos: la existencia del fichero y tratamiento, su finalidad y destinatarios; la identidad y datos de contacto del responsable del tratamiento; posibilidad de ejercitar los derechos A.R.C.O. y la obligatoriedad (o no) de la respuesta, así como las consecuencias ante la negativa.
Con RGPD se introducen requisitos adicionales a los anteriores distinguiendo entre los casos en los que los datos de carácter personal se obtengan del propio interesado y los que no. En el primer caso, a la información que se ha de facilitar a los interesados tendremos que añadir detalles como: los datos de contacto del Delegado de Protección de Datos; la base jurídica/legítima del tratamiento; el plazo o los criterios de conservación de la información, la previsión de transferencia a Terceros países, entre otros. Nos encontramos con que muchos de esos aspectos los hemos declarado ante la Agencia en la descripción de nuestros ficheros (como por ejemplo, los casos de transferencia internacional) y ahora deben ser conocidos también por los interesados en las propias cláusulas informativas.
En el segundo caso, cuando los datos no se obtengan del propio interesado, se deberá incluir en la información: el origen de los datos y las categorías de los mismos.
En definitiva, la Agencia Española de Protección de Datos ha declarado que los procedimientos, modelos o formularios diseñados conforme a la LOPD deberán ser revisados y adaptados con anterioridad a la fecha de plena aplicación del RGPD. Por esta razón, es conveniente contar con la ayuda de una consultoría de protección de datos para adaptar los textos legales a este nuevo panorama normativo.