La Agencia Española de Protección de Datos ha mostrado su preocupación por la adaptación de los Responsables de tratamiento al Reglamento General de Protección de Datos con la publicación de una serie de guías sectoriales y temáticas. Entre ellas destaca la Guía para el cumplimiento del deber de informar por la preocupación de las organizaciones respecto a las cláusulas y textos en materia de protección de datos.
¿Quién y cuándo debe informar?
El nuevo Reglamento no introduce modificaciones esenciales respecto a quién debe cumplir el deber de informar y cuándo se debe facilitar la información que está establecido actualmente. Recordemos que con la actual LOPD dicha obligación recae sobre el Responsable del Tratamiento y deberá hacerla efectiva, si los datos se obtienen directamente del interesado, en el momento en que soliciten los datos, previamente a la recogida o registro.
Si, por el contrario, los datos no se obtienen del propio interesado (cesión legítima o fuentes de acceso público) el Responsable informará a los mismos “dentro de un plazo razonable”, entendiéndose como tal: antes de un mes desde la obtención de los datos de carácter personal, antes o en la misma comunicación que se realice por primera vez al interesado o antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.
El nuevo Reglamento contempla casos en los que no será preciso informar cuando los datos no procedan del interesado: en supuestos en los que la comunicación sea imposible o implique un esfuerzo desproporcionado, el registro o la comunicación esté expresamente establecido por los Estados Miembros o el Derecho de la Unión o cuando los datos estén sujetos a la confidencialidad exigida por un deber legal de secreto.
¿Dónde y cómo informar?
Los medios empleados para recabar los datos personales pueden ser muy diversos y, por ello, las formas de informar a los interesados deben adaptarse a los mismos. Aunque no existe un catálogo de procedimientos de recogida de datos, entre las formas más habituales, nos encontramos con formularios en papel, entrevistas telefónicas, formularios web, etc.
Por su parte, las comunicaciones al interesado sobre datos ya disponibles o tratamiento adicional de los datos personales recabados pueden llevarse a cabo a través de correo postal, mensajería electrónica o notificaciones emergentes en servicios y aplicaciones.
Como los medios empleados para recabar los datos varían en cuanto a características (extensión, disponibilidad de espacio, posibilidad de vincular informaciones, etc.) en todo caso, la información a las personas interesadas se deberá proporcionar con un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso.
Con la finalidad de que las organizaciones puedan adaptarse al nuevo Reglamento y cumplir con las exigencias detalladas en el mismo la Agencia en la “Guía para el cumplimiento del deber de informar” recomienda adoptar un modelo de información multinivel. Este modelo de información consiste en presentar una información básica y resumida en un primer nivel y remitir a la información adicional y detallada un segundo nivel. Para poder adaptarse adecuadamente a las exigencias del deber de informar del nuevo Reglamento es conveniente contar con la ayuda de una consultoría de protección de datos que, conforme a las características de la organización ajuste el modelo informativo más adecuado a la misma.
