Clint Patterson (via Unsplash)

La controvertida naturaleza del documento electrónico

/0 Comentarios/en /por

En cuanto a la noción de documento, lo único que se produce con la aparición de la realidad digital es una ampliación en la variedad de soportes y, con ello, de formatos, capaces de albergar no sólo datos fidedignos o susceptibles de ser empleados como tales para probar algo en forma escrita, sino también en forma vista o hablada, innovación hasta el momento desconocida. Esta razón es la que justifica lo que podríamos denominar teoría del documento como contenido, que amplia la noción de documento, partiendo de la palabra escrita y extendiéndola a la imagen y al sonido, que, ahora sí, pueden quedar archivados para su posterior utilización como medio de prueba en un proceso judicial. Todo ello en una propuesta de definición que reproducimos: soporte en papel u otro formato adecuado que contiene letras o signos que proporcionan información, escrita, vista o hablada, fidedigna o relevante sobre hechos con eficacia probatoria o cualquier otro tipo de utilidad jurídica. Lo importante, por tanto, no es el formato en que conste el documento, sino que sea apto para erigirse en medio de prueba en juicio, capaz de acompañarse, a su vez, de otros tantos medios, como la firma electrónica, que aporten seguridad adicional en cuanto a la identificación del autor y a la integridad de su contenido.

En materia contractual, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), introduce un elemento de conflicto normativo en su confrontación con la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (LECiv). En efecto, el artículo 24.1.1º LSSICE dispone que la prueba de la celebración de un contrato por vía electrónica (modalidad, como sabemos, de documento electrónico) y de las obligaciones que tienen en él su origen se sujetará a las reglas generales del ordenamiento jurídico. No obstante, y he aquí el problema, añade un apartado segundo, en el que afirma que «[e]n todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental». De este modo, nos encontramos con un artículo, el 299.2 LECiv, que sostiene que el documento electrónico será admisible en juicio según las reglas de la sana crítica (artículos 382 a 384 LECiv), y con otro, el artículo 24.2 LSSICE, que afirma que una de las manifestaciones de este documento electrónico, cual es el contrato electrónico, será también admisible en juicio, pero no como medio de prueba sujeto a las reglas de la sana crítica, sino como prueba plena derivada de su consideración como medio de prueba documental (artículos 299.1.3º y 326.2 LECiv). Por su parte, aquellos contratos electrónicos firmados electrónicamente estarán sujetos a lo dispuesto en el artículo 3 Ley 59/2003, de 19 de diciembre, de firma electrónica -LFE- (artículo 24.1.2º LFE), concretamente a lo establecido en los apartados 8 y siguientes de dicho precepto tercero, en el que se llega a la misma conclusión, al establecer que el soporte en que se hallen los datos firmados electrónicamente será admisible en juicio como prueba documental, si bien establece una distinta graduación dependiendo del tipo de firma electrónica. Para resolver esta antinomia es preciso acudir al así calificado por la jurisprudencia como principio general del Derecho de especialidad normativa conocido como lex specialis derogat lei generali, que dispone que la ley especial prevalece siempre sobre la ley general, de modo que, en este caso, la LSSICE y la LFE habrá de prevalecer sobre la LECiv y, en consecuencia, el contrato electrónico específicamente (no, bien es cierto, el documento electrónico en general) habrá de tener la consideración de prueba documental en juicio, ya esté, o no, firmado electrónicamente.

Es esta misma LFE la que hace constar, por primera vez en nuestro Derecho interno, una definición de documento electrónico, en consonancia con la teoría antes expuesta. En efecto, en su artículo 3.5, la LFE define el documento electrónico como «[…] la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado». En el soporte electrónico podrán ser archivados (artículo 3.6 LFE) tanto documentos electrónicos públicos como documentos privados. Estos documentos tendrán el valor y eficacia que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable (artículo 3.7 LFE).

CONCLUSIONES

La conformación legal del documento, primero, y de su vertiente electrónica, más tarde, se ha conformado sobre una base terminológica errónea, hasta cierto punto lógica en nuestros primeros tiempos, cual es la identificación entre documento y escrito y entre escrito y soporte físico. Ello ha obstaculizado la apertura terminológica del concepto documento a modalidades en ese momento desconocidas pero en la actualidad tan importantes, como son aquellas propiciadas por el advenimiento de lo que en la actualidad conocemos como sociedad de la información, que ha cambiado profundamente las viejas estructuras jurídicas por medio de una adaptación del viejo sistema tradicional, primero, y de una creación de un nuevo Derecho para dar respuesta a las grandes incógnitas suscitadas por las nuevas tecnologías de la información y de la comunicación, después.

Es esta la razón que ha motivado la exclusión del documento electrónico como prueba documental en la LECiv, razón que deriva de antaño, de un momento en el que, por ser siempre físico y en papel, ni siquiera se imaginaba la recogida y conservación del documento en otros soportes, como el electrónico, capaces de albergar nuevos soportes y de satisfacer (y he aquí lo importante) fielmente los requisitos esenciales y las finalidades fundamentales que está llamado a desempeñar como elemento de conservación, integridad y prueba de, en lo que aquí nos interesa, los negocios comerciales llevados a cabo por las partes y plasmados en forma de contratos (electrónicos). Esta necesidad es la que ha permitido dotar a esta nueva realidad de una regulación que, hasta cierto punto contradictoria con aquella contenida en la LECiv, reconoce abiertamente la importancia del documento electrónico a efectos de prueba, determinando su papel como prueba documental en juicio. Este es el caos de la LSSICE y, cuando el contrato está dotado de firma, de la LFE.

Con ello, perseguimos poner de manifiesto la controversia existente respecto de esta cuestión y la necesidad de conformar un nuevo término jurídico de documento que, abierto a la nueva realidad virtual que cada vez se presenta con mayor fuerza, incluye una propuesta de lege ferenda. Esta propuesta perseguirá, al mismo tiempo, conseguir la tan anhelada coherencia normativa y evitar alejarse de la misión que el documento está llamado a cumplir en el Derecho procesal interno de nuestro país desde hace ya tanto tiempo. Sólo así podremos afrontar de manera satisfactoria los importantes retos que el futuro legal nos depara.

Juan Francisco Rodríguez Ayuso
Doctor internacional en Derecho digital por la Universidad de Bolonia (Italia), Consultor legal de Seguridad de la Información y Profesor de la Universidad Internacional de La Rioja.
Asociado de ENATIC.

¿Deben nuestros clientes designar a un Delegado de Protección de Datos?

/0 Comentarios/en /por

Con la entrada en vigor del nuevo Reglamento (UE) 2016/619 General de Protección de Datos (RGPD), ha tenido lugar la irrupción de una nueva figura que va a suponer la mayor garantía de cumplimiento de la nueva normativa: el Delegado de Protección de Datos (en lo sucesivo, por sus siglas en inglés, el “DPO”).

Sin embargo, existe un temor latente por parte de las compañías en torno a las consecuencias que esta nueva situación pueda acarrear, en base a que el DPO es percibido por éstas como un potencial acusador de los posibles incumplimientos a las autoridades de control en materia de protección de datos.

Pero, ¿existe realmente una base sobre la que se sostenga esta idea?

En el presente artículo se abordará el marco jurídico sobre el que actuará el DPO, para así entender las distintas implicaciones que realmente supondrá su actuación como mediador de las organizaciones con aquellos encargados del ineludible cumplimiento de la normativa.

Características y funciones del DPO

El DPO se constituye como un profesional con conocimientos especializados que participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de las organizaciones.

El DPO no puede ser designado sin criterio alguno, se debe atender a sus aptitudes, cualificaciones profesionales y a su conocimiento especializado de la legislación y la materia en concreto. Sin embargo, una titulación previa no tiene por qué ser necesaria para ofrecer la función de DPO: la acreditación de una titulación en Derecho no garantiza tener las aptitudes requeridas para el puesto en cuestión.

Se permite que el DPO pueda formar parte de la plantilla de la organización siempre que goce de total independencia en sus funciones, o bien que sea un tercero (persona física o jurídica) quien desempeñe sus funciones dentro del marco de un contrato de servicios.

Las funciones principales de un DPO son:

  • Asesoramiento permanente: informar y asesorar a la organización, sus encargados y responsables del tratamiento y a sus empleados que se ocupen del tratamiento de datos sobre las obligaciones que les incumben en virtud del RGPD y las posibles novedades normativas.
  • Garantía de cumplimiento: supervisar el cumplimiento de lo dispuesto en el RGPD y de las políticas de la organización en materia de protección de datos personales, incluida la revisión de documentos, la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y la coordinación de las auditorias correspondientes.
  • Evaluaciones de impacto (EIPD): ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativa a la protección de datos que debe realizar la organización en concreto.
  • Violaciones de seguridad: supervisar el procedimiento de gestión de incidencias y la comunicación a la AEPD con menos de 72 horas las posibles violaciones de datos personales o brechas de seguridad
  • Contacto con los interesados: actuar como punto de contacto de los interesados ante cualquier modalidad de ejercicio de sus derechos.
  • Contacto con la Agencia Española de Protección de Datos: cooperar con la autoridad de control y actuar como intermediario de la misma para cuestiones relativas al tratamiento, incluidas la realización de consultas y la respuesta a solicitudes.

El DPO debe ejercer estas funciones respetando el deber de secreto y confidencialidad y prestando atención a los riesgos asociados a las operaciones de tratamiento.

La obligatoriedad de contar con un DPO en la organización

A la espera de una reforma en la Ley nacional que profundice en este aspecto, la normativa europea recoge una serie de supuestos en los que se establece la designación obligatoria de un DPO por parte de la empresa:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática del interesado a gran escala.
  • Cuando estemos ante tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

Resulta necesario puntualizar ciertos términos para la comprender de forma efectiva cuando resulta necesaria la designación de un DPO. El Grupo de Trabajo del Art. 29 ha tratado de dar respuesta a algunas cuestiones:

¿Qué se considera por actividad principal? – Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento.

¿Qué se considera por “gran escala”? – el Reglamento no ha establecido una cifra exacta para determinar el significado de “gran escala”, por lo que se deben tener en cuenta: el número de interesados afectados; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia de la actividad de tratamiento de datos; y el alcance geográfico de la actividad de tratamiento.

¿Qué entendemos por categorías especiales de datos personales? – aquellos datos que revelen de una persona física el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la vida sexual.

Adicionalmente, debemos tener en cuenta que cualquier organización que no esté obligada a disponer de un DPO en virtud del Reglamento, podrá voluntariamente designar uno que garantice la correcta aplicación de la normativa de protección de datos.

Pero, ¿por qué debe una empresa designar un DPO aun no siendo estrictamente obligatorio?

Nos encontramos ante un panorama donde los datos personales, con la llegada de distintas tecnologías disruptivas como el Big Data, están cobrando cada vez más relevancia en el seno de multitud de empresas que los utilizan como la base sobre la que desarrollar su estrategia, situándose su correcta interpretación como un factor competitivo diferencial. Sin duda, las empresas necesitarán cada vez más de una labor supervisora por parte de una persona experta en la materia que evite cualquier conducta que ponga en peligro la seguridad de los datos que hayan sido tratados y la correcta aplicación de la normativa.

En definitiva, para el cumplimiento de un contexto jurídico donde la proactividad se ha situado como la actitud a implementar de manera obligatoria, sin duda el DPO emerge como un elemento esencial para las entidades, especialmente para aquellas que realicen de manera habitual diferentes tratamientos de datos de carácter personal.

Laura Caballero Álvaro
Legal Counsel en Akela
@Akela_Asesores

El principio de transparencia y el deber de información en el RGPD

/1 Comentario/en /por

Con esta nota sobre el principio de transparencia y el derecho de información iniciamos este blog, que tiene por objetivo compartir y debatir sobre las nuevas (y viejas) obligaciones y derechos que introduce el RGPD. A partir de cada una de estas breves notas buscamos generar un entorno a partir del cual explorar las novedades del RGPD no sólo desde una perspectiva teórica sino también práctica.

Todas las opiniones y comentarios serán bienvenidos.

El principio de transparencia y el deber de información en el RGPD

¿Qué es el principio de transparencia?

El principio de transparencia no es nuevo en el ámbito de la protección de datos, sino que es un principio directamente ligado a los tradicionales principios de información, licitud y lealtad. El Grupo de Trabajo del Artículo 29[1], define al mencionado principio como: el requerimiento de que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y de fácil entender, usando un lenguaje claro y sencillo. Refiriéndose, en particular, a la información sobre el responsable del tratamiento, los fines del tratamiento y la información necesaria para garantizar un trato justo hacia los interesados en los datos personales.

El RGPD introduce el principio de transparencia de forma expresa en el listado de principios de su art. 5 y, posteriormente, lo desarrolla en su art. 12. En este sentido, la transparencia es necesaria durante todo el ciclo de vida de los datos y durante todo el tratamiento de los mismos, desde la etapa de recopilación hasta la fase final, en donde los datos son eliminados. Es decir, el responsable del tratamiento tiene que comunicar al interesado sobre los cambios en los tratamientos de datos que realiza, las condiciones del tratamiento, o la existencia de alguna comunicación de datos, para garantizar que el interesado tenga pleno conocimiento del uso que se le brinda a los datos recopilados.

La transparencia está vinculada al principio de la accountability, por tanto, el responsable de tratamiento debe buscar el mecanismo idóneo para lograr que las personas sean informadas de forma efectiva de cómo van a ser tratados sus datos.

¿Cuáles son los requisitos de transparencia?

Como recuerda el Grupo de Trabajo del Artículo 29, el concepto de transparencia parte de una concepción user-centric más que de una legalista. Por tanto, toda actuación enmarcada en el cumplimiento de este principio debe pensarse desde la perspectiva de la “audiencia” a la que se dirige.

Los requisitos de transparencia que debe tener en cuenta el responsable del tratamiento se describen en el artículo 12 del RGPD. Se exige que la información cumpla con las siguientes reglas:

  • Debe ser concisa, transparente, inteligible y de fácil acceso.
  • Debe usarse un lenguaje claro y sencillo. Este requisito tiene una mayor importancia cuando la información deba ser proporcionada a niños.
  • La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
  • Cuando lo solicite el interesado, la información podrá ser facilitada verbalmente siempre que se demuestre la identidad del interesado por otros medios.

El Grupo de Trabajo del Artículo 29 entiende por “fácil acceso” que el acceso a la información por parte del interesado no debe implicar ninguna búsqueda o esfuerzo por parte de este. Debe ser evidente para los interesados donde pueden acceder a la información. Además, se recomienda que los párrafos y oraciones estén bien estructurados. Las oraciones deben estar formuladas en activo y no en pasivo y el exceso de sustantivos debe evitarse. La información proporcionada al interesado no debe contener un lenguaje o terminología excesivamente técnica o especializada.

La información se debe proporcionar sin que el interesado deba realizar aportación económica alguna. Cuando las solicitudes de los interesados sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. El responsable del tratamiento es quien debe demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

¿Cómo debe cumplirse con el principio de transparencia?

El principio de transparencia requiere que cualquier información y comunicación relacionada con el tratamiento de los datos personales sea fácilmente accesible (en un lugar visible y directamente accesible) y fácil de entender, que se use un lenguaje claro y sencillo, sin ambigüedades. El Grupo de Trabajo del Artículo 29 señala que el responsable debe analizar cuál es su “audiencia” para adaptar el mensaje. Las personas deben poder conocer, por adelantado, el alcance y las consecuencias del tratamiento de sus datos.

En este sentido, cuando la información vaya dirigida a niños debe hacerse de forma que se comprenda que va dirigida a ellos: el vocabulario, estilo y tono deben ser los adecuados atendiendo a la edad de los menores.

El RGPD no prevé una forma específica de cómo prestar la información solicitada, pero el Grupo de Trabajo del Artículo 29, señala la importancia de que la notificación que contiene la información proporcionada cuente con un aviso de protección de datos o declaración de privacidad, y un resumen de las finalidades del tratamiento. Asimismo, es necesario que el responsable del tratamiento tenga en cuenta la modalidad y el formato apropiado para suministrar la información.

La obligación de ser transparentes durante todo el tratamiento puede conseguirse, por ejemplo, con un claro aviso de protección de datos accesible en la página web con la información relativa a los tratamientos de datos realizados para que en cualquier momento pueda ser consultada y con los mecanismos para ejercer los derechos, así como cualquier otra información útil al respecto.

Una de las manifestaciones del principio de transparencia que probablemente tendrán mayor impacto en un futuro cercano, habida cuenta de los avances que estamos experimentando en materia de inteligencia artificial, es el de la necesidad de hacer transparentes las decisiones basadas en tratamientos automatizados que pueden tener un efecto jurídico sobre los ciudadanos o vaya a afectarles significativamente.

Se encuentran reguladas en el artículo 22 del RGPD, estableciéndose como principio el derecho de la persona a no ser objeto de este tipo de decisiones, salvo cuando se cuente, por ejemplo, con el consentimiento explícito. En cualquiera de los supuestos,  las excepciones reguladas exigen el establecimiento de medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En este punto, la transparencia cobra especial importancia, ya no sólo en cuanto a dar a conocer la existencia de este tipo de tratamiento, sino por la necesidad de que las personas entiendan la importancia y las consecuencias que ese tratamiento va a tener para ellas. Así, se exige al responsable del tratamiento que informe de estas circunstancias, junto con la lógica aplicada, en el momento de la recogida de los datos, o con posterioridad si los datos no se recogen directamente del interesado.

¿Qué es el deber de información?

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de operaciones de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.

El RGPD establece que se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente como máximo en el plazo de un mes, Esta información dirigida al público o al interesado podrá facilitarse también  en forma electrónica.

Además, si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria.

En los arts. 13 y 14 del RGPD se contempla la información que debe facilitarse en la recogida de los datos, tanto si se recogen directamente del interesado como si se recogen por otros medios, de modo que el interesado sea capaz de determinar de antemano cuál es el alcance y las consecuencias que implica el tratamiento de datos.

El Grupo de Trabajo del Artículo 29 indica que las categorías de información que deben proporcionarse al interesado de los datos que son materia de tratamiento ya se encuentran enumeradas y resumidas dentro de la norma. Sin embargo, los responsables del tratamiento no solo deben proporcionar la información prescrita en los artículos 13 y 14, sino que también se debe explicar cuáles serán las consecuencias más importantes del tratamiento.

¿Qué debe hacer el responsable del tratamiento si el interesado solicita información sobre el tratamiento de sus datos?

El responsable del tratamiento deberá facilitar al interesado información relativa a sus actuaciones sobre la base de una solicitud y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

El responsable del tratamiento deberá de informar sin dilación al interesado en caso de no poder atender su solicitud, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad del interesado que presenta una solicitud de ejercicio de derechos de habeas data, podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del mismo.

El responsable del tratamiento podrá facilitar la información a través de una combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto.

¿Cuáles son los puntos principales sobre los que se debe informar?

Cuando se obtengan los datos personales directamente del propio interesado, el responsable del tratamiento, en el momento en que los obtenga, debe informar de :

  • la identidad y los datos de contacto del responsable y, en su caso, del representante.
  • los datos de contacto del delegado de protección de datos.
  • los fines del tratamiento a que se destinan los datos personales.
  • la base jurídica del tratamiento. Y, en su caso, sobre el interés legítimo.
  • las categorías de datos personales de que se trate.
  • los destinatarios o las categorías de destinatarios.
  • el plazo de conservación de los datos personales o los criterios utilizados para determinarlo cuando no es posible informar del mismo.
  • la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad.
  • Si el tratamiento se basa en el consentimiento, de la existencia del derecho a retirarlo en cualquier momento.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • En caso de comunicaciones, de la base legal o contractual que tienen. Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato.
  • En su caso, sde la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento.
  • Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado sobre esa otra finalidad y cualquier otra cuestión pertinente.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el responsable del tratamiento, de manera adicional a todos los puntos anteriores, también deberá informar de la fuente de la que proceden los datos personales o si proceden de fuentes de acceso público. Esta información deberá ser facilitada:

  • Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
  • Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

¿Cómo se debe informar?

La forma en la que se provee la información es de vital importancia. La comunicación de la misma debe incluirse en un aviso de protección de datos o declaración de privacidad.

El Grupo de Trabajo del Artículo 29 precisa que es indispensable que el método empleado para proporcionar la información sea apropiado para la circunstancia en particular; por ejemplo, brindando la información de forma escrita en una página web o mediante un vídeo, así como también a través de un código QR.

Tanto el Grupo de Trabajo del Artículo 29 como las diferentes autoridades de control[2] recomiendan el uso de declaraciones o avisos de privacidad por capas, que permiten a los interesados consultar los aspectos de los textos legales de mayor interés para ellos con un enfoque multinivel; el cual ayuda al responsable del tratamiento a diseñar los procedimientos y formularios.

El Proyecto de Ley Orgánica de Protección de Datos recoge esta posibilidad para el caso de que los datos sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, y supuestos expresamente establecidos por la ley o autorizados por la Agencia Española de Protección de Datos.

Señala, en su art. 11, que se facilitará al afectado una información básica y se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. La información básica deberá referirse a:

  1. a) La identidad del responsable del tratamiento y de su representante.
  2. b) La finalidad del tratamiento.
  3. c) El modo en que el afectado podrá ejercitar sus derechos

Las declaraciones o avisos de privacidad por capas se apoyan en dos pilares fundamentales:

  • El primer nivel consiste en la información básica para el interesado, que debe estar de forma resumida, y se debe ofrecer en el mismo momento en que se recopila la información y por el mismo medio por el cual se recojan los datos.
  • En el segundo nivel debe encontrarse la información de forma detallada, en un medio más adecuado para su presentación y compresión por el interesado.

La forma de presentar la información adicional depende del medio empleado para hacer llegar la información solicitada por el interesado. El lenguaje para presentar la información debe ser claro, conciso y sencillo, aplicando una exposición estructurada en los epígrafes de la tabla de información básica, evitando jerga jurídica que tal vez no pueda ser correctamente comprendida por el interesado y empleando, en la medida de lo posible, un formato de preguntas y respuestas.

La extensión de la información contenida en este nivel dependerá de la complejidad de cada circunstancia en particular. Pudiendo incluir información que no necesariamente haya sido contemplada en el RGPD con el fin de contribuir a mejorar la protección de los datos personales y generar confianza con el interesado.

¿Cuándo no es necesario informar al interesado?

Cuando se obtengan los datos personales directamente del propio interesado, el RGPD indica que no será necesario informar al interesado cuando ya dispone de la información.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el RGPD indica que no será necesario informar al interesado:

  • Cuando ya dispone de la información.
  • Cuando la comunicación de dicha información resulta imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  • Cuando puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento, pero se adoptan medidas para proteger los derechos, libertades e intereses legítimos del interesado.
  • Cuando la obtención o la comunicación está expresamente establecida por normas de derecho aplicables.
  • Cuando los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional regulada por normas de Derecho.

¿Cómo puede una organización saber si cumple con el principio de transparencia y el deber de información?

El Considerando 74 del RGPD establece que el responsable está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento. Por ello, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento y los posibles riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

De este modo, la Agencia Española de Protección de Datos[3] ha elaborado un listado de cumplimiento normativo que incluye un punto específico para la valorar el grado de cumplimiento de la obligación de transparencia y del derecho de información que nos permite tener una primera aproximación.

 

Abel Loeches Márquez

AKELA

 

 

[1] Directrices sobre transparencia publicadas por el WP 29 el 29 de noviembre de 2017: (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227)

[2] A titulo de ejemplo: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

[3] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf