Hoy la LOPD ya ha quedado obsoleta por lo que nos centraremos en lo que dice el nuevo RGPD sobre el deber de informar que tiene el responsable de los datos personales.
Esta es la información que a partir de hoy ( 25 de mayo de 2018 ) exige el RGPD que se dé a los usuarios antes de recopilar sus datos:
DPO (Data protection officer ) forma de contactar con él si hay algún problema o simplemente para pedir información, recordar que no siempre es necesario disponer de uno.
La base jurídica o la legitimación del tratamiento.
Tiempo que pensamos convervar los datos, y en basé a qué criterio.
Si vamos a elaborar perfiles o vamos a realizar tratamientos automatizados con los datos que nos entreguen.
Si los datos que recabamos los vamos a enviar a terceros países.
Si vamos a ceder los datos a otras empresas.
Qué derechos tenemos y cómo ejercitarlos.
La posibilidad de acudir a la autoridad de control (AEPD en España)
Si compramos datos a terceras empresas, debemos informar de cuáles hemos comprado y a quién.
¿Quién debe informar?
La obligación del informar al usuario sobre todo lo dicho hasta ahora recae en el responsable del tratamiento, que puede encontrarse en tres situaciones, la primera que dispone ya de los datos personales por habérselos entregado el usuario y la segunda que haya conseguido esos datos por otras vías, compra de bases de datos, fuentes públicas, cesiones legítimas, etc (hablaremos en otro post sobre esto) y la tercera que los vaya a recabar en ese momento.
Con la primera nos encontraríamos a su vez con dos situaciones, la primera que hubiéramos obtenido el consentimiento de manera clara e inequívoca, supuesto en el que entiendo, salvo mejor opinión, que no es necesario volver a recabar el consentimiento. Si por el contrario el consentimiento se recabó de manera tácita habría que pedir de nuevo que acepten la política de privacidad.
La tercera situación nos obligará a dar toda la información que hemos mencionado antes de la recogida de los datos, también deberá haber una casilla en la que acepten claramente nuestra política de privacidad.
¿Cómo y dónde informar sobre nuestra política de privacidad?
El RGPD es muy claro en el sentido de que la información debe ser comprensible para cualquier tipo de persona, por lo que deberemos hacer un esfuerzo para conseguir que el lenguaje sea claro y conciso.
La AEPD recomienda informar por capas, en una primera, visible en el mismo formulario (ya sea papel o web) deberemos ofrecer la información de manera resumida, dando opción a ampliarla en otra web, documento o parte del formulario papel. Si es necesario hacerlo por teléfono lo ideal es tener una locución grabada.
¿Qué debe contener la primera capa de información sobre protección de datos?
La primera capa contiene la "Información básica sobre protección de datos", estos son los datos que deben aparecer:
- Responsable,
- Finalidad,
- Legitimación,
- Destinatarios,
- Derechos,y
- Procedencia.
La segunda capa debe contener los mismos datos pero de manera ampliada, esto es, donde decimos responsable, en vez de limitarnos a poner el nombre del empresario, lo adecuado sería añadir todos los datos de contacto, donde dice finalidad, extenderse explicando en lenguaje claro y sencillo para qué queremos los datos, cómo los vamos a gestionar, cuánto tiempo los vamos a conservar y por qué? y así con todos los epígrafes de la información sobre protección de datos.
La AEPD ha publicado una completa guía sobre el deber de informar que puedes encontrar en el siguiente enlace: