miércoles, 26 de septiembre de 2018

RGPD - Información a los interesados


El nuevo RGPD establece cambios en las formas para obtener los datos personales.


1. Información cuando los datos se obtienen del propio interesado

Cuando los datos son recabados del propio interesado, el nuevo RGPD determina que en el momento en que se obtengan los datos personales, para garantizar un tratamiento leal y transparente, es necesario informar al interesado de:

  • La identidad y los datos de contacto del responsable y, si existe, de su representante.
  • Los datos de contacto del delegado de protección de datos, si aplica.
  • Los fines del tratamiento y la base jurídica del tratamiento.
  • Los intereses legítimos del responsable o del tercero, cuando el tratamiento es necesario para satisfacer intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.
  • Los destinatarios o categorías de destinatarios de los datos personales.
  • La intención del responsable de transferir datos personales a un tercer país u organización internacional.
  • El plazo durante el que se conservarán los datos o los criterios utilizados para determinar este plazo.
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • Se debe informar de la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada, cuando el interesado dé su consentimiento para el tratamiento para uno o varios fines específicos.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • Si la comunicación de datos personales es un requisito legal / contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Información cuando los datos NO se obtienen del interesado

El RGPD establece que cuando los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima o de fuentes de acceso público, además de informar de todo lo anterior, se debe informar de:

  • El origen de los datos.
  • Las categorías de los datos.
El responsable del tratamiento debe facilitar la información al interesado:
  • Dentro de un plazo razonable
    • Una vez obtenidos los datos personales, y máximo dentro de un mes.
  • Si los datos personales han de utilizarse para comunicación con el interesado
    • En el momento de la primera comunicación a dicho interesado.
  • Si está previsto comunicarlos a otro destinatario
    • En el momento en que los datos personales sean comunicados por primera vez.

Importante: Se debe informar a los interesados de forma concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y conciso, tanto cuando se inicia un tratamiento como cuando se responde al ejercicio de los derechos ejercitados por los interesados.

No será necesario informar al interesado cuando:
  • Ya dispone de la información
    • Cuando el interesado ya disponga de la información.
  • Es imposible o muy difícil informar
    • Cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  • Lo establece expresamente el Derecho de la UE o de los Estados miembros
    • Cuando la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.
  • Los datos deben seguir teniendo carácter confidencial
    • Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

No hay comentarios:

Publicar un comentario