Información y consentimiento en el nuevo Reglamento General de protección de datos

¿De qué se debe informar a los interesados? ¿Cuándo proporcionar la información? ¿Cómo obtener el consentimiento informado?

¿De qué debe informar a los interesados?

Si su empresa obtiene datos personales (de clientes, trabajadores, usuarios de su página web…), está obligada a informar al interesado de los tratamientos o usos que va a realizar con esos datos. La obligación de informar corresponde a su empresa si actúa como responsable del tratamiento. Este derecho de información de los interesados es esencial, ya que tiene varias finalidades:

  • Que el afectado pueda prestar su consentimiento (específico, informado e inequívoco) para que se traten sus datos personales.
  • Y que el afectado pueda ejercer los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición que la normativa reconoce a los interesados.

Básicamente, usted debe informar a los interesados (a continuación, le indicamos cuándo debe hacerlo) de los siguientes extremos:

  • De la identidad y la dirección de su empresa.
  • De los datos del delegado de protección de datos (si existe en su empresa).
  • De la finalidad del tratamiento de sus datos y la base jurídica del tratamiento.
  • De los destinatarios de la información, esto es, los cesionarios (vea el capítulo 5).
  • Del plazo o los criterios de conservación de la información.
  • De la existencia de decisiones automatizadas, incluida la elaboración de perfiles (en caso de que existan en su empresa)
  • De la previsión de transferencias internacionales a terceros países.
  • Del derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
  • Del carácter obligatorio o facultativo de las respuestas a las preguntas que usted plantee a los interesados.
  • De las consecuencias de la obtención de los datos o la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición.

Dentro de la obligación de informar sobre la finalidad del tratamiento, no sería válido (pues se considera que no informa suficientemente) indicar finalidades genéricas, del tipo “utilizaremos sus datos para proporcionarle el mejor servicio”, o “cederemos sus datos a terceros cuyos productos o servicios puedan ser de su interés”.

¿Cuándo proporcionar la información?

Si es usted quien obtiene los datos directamente del propio interesado, debe proporcionarle la información indicada en el momento en el que solicite sus datos, previamente a su recogida o registro.

En cambio, si obtiene los datos de personas distintas al interesado (por ejemplo, por una cesión legítima de datos) debe informar al interesado de esa recogida de datos en un plazo razonable, pero, en cualquier caso, antes de un mes desde que se obtuvieron los datos personales o, en su defecto, en la primera comunicación con el interesado.

¿Cómo obtener el consentimiento informado?

Como regla general, para que usted pueda tratar lícitamente los datos personales de sus clientes (o de cualquier otra categoría de interesados) es necesario que, además de informarles en los términos indicados, solicite y obtenga su consentimiento previo e inequívoco.

A estos efectos, se entiende que existe dicho consentimiento inequívoco cuando éste se ha prestado mediante una declaración o una clara acción afirmativa del interesado. A diferencia de la normativa anterior, con el RGPD ya no se admiten formas de consentimiento tácito o por omisión, ya que éstas se basan en la inacción del interesado.

Puede suceder que su empresa esté tratando unos datos personales desde antes de la aplicación del RGPD, y que lo haga sobre la base del consentimiento del afectado. Pues bien, en este caso dicho consentimiento sigue siendo válido, pero sólo si se prestó de la forma en que exige el RGPD, es decir, sólo si se prestó mediante una declaración o acción afirmativa del afectado.

Revocación

En todo caso, tenga en cuenta que el afectado tiene derecho a revocar su consentimiento en cualquier momento y a través de un medio sencillo y gratuito. La retirada del consentimiento no afecta al tratamiento de los datos que usted haya realizado anteriormente, pues éste se basó en el consentimiento prestado antes de su retirada.