¿Por qué la nueva LOPD ha limitado el contenido de la primera capa del derecho de información?

Miniatura noticia

Se ha hablado mucho de las novedades del RGPD, si bien algunas de ellas no eran tales, como el delegado de protección de datos (ya existía en la Directiva 95/46), las evaluaciones de impacto de protección o la privacidad por diseño/defecto (estas cuestiones habían sido trabajadas por las Autoridades de Protección de Datos si bien la novedad está que se plasman en un texto normativo).

No obstante, donde sí existen realmente novedades en el RGPD es en relación al contenido del derecho de información, ya que el mismo se amplía considerablemente respecto al que se tenía que facilitar con los ya derogados LOPD del año 1999 y su Reglamento del año 2007.

Así aparecen, por ejemplo, que se tenga que facilitar el plazo de conservación de los datos (lo cual en muchas ocasiones es bastante complejo); los destinatarios o categorías de destinatarios de datos personales (hay que incluir a los encargados de tratamiento, pero habrá que optar por “categorías” ya que de lo contrario se podría revelar la cartera de clientes de una determinada empresa); o respecto a los derechos si existen decisiones automatizadas (ya existían antes con el nombre de “impugnación de valoraciones” pero no había que informar, así que pocas reclamaciones se han tramitado).

Este contenido que debe facilitarse se encuentra en los artículos 13 (aplicable cuando los datos personales se obtengan del interesado) y 14 (aplicable cuando los datos personales no se hayan obtenido del interesado).

Como el citado contenido, como ya hemos indicado se amplía, las Autoridades de Control (AEPD, Agencia Vasca de Protección de Datos y Autoridad Catalana de Protección de Datos) publicaron la Guía para el cumplimiento del deber de informar, recogiendo la posibilidad de cumplir con el derecho de información mediante un sistema por capas, distinguiendo entre una “Información básica”, que se facilitaría al instante, y una “Información adicional”, de conocimiento en un momento posterior pero de sencillo acceso a su contenido.

El sistema por capas no es nuevo: ya era aplicable en videovigilancia (al “dichoso” cartel hay que añadirle más información) y las llamadas “cookies” (también “dichosas”).

No obstante lo anterior, toda la información podría comunicarse de una sola vez, por lo que dependerá del caso concreto si optamos o no por el modelo de “dos capas”.

Así y a modo de ejemplo, podemos encontrarnos el caso en que un formulario de recogida de datos que se tiene que rellenar es menos amplio que el contenido del derecho de información a facilitar, por lo que sería aconsejable el uso de este modelo de “dos capas” (en caso contrario, podría confundir al ciudadano/cliente); o en el caso de la firma de una hipoteca, lo más lógico es que toda la información de protección de datos figure de forma conjunta, en el documento que se firme a tal respecto.

Por su parte, el Comité Europeo de Protección de Datos, cuando todavía era Grupo del Artículo 29, publicó las “Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679”, documento cuya lectura recomiendo por su gran interés, en el que también se menciona el enfoque por niveles pero únicamente en el contexto digital, indicando textualmente lo siguiente:

“El GT29 recomienda que el primer nivel o la primera modalidad incluya los detalles de los fines del tratamiento, la identidad del responsable y una descripción de los derechos del interesado”; luego, en virtud del principio de responsabilidad proactiva, decida el responsable respecto al resto de información a facilitar, a cual le otorga prioridad.

Es decir, en el mundo on-line la primera capa queda circunscrita a la identidad del responsable, fines del tratamiento y descripción de derechos.

Se justificaba esta medida en que “en el contexto digital habitada cuenta de la gran cantidad de información que se debe facilitar al interesado /
…lugar de mostrar toda esta información en un solo aviso en pantalla, a fin de evitar la fatiga informativa”, lo cual es bastante discutible. Se está generalizando, o dando por hecho que todos los servicios o web de Internet realizan grandes tratamientos de datos personales, y por ende, se debe facilitar esa gran cantidad de información.

En base a este criterio, en el proyecto de ley orgánica de protección de datos de carácter personal (cuando era proyecto de ley y todavía no había sido invadida por los derechos digitales) en el artículo 11, referente a “Transparencia e información del afectado”, se contemplaba este contenido de la primera capa acorde a las Directrices referidas, si bien sólo sería de aplicación cuando los datos hubiesen sido obtenidos del afectado en cuatro supuestos:

-A través de redes de comunicaciones electrónicas.
-En el marco de la prestación de un servicio de la sociedad de la información
-Supuestos expresamente previstos en una Ley
-Cuando lo autorizase la Agencia Española de Protección de Datos.

Sin embargo, una enmienda sobre este artículo realizada por el PNV propuso lo siguiente:

No se entiende la razón de esta regulación que impide informar por capas cuando los datos sean obtenidos del afectado fuera de los supuestos citados, por ejemplo, a través de impresos (suscripciones, solicitudes etc.), y sin embargo, lo permite siempre que los datos no se obtengan del propio afectado”.

Y fruto de ello, es el actual artículo 11 de la nueva LOPD (ya con su parte de derechos digitales), con la reducción de la primera capa (información básica) a:

a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Es decir, su aplicación a cualquier tipo de tratamiento, independientemente del lugar donde se produzca la recogida de datos personales, sin diferenciar si estamos en el mundo “off-line” o en el mundo “on-line”, si es que existen diferencias entre ambos mundos (el medio no debe suponer la diferenciación de la aplicación del Derecho).

PD: No obstante, el precepto se refiere a que el contenido a facilitar debe contener “al menos” lo anteriormente referido, por lo que dicho contenido puede ser ampliado, e incluso facilitar toda la información “de un solo golpe”.


2 comentarios

  1. Víctor Galindo
    25 de febrero de 2019 @ 12:26

    Hola Francisco Javier,

    Muchas gracias por escribir este artículo tan interesante. Lo he leído a través de linkedin desde donde he hecho un comentario/pregunta que reproduzco aquí para mayor difusión:
    ¿Puede la nueva LOPD limitar los establecido por el RGPD al ser este jerárquicamente superior?

    Muchas gracias y saludos.

    P.D.: Recuerden modificar la coletilla legal de este formulario y solicitar el consentimiento específico.

    Responder

  2. Miguel Ferrero
    17 de julio de 2019 @ 13:53

    Hola Francisco, buenos días.

    Solamente comentarte una pequeña discrepancia respecto al deber de informar sobre los destinatarios o categorías de destinatarios. A mi entender, dentro de la definición de destinatario no se encuentran los encargados de tratamiento, me explico.
    Art. 4.9 RGPD. Destinatario: persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen los datos personales, se trate o no de un tercero (…)
    Art. 33.1 LOPD. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable, no se considerará comunicación de datos (…)
    Por lo tanto, al no haber “comunicación” un ET no sería un destinatario. Por ello entiendo el carácter no obligatorio de facilitar esa información.

    Un saludo y gracias por tus artículos.

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*