guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Derecho de información (Protección de...

Derecho de información (Protección de Datos)

El derecho a la información se configura con objeto de que el interesado conozca el tratamiento de sus datos personales, ya se obtengan del mismo o de otra fuente. La información es esencial para que el interesado pueda controlar el tratamiento leal y lícito de sus datos personales y saber quién es el responsable del tratamiento para dirigirse al mismo para ejercer sus derechos.

Protección de datos

¿Qué es el derecho a la información en protección de datos?

El derecho a la información permite al interesado, la persona física, saber quién trata sus datos personales (el responsable del tratamiento), para qué finalidad o finalidades los trata, cómo los trata y, en su caso, dirigirse al mismo para ejercer sus derechos.

La información, por tanto, es uno de los requisitos con los que tiene que cumplir el responsable del tratamiento para que éste sea lícito y leal, teniendo que proporcionar toda la información, incluso complementaria, para garantizar que el tratamiento de los datos personales sea leal y transparente.

Si los datos personales van a ser utilizados con una finalidad diferente, siempre y cuando sea compatible con la finalidad inicial para la que se obtuvieron, el responsable del tratamiento tendrá que proporcionar información sobre dicha finalidad antes de que se lleve a cabo el tratamiento, así como cualquier otra información que sea necesaria para esta última finalidad.

Además, la información será esencial en caso de que el interesado tenga que dar su consentimiento explícito para que se puedan tratar los datos personales.

¿Cuándo tiene que proporcionarse la información al interesado?

Con carácter general la información al interesado tiene que proporcionarse en el momento en el que se obtengan o recaben los datos personales.

Pueden darse dos supuestos. El primero, cuando los datos personales se obtienen del interesado, en cuyo caso la información tiene que facilitarse en este momento. Y el segundo, cuando los datos personales se obtienen de otra fuente, distinta al propio interesado, en cuyo caso la información tiene que proporcionarse en un plazo razonable, a más tardar en un mes, debiendo considerar las circunstancias específicas en cada caso. En este último caso, si no es posible determinar cuál es el origen de los datos personales por haberse utilizado diferentes fuentes, el responsable del tratamiento deberá facilitar al interesado información general al respecto.

Si los datos personales van a ser comunicados a otro responsable del tratamiento, el responsable del tratamiento inicial tendrá que informar al interesado cuando se produzca por primera vez.

¿Cuándo no es obligatorio proporcionar información al interesado?

El responsable del tratamiento no tendrá obligación de facilitar información al interesado sobre el tratamiento de sus datos personales cuando se dé algunos de estos casos:

  • El interesado ya tiene o dispone de la información.
  • El tratamiento de los datos personales, ya sea su registro o su comunicación, están clara y expresamente establecidos en una ley europea o nacional que proteja los intereses legítimos de los interesados.
  • Facilitar la información al interesado resulta imposible o exige un esfuerzo desproporcionado, debiendo considerarse el número de interesados, la antigüedad de los datos y las garantías adecuadas que se hubieran adoptado en su caso.

¿Cómo tiene que ser la información que se facilite al interesado?

En virtud del principio de transparencia (artículo 12 del Reglamento (UE) 2016/679, de 27 de abril de 2016, RGPD 2016/679), la información que se facilite al interesado tendrá que ser proporcionada por el responsable, adoptando las medidas oportunas al respecto, de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular si la información se dirige a un niño. De esta forma lo apunta la Sentencia del Tribunal de Justicia de la Unión Europea, en el asunto C-61/19, de 11 de noviembre de 2020, cuando recuerda que el responsable del tratamiento deberá facilitará al interesado la información respecto de todas las circunstancias relacionadas con el tratamiento de sus datos, "con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo".

La información sobre el tratamiento de los datos personales puede facilitarse por el responsable del tratamiento al interesado:

  • Por escrito, por ejemplo, en un formulario en papel;
  • Por otros medios, incluidos los electrónicos, tales como una página web, etc., o
  • Verbalmente, siempre y cuando en se pueda demostrar la identidad del interesado por otros medios.

Además, conforme al apartado 7 del artículo 12 del RGPD 2016/679, la información "podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto". En este caso, la Comisión Europea podrá determinar la información que se debe presentar a través de los iconos normalizados y los procedimientos aplicables para facilitar dichos iconos.

En cualquier caso, la información sobre el tratamiento de los datos personales tendrá que facilitarse al interesado de manera gratuita.

¿Qué información hay que proporcionar cuando los datos personales se obtienen del interesado?

Cuando los datos personales se obtienen del interesado (artículo 13 del RGPD 2016/679), el responsable del tratamiento tendrá que facilitar, salvo las excepciones ya indicadas, la siguiente información:

  • a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;
  • b) Los datos de contacto del delegado de protección de datos;
  • c) Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
  • d) Cuando el tratamiento se base en el interés legítimo [apartado 1, letra f) del artículo 6 del RGPD 2016/679] como base de legitimación del tratamiento, los intereses legítimos del responsable o de un tercero;
  • e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
  • f) La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión Europea,;
  • g) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
  • h) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
  • i) Cuando el tratamiento esté basado en el consentimiento [apartado 1, letra a) del artículo 6 del RGPD 2016/679], o el consentimiento explícito para el tratamiento de categorías especiales de datos [apartado 2, letra a) del artículo 9 del RGPD 2016/679], la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
  • j) El derecho a presentar una reclamación ante una autoridad de protección de datos;
  • k) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales, las posibles consecuencias de no facilitar tales datos;
  • l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refieren los apartados 1 y 4 del artículo 22 del RGPD 2016/679 al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Y si los datos personales del interesado van a ser utilizados para una finalidad que no es el inicial para que se recabaron, información sobre dicha finalidad y la información adicional, de las letras g) a l), que sea pertinente. En este caso la información tendrá que proporcionarse antes de llevar a cabo el tratamiento de los datos personales con la nueva finalidad.

En este caso, es decir, cuando los datos personales se obtienen del interesado, el responsable podrá facilitar la información por capas, como prevé a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Es así que la información básica, que sería una primera capa, deberá contener, al menos, la identidad del responsable, la finalidad del tratamiento, la posibilidad de ejercer sus derechos, la información relativa a la elaboración de perfiles; así como una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la información completa o restante:

¿Qué información hay que proporcionar cuando los datos personales no se hayan obtenido del interesado?

Cuando los datos personales se han obtenido de una o varias fuentes distintas al interesado (artículo 14 del RGPD 2016/679), el responsable del tratamiento tendrá que facilitar la siguiente información:

  • a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;
  • b) Los datos de contacto del delegado de protección de datos, en su caso;
  • c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
  • d) Las categorías de datos personales de que se trate;
  • e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
  • f) En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión Europea, o, en el caso de las transferencias sobre la base de garantías adecuadas o excepciones para una situación particular, respectivamente, las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado;
  • g) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
  • h) Cuando el tratamiento se base en el interés legítimo [apartado 1, letra f) del artículo 6 del RGPD 2016/679] como base de legitimación del tratamiento, los intereses legítimos del responsable o de un tercero;
  • i) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
  • j) Cuando el tratamiento esté basado en el consentimiento [apartado 1, letra a) del artículo 6 del RGPD 2016/679], o el consentimiento explícito para el tratamiento de categorías especiales de datos [apartado 2, letra a) del artículo 9 del RGPD 2016/679], la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
  • k) El derecho a presentar una reclamación ante una autoridad de protección de datos;
  • l) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
  • m) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refieren los apartados 1 y 4 del artículo 22 del RGPD 2016/679 y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Al igual que en el caso de la obtención de los datos personales del interesado, es también posible informar por capas, debiendo indicar en la primera capa, además de lo señalado en el epígrafe anterior, las categorías de los datos tratados y las fuentes de las que procedan los datos

En este caso, dado que los datos personales no se han obtenido del interesado, el responsable del tratamiento, una vez que obtenga los datos personales, deberá informar en un plazo razonable, a más tardar en un mes, considerando a tal fin las circunstancias en las que se tratan los datos personales o, si se prevé la comunicación a otro destinatario, como muy tarde cuando se produzca la primera comunicación.

Aplicarán también las excepciones ya indicadas a la obligación de informar así como la relativa a mantener la confidencialidad de los datos personales o cuando sea aplicable una obligación e secreto profesional regulada por el Derecho de la Unión o de los Estados miembros o estatutaria.

¿Cuál sería la sanción aplicable si no se cumple el derecho de información?

No facilitar la información sobre el tratamiento de los datos personales o no hacerlo de manera adecuada podría suponer la comisión de una infracción [art. 83.5 b) del RGPD 2016/679] que podría ser sancionada, cuando se trate de empresas, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. En concreto, en la LOPDGDD se trata de una infracción muy grave, lo que implica que será sancionada, como mínimo, con 300.000 euros y prescribirá a los tres años.

En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que…

  • El derecho de información permite al interesado saber quién, cómo y para qué trata sus datos personales, teniendo que facilitarse de manera adecuada y transparente.
  • La información a facilitar al interesado dependerá, en su caso, de si los datos personales se han obtenido del interesado o de otra fuente.
  • El incumplimiento del derecho de información puede conllevar una multa administrativa para la empresa y, en el caso de una Administración Pública, la declaración de infracción.

© LA LEY Soluciones Legales, S.A.

Aviso legal
Política de privacidad
Política de cookies
RSC y Medioambiente
Gestionar cookies
Los productos que se integran en un paquete comercial, conjuntamente con una Base de datos y/o una publicación, pueden ser adquiridos también de forma individual. Puede obtener las condiciones comerciales aplicables a la venta separada de estos productos llamando al 91 903 90 27. En el caso de publicaciones en papel o digitales o productos de e-learning, puede también consultar estos precios en Tienda LA LEY
Subir