Semanas antes de la aplicación del Reglamento General de Protección de Datos (RGPD), la Agencia Española de Protección de Datos (AEPD) publicó la «Guía para el cumplimiento del deber de informar» cuyo objetivo es «orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten«.
A través de estas indicaciones la AEPD ha propuesto un sistema de información por capas o niveles para dar cumplimiento al deber de informar recogido en los artículos 13 y 14 del RGPD. De acuerdo con sus recomendaciones, la información se proporcionará al usuario en el momento en el que se solicitan los datos, es decir, antes de la recogida o registro de los mismos.
A modo introductorio, hay que señalar que la primera capa debe informar de manera resumida del tratamiento de datos que se realiza en cada formulario, mientras que en la segunda capa se procederá a ampliar y completar la información ya facilitada.
¿Qué información debe aparecer en la primera capa de protección de datos?
La primera capa de protección de datos debe ofrecerse a ser posible en formato de tabla y en el campo visual del interesado y además se debe identificar como “Información básica sobre protección de datos”. Si por motivos de diseño no se pudiera facilitar la primera capa, en el campo de visión habrá que informar de dónde se puede localizar la misma (Ejemplo: “Accede a la información básica de protección de datos aquí” y un enlace a una url, pop-up u otro método que permita acceder a ella).
Como hemos señalado, la información que se debe poner a disposición de los usuarios se facilitará de forma resumida, y debe incluir los siguientes campos:
- Responsable. Será suficiente con hacer referencia a la razón social o nombre de la persona física responsable del tratamiento.
- Finalidad. Se deberán señalar los fines para los que se solicita la información en cada formulario.
- Legitimación. Habrá que indicar las bases jurídicas del tratamiento, que vienen enumeradas en el RGPD, y pueden ser las siguientes:
- «Ejecución de un contrato».
- «Cumplimiento de una obligación legal».
- «Misión en Interés público» o «Ejercicio de Poderes Públicos».
- «Interés legítimo del Responsable» o «Interés legítimo de un tercero».
- «Consentimiento del interesado».
- Destinatarios. Es necesario informar de a quién se comunicarán los datos y, en caso de no realizarse comunicaciones, también deberá informarse al respecto.
- Derechos. Será suficiente con hacer una breve referencia a los derechos más habituales.
Además, será necesario que exista un enlace a la segunda capa, donde se informará en detalle del tratamiento de datos realizado.
Cuando los datos no se hayan obtenido directamente del interesado, se deberá incluir un campo denominado «procedencia» en el que se informe sobre el origen de los mismos.
Por último, es conveniente señalar que, dependiendo del tipo de formulario de que se trate, la información básica de protección de datos puede ser diferente para cada formulario, en concreto la finalidad del tratamiento, la legitimación y los destinatarios variarán en función del tratamiento de datos que se realice en cada uno de ellos. No es lo mismo la suscripción a una newsletter que tramitar un pedido o solicitar información a través de un formulario de contacto, ya que, si todas contuvieran la misma información básica, no se estaría cumpliendo correctamente con el deber de informar.
A continuación, facilitamos un ejemplo de primera capa para un formulario de suscripción a un boletín de noticias en formato tabla y otro a modo de texto:
¿Qué información debe aparecer en la segunda capa de protección de datos?
En la segunda capa de protección de datos se debe ampliar y completar la información ofrecida de manera previa, además de todos los puntos enumerados por el artículo 13 del Reglamento de Protección de Datos.
De acuerdo con lo indicado por la AEPD, cuando los datos se hayan obtenido directamente del interesado la información que debe aparecer desglosada en la segunda capa será la siguiente:
¿Qué dice la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales sobre la información por capas?
El pasado 7 de diciembre de 2018, entró en vigor la nueva Ley Orgánica de Protección de Datos, en el artículo 11 (Transparencia e información al afectado) se hace referencia a la información por capas o niveles:
«1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información».
Por su parte, en el apartado segundo se establece que la información básica deberá contener la siguiente información:
- La Identidad del responsable del tratamiento y de su representante, en su caso.
- La finalidad del tratamiento.
- La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Y en caso de que los datos no hayan sido obtenidos directamente del interesado se deberá incluir también:
- Las categorías de datos objeto de tratamiento.
- Las fuentes de las que procedieran los datos.
Siguiendo el ejemplo anterior, el contenido de la primera capa según lo indicado en la LOPDGDD, sería el siguiente:
