Con la plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas (SP/LEG/19835), parece que desaparecerán las típicas cláusulas, de general utilización, que solían incorporarse en los formularios en los que se recababan datos personales, y que tenía un tenor literal parecido al siguiente: “De acuerdo con lo establecido en la Ley Orgánica 15/1999, de protección de datos de carácter personal, los datos personales facilitados serán incorporados a un fichero, debidamente inscrito en el Registro General de Protección de Datos, cuyo titular es XXX, con la finalidad de XXX. Podrán ejercitar sus derechos de acceso, cancelación, rectificación y oposición, dirigiéndose a XXX”.
El Reglamento europeo de protección de datos (GDPR, por sus siglas en inglés, en adelante) se basa en dos pilares básicos: la lealtad y la transparencia. Así, tal y como dispone su considerando 60, los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines y que el responsable del tratamiento facilite al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente.
El artículo 13 del GDPR establece cuál es la información que debe proporcionarse al interesado en el momento en que se obtengan sus datos personales. Se trata de una información muy exhaustiva, amplia y detallada y que, desde luego, va mucho más allá de lo que exige en la actualidad el art. 5 de nuestra todavía vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (SP/LEG/3266).
Así, entre otras muchas informaciones que deben facilitarse al interesado, se encuentran: la identidad y los datos de contacto del responsable, los datos de contacto del delegado de protección de datos (si lo hubiera), cada uno de los fines para los que se trataran los datos y sus respectivas bases jurídicas, los derechos –acceso, rectificación, supresión, limitación, oposición y portabilidad-, la posibilidad de presentar una reclamación ante la AEPD, si el interesado está obligado a facilitar los datos personales y las posibles consecuencias de no suministrarlos…
En definitiva, mucha más información y transparencia, que todos, como usuarios, agradeceremos y que las compañías no deben ver como un hándicap sino como una oportunidad de mejorar la calidad de la relación con sus clientes y usuarios. Cuando esta mentalidad cuaje, todos saldremos ganando.
Ahora bien, está claro que resultaría claramente inviable, y seguramente contraproducente (demasiado texto, poca concisión y claridad, menos sencillez e inteligibilidad), incorporar toda esta información en una recogida de datos, ya sea en formato papel, electrónico o incluso en la tramitada por vía telefónica.
Es por ello, que el Grupo de Trabajo del Artículo 29 (GT 29) (órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros) permite e incluso recomienda la presentación de la información “por capas”. A este respecto, animo a la lectura de las Directrices sobre el consentimiento bajo el Reglamento 2016/679, cuya última versión ha sido publicada en abril de 2018 (véase SP/DOCT/74703).
Como ya adelantábamos, este sistema tiene por objeto equilibrar y conjugar el cumplimiento del deber de proporcionar toda la exhaustiva información a la que se refiere el art. 13 GDPR, con la necesidad de, en palabras del GT29, “evitar el cansancio informativo”, todo ello con la finalidad última de resolver la tensión entre integridad y comprensión, permitiendo a los usuarios navegar directamente a la sección de la declaración que realmente desean leer.
En la primera capa, es decir, la que aparece directamente visible en primer plano, sin necesidad de remitirnos a ningún otro enlace o documento, el GT29 recomienda que se incluya la siguiente información:
– Identidad del responsable del tratamiento
– El tratamiento/finalidad que tenga mayor impacto sobre el interesado.
– El tratamiento que pueda sorprenderlo.
– Descripción de los derechos del interesado.
Sí, la Agencia Española de Protección de Datos, en colaboración con las Agencias catalana y vasca, ha elaborado la “Guía para el cumplimiento del deber de informar” (SP/DOCT/22382). En dicha Guía se reitera que esta modalidad de suministro de información en la recogida de datos cumple con las exigencias de información de la nueva normativa a la vez que permite la concisión y comprensión en su forma de presentación.
En esta Guía, se nos ofrecen la forma de configurar las capas (tanto la primera y básica como la segunda, adicional y detallada) los epígrafes que deben incluirse en cada una de ellas (“Responsable”, “Finalidad” “Legitimación/base jurídica del tratamiento”, “Destinatarios”, “Derechos” y “Procedencia”) y la información que debe incorporarse a cada uno de ellos dependiendo de la capa en la que nos encontremos.
En dicha Guía nos ofrecen, además, el siguiente ejemplo de “Capa Básica”:
Estoy seguro de que en breve nos acostumbraremos a este tipo de información, y que nos parecerá normal facilitarla, y lo haremos de buen grado, cuando nos toque actuar como responsables del tratamiento; y que recibiremos con satisfacción e incluso entusiasmo cuando, como consumidores y usuarios, proporcionemos nuestros datos personales. En este sentido quiero aprovechar la ocasión que me brinda este post de la Editorial Jurídica Sepín, y créanme cuando les digo que lo hago con total autonomía, espontaneidad y, sobre todo libertad, para agradecer a sus dirigentes su total implicación e involucración, que me han demostrado durante los más de tres lustros que llevo unido a ella, por su concienciación con esta relevante cuestión, velando siempre por la confidencialidad, privacidad y respecto de los datos de sus usuarios, clientes y, como es mi caso, también empleados.