El derecho de información en la Propuesta de Reglamento General de Protección de Datos


 

Queremos aprovechar este Día Europeo de Protección de Datos para resaltar una de las novedades del futuro Reglamento General de Protección de datos que más nos puede ayudar a los que día a día ayudamos a otros a cumplir esta farragosa normativa. Como el título de este artículo indica, la Propuesta de Reglamento General de Protección de Datos recoge la información debida al titular de los datos como el derecho al suministro de información clara y fácilmente comprensible sobre el tratamiento de datos del interesado. En este sentido, el legislador comunitario está trabajando en una línea que, a nuestro entender, supone un impulso importante para este derecho. Así partiendo del principio de transparencia, que tiene un protagonismo destacado en la nueva regulación que se está gestando, y que en nuestra opinión está íntimamente ligada con la información como un instrumento que sirve para el cumplimiento de otras obligaciones, consideramos que la evolución de los textos ha llevado a un importante avance en materia de información dado que se han ido introduciendo novedades como la opción de informar dividida en dos momentos y a través de dos fórmulas informativas que suponen una mejora considerable en aras a conseguir la transparencia buscada.

La propia Propuesta de Reglamento resume las novedades introducidas señalando como el artículo 14 profundiza en las obligaciones de información del responsable del tratamiento en relación con el interesado, sobre la base de los artículos 10 y 11 de la Directiva 95/46/CE, y dispone el suministro de información adicional al interesado, incluso sobre el periodo de conservación de los datos, el derecho a presentar una reclamación, en relación con las transferencias internacionales y con la fuente de la que proceden los datos. Asimismo mantiene las posibles excepciones de la Directiva 95/46/CE, es decir, no habrá tal obligación si el registro o la comunicación están expresamente previstos por ley.

El carácter instrumental de la información, que hemos predicado, se materializa, entre otros, en las políticas de información que deben tener todos los portales de internet y que deben ser fáciles de entender y utilizar un lenguaje claro y sencillo. El traslado del deber de información al entorno electrónico no está exento de riesgos, pero el legislador comunitario es consciente y avanza en la línea de reducir los mismos. Así, el artículo 11 exige que el responsable del tratamiento aplique políticas concisas, transparentes, sencillas y fácilmente accesibles por lo que respecta al tratamiento de datos personales y al ejercicio de los derechos de los interesados y facilite al interesado cualquier información y comunicación relativa al tratamiento de datos personales, en forma inteligible, utilizando un lenguaje sencillo y claro, en particular para cualquier información dirigida específicamente a los niños. Como vemos, este precepto insiste en la necesidad de la información transparente y sencilla y concibe las políticas informativas como un cauce para hacerla realidad. Y avanzando un paso más, la Propuesta de Reglamento introduce un artículo 13 bis que bajo la rúbrica de «Políticas de información normalizadas» establece una forma de informar basada en imágenes que, en nuestra opinión, va a suponer un verdadero avance en el objetivo de conseguir un tratamiento de datos transparente, claro y sencillo para el usuario. Así, el apartado primero de este artículo dispone que cuando se recojan datos personales relativos a un interesado, el responsable del tratamiento le informará con carácter previo a facilitarle la información que prevé el artículo 14 y en forma de iconos informativos de si los datos personales se recabarán, conservarán, tratarán o revelarán a terceras partes ‘más allá del mínimo necesario’ para cada finalidad concreta del tratamiento; o si los datos se venderán o alquilarán o se conservarán en formato encriptado. Si consideramos cada uno de estos ‘pormenores’ enumerados en el apartado 1 del artículo 13 bis, llegamos a las siguientes conclusiones:

  • En primer lugar, entendemos que el legislador considera que el responsable del tratamiento debe procurar recoger los datos personales estrictamente necesarios, habla de mínimos, para poder realizar el tratamiento. Además, únicamente los podrá conservar durante el tiempo determinado por la finalidad del tratamiento; en caso contrario, deberá advertir al usuario o consumidor de que recabará más datos y que los conservarán durante más tiempo.
  • En segundo lugar, atendiendo a que el interesado o titular de los datos tiene un poder de disposición sobre su información personal, sobre sus datos personales, se establece la exigencia de informar cuando los datos van a ser tratados para fines distintos, es decir, para otros fines además de para los que fueron recogidos. Y cuando vayan a ser comunicados a terceros con fines comerciales, o vayan a ser vendidos o alquilados por terceros.
  • En último lugar, se hace referencia a que los datos vayan a ser encriptados, en cuyo caso deberá informarse también al interesado.

Como hemos indicado, esta información previa se debe proporcionar a través de unos iconos normalizados. En nuestra opinión, esta forma de informar avanza un paso más hacia la efectividad de la información estableciendo un sistema normalizado y exigible para todos los responsables del tratamiento basado en iconos y símbolos de cumplimiento o incumplimiento de cada uno de los pormenores informativos. Todo esto sin perjuicio de que, a nuestro parecer, los iconos propuestos por el momento, no sean de lo más acertados ya que no son demasiado intuitivos ni llegan a responder a la realidad que persiguen comunicar, pero de esto ya hablaremos en otro momento.

Siguiendo con los detalles de la forma de facilitar esta información, los apartados 3 y 4 establecen que se presentará de forma que su visualización resulte fácil y sea claramente legible, en un lenguaje de fácil comprensión para los consumidores y que en el caso de presentarse en formato electrónico deberán ser legibles por una máquina. Además, se configura como una lista numerus clausus de forma que cualquier otro extremo relacionado con la información deberá constar en la cláusula informativa correspondiente que se configure conforme al artículo 14, pero no en esta representación.

Para concluir este análisis diremos que al igual que lo hace la Directiva, los textos de las iniciativas europeas para reformar este régimen se refieren a la información como un derecho del interesado titular de los datos mientras que nuestra normativa nacional se refiere a la información como a uno de los principios de actuación que deben regir el tratamiento de los datos personales. Esto, sin perjuicio de que, en nuestra opinión, su naturaleza de principio de actuación para el tratamiento legal y leal de los datos, que predica nuestra LOPD, resulta del principio de consentimiento que recogen estos textos, desde el momento en que este es definido como una manifestación de voluntad ‘informada’. De esta forma, creemos que, en materia de protección de datos, podemos hablar de información como derecho, como deber y como principio de actuación.

 

María Arias Pou

Abogado TIC