LAS OBLIGACIONES DEL RESPONSABLE DEL FICHERO- RGPD 2016/679

Como la gran mayoría de las empresas sabe, el día 25 de mayo entra en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (en adelante RGPD)

Dicho Reglamento prevé entre otras novedades, las principales obligaciones del responsable del fichero. El deber fundamental del responsable es sin duda el de INFORMACIÓN.

El contenido esencial del derecho fundamental a la protección de datos es la información al interesado sobre que se está realizando el tratamiento de estos. De modo que, en palabras de HERNANDEZ CORCHETE, “el poder de disposición que un individuo tiene sobre sus datos personales se manifiesta de modo principal en su capacidad para consentir o rechazar un tratamiento de los mismos, decisión que sólo es posible si se le informa previamente de los caracteres definitorios de aquel”. Por tanto, es un requisito sine qua non de un consentimiento válido.

Además, en virtud de PRINCIPIO DE TRANSPARENCIA dicha información tendrá que ser proporcionada en forma clara concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

El consentimiento podemos obtenerlo de manera directa o indirecta. Vamos a distinguir las obligaciones del responsable para ambos casos:

1) En caso en el cual se obtenga el consentimiento directamente del interesado:

– En el momento de la recogida tiene que tomar las medidas oportunas para facilitar al interesado toda la información relacionada con:

a) La identidad y los datos de contacto de responsable y, en su caso, de su representante

b) Los datos de contacto del delegado de protección de datos en su caso (la figura del DPD introducida por el Reglamento)

c) Los fines de tratamiento a que se destinan los datos personales y la base jurídica de tratamiento

d)Los intereses legítimos del responsable o de un tercero

e) Posibles transferencias a terceros países u organizaciones internacionales y si dichos destinos son adecuados a juicio de la Comisión o indicar garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

f) El plazo durante el que se conservan los datos o criterios para determinar el mismo

g) El derecho de acceso, rectificación o supresión o la limitación de su tratamiento o a oponerse al mismo, así como el derecho a la portabilidad de datos

h) La posibilidad de retirada de consentimiento

i) Derecho a presentar una reclamación ante una autoridad de control

j) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias en el caso de que no los facilite

k) De la existencia de decisiones automatizadas, incluida la elaboración de perfiles

l) Si existen otros fines distintos del fin para el cual se recogen los datos y proporcionar la información sobre los mismos

2) Para el caso en el que los datos no se han obtenido del interesado se proporcionará la misma información que se menciona anteriormente como máximo dentro de 1 mes desde la obtención de dichos datos y además, tendrá que indicar la fuente de la que proceden (incluidas las fuentes de acceso público), a excepción de que el interesado ya disponga de dicha información, o su comunicación resulte imposible, la obtención o la comunicación esté expresamente prevista por la Ley o cuando los datos tienen carácter confidencial (obligación de secreto profesional).

Existen por tanto dos momentos en los que el responsable de tratamiento está obligado a informar. Uno ex ante y otro post a la recogida de datos (en plazo de 1 mes).

 

Tenemos que destacar necesariamente el considerando 32 del Reglamento que viene a decir: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Aquí el Reglamento hace una recomendación de un acto afirmativo claro, por ejemplo: – marcar una casilla de un sitio web en internet – escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o – cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.

Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento (se excluye la posibilidad que se admitía mediante consentimiento inequívoco y que se entendía como aquel que puede deducirse por una actuación u omisión que presupone la existencia de tal consentimiento).

El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Un matiz aparte para los medios electrónicos que constituye un plus en cuanto a la claridad y concisión de la información.

Mención aparte merece el  consentimiento de los niños (art. 8) en relación con los servicios de la sociedad de la información, donde se establece la edad recomendable de 16 años para la validez del tratamiento de los datos (si son menores necesitan de consentimiento de los padres o de un tutor). Recomendación y no obligación, puesto que el Reglamento deja la vía libre para que los Estados miembros puedan fijar los límites por debajo de dicha edad, siempre que ésta no sea inferior a 13 años (el nuevo proyecto de la LOPD prevé establecer el límite en 13 años y a fecha de hoy se ha ampliado el periodo de enmiendas hasta el 27 de febrero 2018).

Se impone además una obligación al responsable de tratamiento,que, dentro de lo razonable, verifique la veracidad del consentimiento prestado por el padre o tutor. En cierto sentido, si se trata de servicios de sociedad de información, esta obligación supone para el responsable de tratamiento, intentar asegurarse con quién está celebrando un contrato. Debido a que son contratos celebrados a distancia, siempre existe la incertidumbre en cuanto a la identidad de la otra parte.