Identificar el enfoque de recogida de datos
Home » Biometría » Exposición y pautas paso a paso » Fase de preparación » Identificar el enfoque de recogida de datos

El siguiente paso para los investigadores es identificar si los datos personales van a ser recogidos directamente de los interesados, o indirectamente (por ejemplo, otros investigadores, bases de datos comerciales, etc.). Aunque esto no obliga necesariamente a los investigadores a adoptar una base jurídica concreta (véase la sección “Identificar la base jurídica más adecuada”), podría influir en dicha decisión. Por ejemplo, si los investigadores deciden recabar datos directamente de los interesados, podrían ser más favorables a utilizar el consentimiento como base jurídica, ya que de todos modos se va a establecer una relación directa con los interesados. Además, según los artículos 13 y 14 del RGPD, la elección de un enfoque directo o indirecto para la recogida de datos cambia la información que los responsables del tratamiento deben proporcionar a los interesados.

Información que debe proporcionarse a los interesados según el enfoque de la recogida
Directamente Indirectamente
La identidad y los datos de contacto del responsable del tratamiento
En su caso, la identidad y los datos de contacto del representante del responsable del tratamiento
Los datos de contacto del delegado de protección de datos
Los fines del tratamiento
Las categorías de datos personales en cuestión
La base legal para el tratamiento
En su caso, los intereses legítimos perseguidos por el responsable del tratamiento o por terceros
Destinatarios o categorías de destinatarios de los datos personales
La intención del responsable del tratamiento de transferir datos personales a un tercer país u organización internacional
En caso de transferencia, la existencia o ausencia de una decisión de adecuación por parte de la Comisión o, en su caso, la referencia a las garantías y los medios para obtener una copia de los datos
El período durante el cual se almacenarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período
La existencia del derecho a solicitar el acceso y la rectificación o supresión de los datos o la limitación del tratamiento de los mismos, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos
En el caso del “consentimiento explícito” como base jurídica del tratamiento, la existencia del derecho a retirar el consentimiento en cualquier momento
Derecho a presentar una reclamación ante una autoridad de control
La fuente de los datos personales y, en su caso, si proceden de fuentes de acceso público
Si el suministro de datos es un requisito legal o contractual, o un requisito para celebrar un contrato, y si el interesado está obligado a proporcionar los datos y las consecuencias de no hacerlo
La existencia de la toma de decisiones automatizada, incluida la elaboración de perfiles
En el caso de la toma de decisiones automatizada, información sobre la lógica implicada, el significado del tratamiento y sus consecuencias previstas para el sujeto

El RGPD reconoce que puede haber casos en los que este deber de información no sea aplicable y enumera las excepciones en el artículo 14.5 del RGPD. Estasexcepciones son:

  • El interesado ya dispone de la información;
  • El suministro de dicha información:
    • resultaimposible;
    • implicaría un esfuerzodesproporcionado,
    • pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento.

A este respecto, es importante aclarar que esta excepción se aplica en particular al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en cumplimiento de las condiciones y garantías consagradas en el artículo 89.1 del RGPD.

Además, en estos casos, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos, incluida la puesta a disposición del público de la información;

  • El responsable del tratamiento está obligado por la legislación de la UE o de los Estados miembros a obtener o revelar los datos personales; o
  • Cuando los datos personales deban ser confidenciales en virtud de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación legal de secreto.

Independientemente de la forma en que se recojan los datos, el responsable del tratamiento adoptará las medidas adecuadas para garantizar que los datos sean exactos y estén actualizados (por ejemplo, mediante una auditoría periódica de exactitud). Recoger los datos directamente de los interesados puede ayudar a reducir el riesgo de inexactitud (especialmente en lo que respecta a los datos biométricos de comportamiento, que pueden cambiar con el tiempo). Asimismo, el responsable del tratamiento deberá garantizar la transparencia en todas las fases del proceso (véase “Legalidad, equidad y transparencia” en la sección “Principios” de la Parte II de estas Directrices). Para una explicación más detallada sobre el derecho a la información y sus matices, véase “Derechos del interesado” en la Parte II de estas Directrices.

 

Ir al contenido