El siguiente paso para los investigadores es identificar si los datos personales van a ser recogidos directamente de los interesados, o indirectamente (por ejemplo, otros investigadores, bases de datos comerciales, etc.). Aunque esto no obliga necesariamente a los investigadores a adoptar una base jurídica concreta (véase la sección “Identificar la base jurídica más adecuada”), podría influir en dicha decisión. Por ejemplo, si los investigadores deciden recabar datos directamente de los interesados, podrían ser más favorables a utilizar el consentimiento como base jurídica, ya que de todos modos se va a establecer una relación directa con los interesados. Además, según los artículos 13 y 14 del RGPD, la elección de un enfoque directo o indirecto para la recogida de datos cambia la información que los responsables del tratamiento deben proporcionar a los interesados.
Información que debe proporcionarse a los interesados según el enfoque de la recogida | ||
Directamente | Indirectamente | |
La identidad y los datos de contacto del responsable del tratamiento | ✓ | ✓ |
En su caso, la identidad y los datos de contacto del representante del responsable del tratamiento | ✓ | ✓ |
Los datos de contacto del delegado de protección de datos | ✓ | ✓ |
Los fines del tratamiento | ✓ | ✓ |
Las categorías de datos personales en cuestión | ✓ | |
La base legal para el tratamiento | ✓ | ✓ |
En su caso, los intereses legítimos perseguidos por el responsable del tratamiento o por terceros | ✓ | ✓ |
Destinatarios o categorías de destinatarios de los datos personales | ✓ | ✓ |
La intención del responsable del tratamiento de transferir datos personales a un tercer país u organización internacional | ✓ | ✓ |
En caso de transferencia, la existencia o ausencia de una decisión de adecuación por parte de la Comisión o, en su caso, la referencia a las garantías y los medios para obtener una copia de los datos | ✓ | ✓ |
El período durante el cual se almacenarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período | ✓ | ✓ |
La existencia del derecho a solicitar el acceso y la rectificación o supresión de los datos o la limitación del tratamiento de los mismos, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos | ✓ | ✓ |
En el caso del “consentimiento explícito” como base jurídica del tratamiento, la existencia del derecho a retirar el consentimiento en cualquier momento | ✓ | ✓ |
Derecho a presentar una reclamación ante una autoridad de control | ✓ | ✓ |
La fuente de los datos personales y, en su caso, si proceden de fuentes de acceso público | ✓ | |
Si el suministro de datos es un requisito legal o contractual, o un requisito para celebrar un contrato, y si el interesado está obligado a proporcionar los datos y las consecuencias de no hacerlo | ✓ | |
La existencia de la toma de decisiones automatizada, incluida la elaboración de perfiles | ✓ | ✓ |
En el caso de la toma de decisiones automatizada, información sobre la lógica implicada, el significado del tratamiento y sus consecuencias previstas para el sujeto | ✓ | ✓ |
El RGPD reconoce que puede haber casos en los que este deber de información no sea aplicable y enumera las excepciones en el artículo 14.5 del RGPD. Estasexcepciones son:
- El interesado ya dispone de la información;
- El suministro de dicha información:
- resultaimposible;
- implicaría un esfuerzodesproporcionado,
- pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento.
A este respecto, es importante aclarar que esta excepción se aplica en particular al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en cumplimiento de las condiciones y garantías consagradas en el artículo 89.1 del RGPD.
Además, en estos casos, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos, incluida la puesta a disposición del público de la información;
- El responsable del tratamiento está obligado por la legislación de la UE o de los Estados miembros a obtener o revelar los datos personales; o
- Cuando los datos personales deban ser confidenciales en virtud de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación legal de secreto.
Independientemente de la forma en que se recojan los datos, el responsable del tratamiento adoptará las medidas adecuadas para garantizar que los datos sean exactos y estén actualizados (por ejemplo, mediante una auditoría periódica de exactitud). Recoger los datos directamente de los interesados puede ayudar a reducir el riesgo de inexactitud (especialmente en lo que respecta a los datos biométricos de comportamiento, que pueden cambiar con el tiempo). Asimismo, el responsable del tratamiento deberá garantizar la transparencia en todas las fases del proceso (véase “Legalidad, equidad y transparencia” en la sección “Principios” de la Parte II de estas Directrices). Para una explicación más detallada sobre el derecho a la información y sus matices, véase “Derechos del interesado” en la Parte II de estas Directrices.