Derecho a la información
Home » RGPD » Derechos del interesado » Derecho a la información

En virtud del artículo 12 del RGPD, los responsables del tratamiento están obligados a informar a los interesados sobre el tratamiento previsto. El derecho a la información está, por tanto, interrelacionado con el principio de transparencia descrito en la sección 3.1.1.4 y el considerando 39 del RGPD.

El derecho a la información no requiere ninguna acción por parte del interesado, sino que el responsable del tratamiento debe cumplirlo de forma proactiva. ¿Cómo debe ser esta información? A este respecto, como ya se ha mencionado, toda información debe ser concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en particular para cualquier información dirigida específicamente a un niño. La información se facilitará por escrito, o por otros medios, incluidos los electrónicos cuando proceda, e incluso podrá facilitarse oralmente a petición del interesado y si se demuestra su identidad sin lugar a dudas. La información se facilitará sin retrasos ni gastos excesivos (artículo 12 del RGPD).

La información debe facilitarse de forma eficaz y breve, de modo que el interesado no se vea abrumado por ella y pueda prever el alcance y las consecuencias del tratamiento.[1] Para alcanzar estos objetivos, hay que tener en cuenta ciertos aspectos. En primer lugar, la información debe estar primero hecha a la medida del “miembro medio de la audiencia prevista”[2], que en el caso de una investigación sería el participante medio. En caso de duda sobre cómo es el individuo medio, las autoridades de protección de datos u otras partes interesadas (por ejemplo, grupos de defensa) podrían aportar sus comentarios. Otra posibilidad es validar los borradores de los textos informativos ante los sujetos de prueba antes de poner en marcha un proyecto de investigación y de realizar las actividades de recogida de datos[3].

En segundo lugar, dado que no se requiere ningún esfuerzo activo por parte del interesado, la información debe estar inmediatamente disponible para él. De este modo, el responsable del tratamiento puede proporcionarla como mejor se adapte al contexto: directamente, a través de un enlace o una señalización o como respuesta a una pregunta en lenguaje natural.

En tercer lugar, el lenguaje utilizado por el controlador debe ser lo más sencillo posible. Para ello, la publicación de la Comisión de la UE Claire’s Clear Writing Tips y How to Write Clearly[4]podrían proporcionar herramientas para simplificar el mensaje que se quiere transmitir. Entre las cosas que hay que evitar al redactar cualquier aviso de información están:

  • oraciones complejas,
  • las formas pasivas,
  • cualquier jerga técnica,
  • verbos modales, y
  • nociones abstractas que podrían dar lugar a interpretaciones divergentes.

Los niños y otros grupos vulnerables requieren una consideración adicional. También en este caso se ha escrito mucho para abordar esta espinosa cuestión[5]. El artículo 12 establece que la información debida al interesado debe estar especialmente adaptada a los niños -como ejemplo de grupo vulnerable- si las actividades de tratamiento de datos se dirigen a ellos. El idioma es fundamental cuando se trata de personas vulnerables, como señala la autoridad de control española[6], ya que la vulnerabilidad podría verse agravada si el individuo carece de los conocimientos necesarios para comprender la información.

En cuarto lugar, para que sea más accesible, toda la información escrita debe proporcionarse en un único lugar o en un documento completo (ya sea en formato digital o en papel). Además del formato en papel, el responsable del tratamiento puede hacer uso de otros medios electrónicos y no electrónicos que se abordarán más adelante, como una declaración de protección de datos por capas, avisos emergentes, infografías, diagramas de flujo, vídeos, alertas de voz, animaciones, etc. Por el contrario, la información también puede facilitarse de forma oral, ya sea de persona a persona o a través de medios automatizados, a condición de que se demuestre la identidad del interesado por otros medios.

Los artículos 13 y 14 del RGPD especifican la información que debe facilitarse, dependiendo de si los datos personales se han recogido directamente del interesado o no.

Cuando los datos personales se recojan directamente del interesado (artículo 13 del RGPD), el responsable del tratamiento deberá proporcionar en el momento de su recogida la siguiente información:

  • La identidad y los datos de contacto del responsable del tratamiento (es decir, la institución de investigación) y los contactos de su responsable de la protección de datos;
  • Los fines y la base jurídica del tratamiento, incluido el interés legítimo, si procede;
  • La identidad de los destinatarios (o categorías de destinatarios) de los datos personales, en su caso;
  • Si los datos se van a transferir fuera de la UE, así como los detalles sobre la base jurídica y las garantías del tratamiento en el extranjero;
  • El periodo de conservación de los datos. Si no es posible establecer dicho período, deben establecerse los criterios utilizados para determinarlo;
  • Todos los derechos del interesado, incluido el derecho a presentar una reclamación ante una autoridad de control. Además, si el tratamiento se basa en el consentimiento del interesado, debe incluirse el derecho a retirar el consentimiento;
  • Si el suministro de datos personales está previsto por la ley o por un contrato y si el interesado debe proporcionar los datos personales, junto con las posibles consecuencias derivadas de no proporcionarlos;
  • La existencia de una toma de decisiones automatizada, es decir, las decisiones tomadas con datos personales tratados únicamente por medios automáticos sin intervención humana.

Además, en su documento de respuesta a la solicitud de la Comisión Europea de aclaraciones sobre la aplicación coherente del RGPD centrada en la investigación sanitaria (2021), el Comité Europeo de Protección de Datos recomienda que si un responsable del tratamiento tiene la intención de utilizar los datos obtenidos de los interesados también para otros fines, dicho responsable debe, en el momento de la recogida de los datos, tomar las medidas adecuadas para poder cumplir las obligaciones de información relativas a dicho tratamiento posterior.[7]

El artículo 13 del RGPD exime al responsable del tratamiento de su obligación cuando el interesado ya dispone de esta información. Aunque el responsable del tratamiento debe probar estas circunstancias (relativas, por ejemplo, a cómo y cuándo se proporcionó dicha información, así como en qué medida no han cambiado entretanto), sigue existiendo la obligación de completar potencialmente el conocimiento del interesado.

Cuando los datos personales no se recojan directamente del interesado (artículo 14 del RGPD), el responsable del tratamiento también debe informar a la persona sobre la fuente de los datos personales y las categorías específicas de datos que tiene previsto tratar. Toda la información debe facilitarse en un plazo razonable tras la obtención de los datos personales, pero a más tardar en el plazo de un mes, teniendo en cuenta las circunstancias específicas en las que se tratan los datos personales.

En última instancia, el artículo 14.5(b) del RGPD establece tres exenciones para las instituciones de investigación de la obligación del responsable del tratamiento de informar a los interesados sobre el tratamiento de datos personales que no fueron recogidos de ellos:

  • dicha disposición resulte imposible
  • o implicaría un esfuerzo desproporcionado
  • […] o en la medida en que la obligación […] pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento.

Esto significa, en primer lugar, que los responsables del tratamiento deben demostrar qué es lo que les ha impedido facilitar la información, considerando también que, siempre que cualquier obstáculo sea temporal, el suministro de la información debe realizarse lo antes posible[8]. Por ejemplo, los investigadores obtienen datos de una red social a través de una interfaz de programación de aplicaciones y, antes de que puedan cumplir el artículo 14 del RGPD, la red social sufre una denegación de servicio que hace imposible cualquier comunicación con los interesados.

En cuanto al esfuerzo desproporcionado, el considerando 62 del RGPD se refiere a la cantidad de interesados, la edad de los datos y la existencia de medidas de salvaguardia. También en este caso, el esfuerzo desproporcionado debe evaluarse y probarse, sopesando los costes y los beneficios en juego. En cualquier caso, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos, incluida la puesta a disposición del público de la información. La disponibilidad pública puede derivarse, por ejemplo, de la carga de la información en un sitio web y/o su publicación en un periódico. Otras medidas apropiadas son la realización de una evaluación de impacto, la seudonimización y anonimización de los datos personales (véase la sección “Identificación, seudonimización y anonimización” de la Parte II, “Conceptos principales”, de las presentes directrices), la adopción de medidas organizativas y técnicas capaces de mejorar el nivel de seguridad, etc.

En última instancia, el grave menoscabo de los objetivos de dicho tratamiento exige que se demuestre que el suministro de la información consagrada en el artículo 14.1 del RGPD anularía dichos objetivos. Porejemplo, una investigación llevada a cabo sobre cómo se ve afectada la interacción humana en las redes sociales durante un escenario de cierre resultante de una pandemia mundial puede exigir que los investigadores realicen su análisis de la forma más secreta posible para no perturbar esas interacciones. En tales casos, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos, incluida la puesta a disposición del público de la información de conformidad con el artículo 14.5 (b) del RGPD.

Independientemente del origen de los datos personales, los responsables del tratamiento deben informar al interesado de su intención de seguir tratando los datos personales para un fin distinto de aquel para el que fueron recogidos, antes de ese tratamiento posterior. En definitiva, el principio de limitación de la finalidad (véase “Principio de limitación de la finalidad” en la sección “Principios” de la Parte II de estas Directrices) establece que los datos personales deben tratarse con fines determinados, explícitos y legítimos, de modo que debe prohibirse cualquier tratamiento posterior que sea incompatible con ellos. Sin embargo, según el artículo 5.1 (b) del RGPD, cualquier tratamiento posterior con fines de archivo en interés público, de investigación científica o histórica o con fines estadísticos no se considerará incompatible con la finalidad original. En cualquier caso, la obligación del responsable del tratamiento de informar al interesado sobre el tratamiento adicional implica la prueba de compatibilidad (véase la sección “Protección de datos e investigación científica” de la Parte II, “Conceptos principales”, de las presentes Directrices) realizada en virtud del artículo 6.4 del RGPD, con el fin de explicar por qué el tratamiento con fines adicionales es coherente con los originales. Tal y como subraya el Grupo de Trabajo del Artículo 29 (2013), la realización de la prueba de compatibilidad es de suma importancia para garantizar la transparencia y la limitación de los fines. [9] Sin embargo, al basarse en la presunción de compatibilidad consagrada en el artículo 5, apartado 1, letra b), del RGPD para el tratamiento posterior de datos personales con fines de investigación científica, debe tenerse en cuenta que esta presunción solo puede utilizarse a condición de que el tratamiento posterior respete las garantías adecuadas, tal como exige el artículo 89, apartado 1, del RGPD. [10]

Basándose en estas disposiciones, las instituciones de investigación pueden adoptar todas las medidas que consideren oportunas para cumplir con esta obligación. De hecho, el RGPD no prescribe ninguna forma de facilitar la información. Por lo general, el derecho a la información se cumple mediante la adopción de una política de protección de datos, una declaración de privacidad o un aviso de tratamiento justo; su eficacia, sin embargo, ha dado lugar a un debate polarizado entre los académicos y los responsables[11] políticos. En consecuencia, se han desarrollado nuevos métodos que podrían utilizarse para proporcionar información a los interesados de forma clara y accesible, como, por ejemplo:

  • Un enfoque estratificado: en lugar de mostrar toda la información requerida en un solo aviso y correr así el riesgo de abrumar al interesado, un primer aviso de privacidad puede enlazar con las demás categorías de información, de modo que el nivel de detalles aumente progresivamente. En este contexto, la primera capa debería incluir la identidad del responsable del tratamiento, la finalidad del tratamiento y los derechos[12] del interesado, junto con las posibles consecuencias derivadas del tratamiento[13]. Es importante subrayar que el enfoque por niveles puede adoptarse tanto en los escenarios en línea como fuera de línea. Por lo que respecta a este último, la primera capa podría proporcionarse oralmente, mientras que posteriormente se enviaría una copia de la política de protección de datos y/o se compartiría un enlace a la declaración[14] de privacidad en línea por capas.
  • Un tablero de privacidad: esta interfaz de usuario permite al interesado gestionar manualmente sus preferencias para el tratamiento de los datos personales;
  • Iconos, ventanas emergentes, códigos QR y alertas de voz, que indican la existencia de un determinado tipo de tratamiento de datos personales;
  • Fichas informativas, infografías, diagramas de flujo, información incluida en los contratos.

Además de las Directrices sobre transparencia en virtud del Reglamento nº 2016/679 adoptadas por el Grupo de Trabajo del Artículo 29, varios proyectos de investigación están explorando actualmente cómo hacer que la información sea más accesible para los interesados, como el Proyecto[15]RGPDby Legal Design y el PROTECT ITN[16].

Por último, pero no menos importante, en su Dictamen Preliminar de 2020, el Supervisor Europeo de Protección de Datos examina la intersección entre el engaño, el consentimiento informado y el derecho a la información. En términos generales, el engaño puede incluir la ocultación de información en las instrucciones a los participantes en la investigación, la provisión de información limitada sobre el propósito de la investigación o incluso el engaño a los participantes mediante la provisión de una “historia encubierta” para el estudio para enmascarar el tema real del mismo. En algunos experimentos de psicología conocidos como investigación encubierta, se engaña a los sujetos sobre lo que se está probando, y esto se cita como un factor clave de éxito porque el conocimiento de la naturaleza exacta de la investigación alteraría el comportamiento de las personas. […] La información a los participantes en la investigación y el consentimiento informado retrospectivo, junto con la aprobación ética específica antes del inicio de la investigación, son algunas de las medidas para garantizar el cumplimiento de la ética. No obstante, estas prácticas parecen chocar con el derecho a la información, siempre que los datos se recojan directamente del interesado, de conformidad con el artículo 13 del RGPD[17].

Lista de control para el cumplimiento del derecho a la información

Lo que hay que proporcionar:

☐ Si los datos personales fueron proporcionados directamente por el interesado, proporcione toda la información enumerada en el artículo 13.1 del RGPD;

☐ Si los datos personales no han sido facilitados por el interesado, proporcione toda la información enumerada en el artículo 14.1 – 2 del RGPD;

☐ Si la información ya se ha facilitado en su totalidad al interesado, ya no es necesario cumplir con esta obligación.

Cuándo proporcionar:

☐ En el momento en que se recogió la información del sujeto de los datos;

☐ Cuando los datos no se recogen del interesado:

☐ en un plazo razonable tras la obtención de los datos personales, pero a más tardar en un mes;

☐ si los datos personales se van a utilizar para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado;

☐ si se prevé una divulgación a otra persona, a más tardar en el momento de la primera divulgación de los datos personales.

Cómo proporcionar:

☐ De forma concisa;

☐ Con transparencia;

☐ De forma inteligente;

☐ De fácil acceso;

☐ En un lenguaje claro y sencillo.

Exenciones:

☐ Cuando el interesado ya dispone de toda la información pertinente;

☐ Si los datos personales no fueron facilitados por el interesado:

☐ Cuando el suministro de información es imposible o desproporcionado.

 

  2. Grupo de Trabajo de Protección de Datos del Artículo 29 (ed.), “Directrices sobre la transparencia en virtud del Reglamento nº 2016/679”, 2018, WP260 rev.01, p. 7
  3. Ibid.
  4. Como sugiere el título, ambos documentos ofrecen al lector algunos consejos para escribir con mayor claridad. Están disponibles en: https://ec.europa.eu/info/sites/info/files/clear_writing_tips_en.pdf; https://op.europa.eu/en/publication-detail/-/publication/725b7eb0-d92e-11e5-8fea-01aa75ed71a1/language-en [último acceso: 30.10.2020]
  5. Véase, por ejemplo, I. Milkaite y E. Lievens, “Child-Friendly Transparency of Data Processing in the EU: From Legal Requirements to Platform Policies”, Journal of Children and Media, 2020, Vol. 14, nº 1, pp. 5-21.
  6. Agencia Española de Protección de Datos Personales, El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles, p. 2. En: https://www.aepd.es/sites/default/files/2019-11/nota-tecnica-apps-moviles.pdf (consultado el 6 de noviembre de 2020)
  7. Comité Europeo de Protección de Datos, Documento de respuesta a la solicitud de la Comisión Europea de aclaraciones sobre la aplicación coherente del RGPD centrada en la investigación sanitaria, adoptado el 2 de febrero de 2021, p. 9, disponible en https://edpb.europa.eu/sites/default/files/files/file1/edpb_replyec_questionnaireresearch_final.pdf [último acceso: 28.06.2021]
  8. Grupo de Trabajo de Protección de Datos del Artículo 29, “Directrices sobre la transparencia en virtud del Reglamento nº 2016/679”, op. cit., p. 29
  9. Para más detalles sobre la prueba de compatibilidad, véase el Grupo de Trabajo de Protección de Datos del artículo 29 (ed.), “Dictamen 03/2013 sobre la limitación de la finalidad”, 2013, p. 13 WP 203 00569/13/ES
  10. Comité Europeo de Protección de Datos, op. cit., p. 6
  11. M. Arcand, J. Nantel, M. Arles-Dufour & A. Vincent, ‘The Impact of Reading a Web Site’s Privacy Statement on Perceived Control over Privacy and Perceived Trust, Online Information Review, 2007, Vol. 31, No. 5, pp. 661-681; J. A. Obar & A. Oeldorf-Hirsch, ‘The Clickwrap: A Political Economic Mechanism for Manufacturing Consent on Social Media’, Social Media + Society, 2018, Vol. 4, n.º 3, pp. 1-14; Y. Pan & G. M. Zinkhan, ‘Exploring the Impact of Online Privacy Disclosures on Consumer Trust, Journal of Retailing, 2006, Vol.82 , n.º 4, pp. 331-338; B. Custers, S. van der Hof & B. Schermer, ‘Privacy Expectations of Social Media Users: The Role of Informed Consent in Privacy Policies’: Privacy Expectations of Social Media Users’, Policy & Internet, 2014, Vol. 6, nº 3, pp. 268-295
  12. Considerando 39, RGPD
  13. Grupo de Trabajo de Protección de Datos del Artículo 29 (ed.), “Directrices sobre la transparencia en virtud del Reglamento nº 2016/679”, op. cit. , p. 19
  14. Ibid .,p. 20
  15. Para más información: http://gdprbydesign.cirsfid.unibo.it/
  16. Para más información: https://protect-network.eu/research/
  17. Supervisor Europeo de Protección de Datos, “A Preliminary Opinion on Data Protection and Scientific Research”, 2020 disponible en: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf [último acceso: 30.10.2020].
Ir al contenido