AD +
EL DEBER DE INFORMAR EN PROTECCIÓN DE DATOS Y LAS RELACIONES LABORALES
Dentro de los principios relativos al tratamiento en materia de protección de datos de carácter personal se encuentra el principio de “transparencia”. El artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”) establece lo siguiente:
“Transparencia e información al afectado
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos.”
La información se debe de facilitar en el momento de la recogida del dato y el formato puede estar constituido en dos capas:
a) Primera capa mediante una información básica en la cual vendrá reflejado la identidad del responsable del tratamiento (en su caso, del representante), la finalidad del tratamiento, la posibilidad del ejercer los derechos legalmente establecidos en esta materia y una dirección de correo, página web u otro medio que permita al interesado acceder a la información adicional.
b) Segunda capa mediante la información adicional que podrá estar dispuesta en una página web, cartel u otro medio del responsable del tratamiento y que permita al interesado acceder a la información que indicada en el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en (adelante, “RGPD”):
“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.”
En resumen, la información adicional tiene que contener:
- Identidad y datos de contacto del responsable
- Datos de contacto del Delegado de Protección de Datos, en su caso.
- Los fines del tratamiento a que se destinan los datos personales.
- Base jurídica del tratamiento (si el tratamiento se basa en el consentimiento expreso, contrato, interés público, etc.).
- Intereses legítimos del responsable.
- Destinatarios de los datos personales.
- La intención del responsable de realizar transferencias internacionales
- Plazo de conservación cuando no sea posible, los criterios utilizados para determinar este plazo.
- La posibilidad de realizar ejercicio de derechos y el procedimiento.
- Derecho a presentar reclamación ante autoridad de control.
Si el responsable del tratamiento realiza tratamientos posteriores, deberá de informar de la misma forma al interesado afectado.
Asimismo, el responsable del tratamiento deberá de informar en el plazo de un mes en el caso que la obtención de los datos no se haya realizado directamente del interesado. Las excepciones en este caso son las siguientes:
- El interesado ya disponga de la información.
- La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado.
- La obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.
- Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.
Especial mención en las ISLAS CANARIAS a la reciente Resolución de 22 de abril de 2021, por la que se dispone la publicación del Acuerdo por el que se aprueba la actualización de las medidas de prevención establecidas mediante Acuerdo de Gobierno de 19 de junio de 2020, para hacer frente a la crisis sanitaria ocasionada por el COVID-19, una vez superada la Fase III del Plan para la transición hacia una nueva normalidad, finalizada la vigencia de las medidas propias del estado de alarma), en la misma se establece el registro obligatorio de clientes en servicios de comida y cena en zonas interiores de restaurantes. Dicho tratamiento deberá de estar informado conforme a lo mencionado en el presente artículo.
Asimismo, en las relaciones laborales el deber de informar se debe de cumplir en cuanto al tratamiento de datos de los trabajadores. Se deberá de analizar la legitimación en cuanto a si se encuentra dentro de la relación estrictamente “laboral” o si se basa en el consentimiento expreso que, en tal caso, se deberá de recoger cumpliendo con los establecido en la LOPDGDD en cuanto a:
“Artículo 6 Tratamiento basado en el consentimiento del afectado
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.”
Un ejemplo concreto y que se presenta habitualmente en las organizaciones empresariales, es el tratamiento de la imagen del trabajador para fines promocionales y publicitarios de la empresa.
Dejando de lado los casos en los cuales el objeto del contrato es la publicidad, la utilización de la imagen del trabajador para finalidades diferentes a las encomendadas en el contrato laboral están legitimadas en el consentimiento expreso tal y como se recoge en el artículo 6 de la LOPDGDD.
El responsable del tratamiento deberá de revisar y, en su caso, adaptar las cláusulas informativas dispuestas en los documentos, página web, medios utilizados (automatizados o no automatizados) para la recogida de datos de carácter personal ya que la falta de dicha información está recogida como infracción muy grave en la LOPDGDD:
“Artículo 72 Infracciones consideradas muy graves
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
…
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica.
…”
El deber de informar es una de las obligaciones en materia de protección de datos de carácter personal que deberá de estar integrado en el proceso de adaptación a dicha normativa.
Daiana Lamela Scafarelli
12 de mayo de 2021
Daiana Lamela Scafarelli
Abogada en Tecnologías de la Información, Protección de Datos y Privacidad
Correo electrónico: dlamela@ecija.com
