Última revisión
datos
220 - Definición y elementos básicos del principio de lealtad y transparencia en el tratamiento de datos personales
Relacionados:
Vademecum: datos
Fecha última revisión: 07/10/2024
El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender. Por su parte, el principio de lealtad obliga a que las personas físicas sean totalmente conscientes de que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.
Artículo 5.1.a) del RGPD
«1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado ("licitud, lealtad y transparencia")».
Según el RGPD, el principio de transparencia demanda que «(...) toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender» (Considerando 58 del RGPD).
Además, el considerando 39 de la citada norma europea expone que el principio de transparencia requiere que:
«(...) Toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida (...)».
Es decir, el citado principio se refiere, en concreto, a aspectos como:
- La información de los interesados sobre la identidad del responsable del tratamiento.
- Los fines del tratamiento.
- La información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas.
- El derecho a obtener la confirmación y comunicación de los datos personales que les conciernan y que sean objeto de tratamiento.
CUESTIONES
1. ¿Cómo deben ser los datos personales?
Según el RGPD, los datos personales tienen que ser «adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación».
Además, los datos personales «solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios» (Considerando 39 del RGPD).
2. ¿De qué manera se garantiza que los datos personales no se conservan más tiempo del imprescindible?
El RGPD declara que para «garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos».
Así, los datos de referencia tienen que tratarse «de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento» (Considerando 39 del RGPD).
3. ¿Qué debe fomentarse con el objetivo de aumentar la transparencia y el cumplimiento del RGPD?
El considerando 100 del RGPD expone que «a fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes».
4. ¿Qué sucede cuando los datos personales se obtienen del afectado?
Pues bien, el artículo 11 de la LOPDGDD especifica que «cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del RGPD facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información».
Dicha información fundamental tiene que contener, como mínimo, los siguientes datos:
- La identidad del responsable del tratamiento y, en su caso, de su representante.
- La finalidad del tratamiento.
- La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD.
- Si los datos adquiridos van a ser tratados para crear perfiles, la información básica incluirá tal circunstancia.
5. A los efectos de facilitar la información básica, ¿qué sucede cuando los datos personales no se obtienen del afectado?
En este caso, la LOPDGDD estipula que cuando los datos personales no se obtuvieran del afectado, «(...) el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del RGPD facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información».
De igual manera se incorporará, en estos supuestos, la siguiente información:
a) Las categorías de datos.
b) Las fuentes de las que procedan.
A TENER EN CUENTA. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14 del RGPD, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 del RGPD relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios (artículo 12.1 del RGPD).
Por otra parte, en relación al principio de lealtad, el considerando 39 del RGPD declara que todo tratamiento de datos personales tiene que ser «lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados (...)».
Asimismo, el considerando 60 del mismo texto legal estipula que los principios de tratamiento leal y de transparencia requieren que:
«(...) se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente».
A este respecto, nuestro más Alto Tribunal, en su sentencia n.º 398/2024, de 19 de marzo, ECLI:ES:TS:2024:1495, proclama que la norma europea ha dado mucha relevancia a la protección de datos de carácter personal:
«Como declaramos en la sentencia 672/2014, de 19 de noviembre, para la interpretación del art. 18.4 CE tiene especial importancia el Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
La normativa comunitaria también ha concedido gran relevancia a la protección de datos de carácter personal y a los derechos de los ciudadanos en relación con tal cuestión, hasta el punto de que el art. 8 de la Carta de Derechos Fundamentales de la Unión Europea reconoce como fundamental el derecho a la protección de los datos de carácter personal. A diferencia de lo que ocurre con la mayoría de los derechos fundamentales contenidos en tal carta, el legislador constituyente comunitario no se ha limitado a mencionar el derecho, sino que ha enunciado en el precepto su contenido esencial, al establecer en el párrafo 2.º:
"estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación"».