Última revisión
datos
180 - ¿Cuál es la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado?
Relacionados:
Vademecum: datos
Fecha última revisión: 24/09/2024
Según el RGPD, cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento debe proporcionar información sobre su identidad, datos de contacto, fines del tratamiento a que se destinan los datos personales y la base jurídica de los mismos, categorías de datos personales, destinatarios, plazos de conservación, derechos, etc. Asimismo, el responsable del tratamiento deberá suministrar la información adicional en un plazo razonable desde la obtención de los datos personales.
Artículo 14 del RGPD
«1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza legal».
En consecuencia, el responsable del tratamiento, cuando los datos personales no se hayan obtenido del interesado, le facilitará la siguiente información:
- Identidad y datos de contacto del responsable y, en su caso, de su representante.
- En su caso, los datos de contacto del delegado de protección de datos.
- Fines del tratamiento a que se destinan los datos personales y base jurídica de los mismos.
- Categorías de datos personales que sean tratados.
- En su caso, los destinatarios o las categorías de destinatarios de los datos personales.
- En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.
Asimismo, además de lo anterior, el responsable del tratamiento suministrará al interesado la siguiente información:
- El plazo de conservación de los datos personales, o si no fuera posible, de los criterios empleados para determinarlo.
- Si el tratamiento se basa en el artículo 6.1.f) del RGPD, los intereses legítimos del tratamiento o de un tercero.
- La existencia del derecho a solicitar al responsable el acceso, la rectificación o la supresión de los datos personales del interesado, o la limitación y la oposición al tratamiento, así como el derecho a la portabilidad de los datos.
- Si el tratamiento está basado en el artículo 6 [letra a) del apartado 1] o en el artículo 9 [letra a) del apartado 2] del RGPD, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada.
- La existencia del derecho a presentar una reclamación ante una autoridad de control.
- La fuente de los datos personales y, en su caso, si proceden de fuentes de acceso público.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, del RGPD, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Además, el responsable del tratamiento de datos suministrará la información relacionada, en los siguientes momentos:
a) Dentro de un plazo razonable, desde la obtención de los datos personales, y a más tardar dentro de un mes.
b) En el momento de la primera comunicación al interesado.
c) En el momento en que los datos personales sean comunicados por primera vez.
No obstante, si el responsable del tratamiento planea el tratamiento posterior de los datos personales para un fin, que no sea para el que lo obtuvieron, facilitará al interesado, antes del citado tratamiento, información sobre el otro fin y cualquier otra información oportuna de la referida con anterioridad.
Ahora bien, no serán aplicables los preceptos explicados en este punto, cuando:
a) El interesado ya esté informado.
b) La comunicación de la citada información resulte imposible o suponga un esfuerzo desproporcionado.
c) La comunicación esté prevista por el derecho de la Unión Europea o de los Estados miembros.
d) Si los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional.
A mayor abundamiento, la Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de datos (AEPD) aclara diversas cuestiones prácticas de interés, en concreto, destacamos la relacionada con la llamada «información por capas», así:
«Para hacer compatible la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla, desde las Autoridades de Protección de Datos se recomienda adoptar un modelo de información por capas o niveles.
El enfoque de información multinivel consiste en lo siguiente:
- presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.
- remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.
El conjunto de las informaciones requeridas por el RGPD pueden agruparse en unos determinados epígrafes, a los efectos de su organización y presentación, especialmente en cuanto a la información a presentar, de forma resumida, en la primera capa o nivel.
(...)
Se recomienda presentar siempre los cinco primeros epígrafes ("Responsable", "Finalidad", "Legitimación", "Destinatarios" y "Derechos"), añadiendo el epígrafe "Procedencia" únicamente cuando los datos no procedan del propio interesado.
Es importante destacar que este enfoque multinivel se introduce con la finalidad, por un lado, de facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios, y por otro, de conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD».