El Margen de la Ley :: El Blog de Audens
Audens >
Blog >
Protección de Datos >
RGPD: transparencia por capas

RGPD: transparencia por capas

El mundo [de la Protección de Datos] ha cambiado. Lo siento en el agua, lo siento en la tierra, lo huelo en el aire. El RGPD se acerca, el 25 de mayo está a la vuelta de la esquina y las autoridades de protección de datos están ultimando su llegada con pinceladas interpretativas que nos ayudan a conocer un poquito más lo que viene. Sin ir más lejos, el pasado día 13 de abril el Grupo de Trabajo del artículo 29 (GT29) actualizaba su Guía sobre transparencia.

¿En qué consiste este principio de transparencia, introducido por el RGPD? Pues en pocas palabras, es una nueva forma de referirnos al antiguo deber de información en la recogida de datos personales, evolucionado y adaptado a la realidad de Internet: el legislador es consciente de que nadie lee las políticas de privacidad, entre otros motivos porque son larguísimas e incomprensibles. Y exige un cambio de costumbres.

El artículo 12 del RGPD prevé que el responsable del tratamiento debe tomar las medidas oportunas para informar al interesado sobre cómo va a utilizar sus datos personales y del modo en que puede ejercitar sus derechos, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Está previsión, a priori, parece completamente incompatible con la información mínima a proporcionar a un usuario, relacionada en los artículos 13 y 14 del RGPD. En resumen, se le debe informar acerca de la identidad del responsable, de los fines del tratamiento, de los destinatarios de los datos, de si existen transferencias internacionales, del plazo de conservación, de cómo ejercitar los derechos, del derecho a presentar una reclamación ante una autoridad de control y la base jurídica de las comunicaciones de datos… a lo que hay que añadir la preceptiva información en caso de existencia de decisiones automatizadas, y algunos aspectos más que no menciono aquí por falta de espacio. ¡Casi nada!

Como decíamos, así planteado, el principio de transparencia parece incompatible con el chorro de información que hay que proporcionar al interesado, de modo que tanto el GT29 como las autoridades nacionales de protección de datos, incluyendo nuestra Agencia Española de Protección de Datos (AEPD) o el Information Comissioner Office del Reino Unido (ICO), proponen un sistema de información por capas.

Este método de informar a los usuarios no es novedoso: ya se utiliza en relación con las cookies, y de hecho nos hemos acostumbrado a ver la información de la primera capa en la mayoría de páginas web. Pero sí es novedosa la lógica subyacente en este nuevo principio de transparencia: acompañado de la necesidad de recabar el consentimiento expreso y específico para todos los tratamientos de datos que realicemos, pretende acabar con una de las mentiras más extendidas del mundo digital. El “he leído y acepto la política de privacidad”.

La próxima aplicación del RGPD provocará que esta fórmula de aceptar el tratamiento de nuestros datos resulte insuficiente, especialmente cuando nuestra política de privacidad contemple varias finalidades. A esto hay que añadir las recomendaciones de la AEPD y del GT29, conforme a las cuales esta mentira piadosa debería ser sustituida por un texto más completo. ¿En que consistiría? Pues bien, la primera capa debe contener información básica sobre el tratamiento de datos personales del usuario, para permitirle evaluar las consecuencias de pulsar el botón “enviar”. En la Guía para el cumplimiento del deber de Informar de la AEPD, se propone que la primera capa consista en una tabla en la que se especifique: información del responsable, finalidad, base de legitimación, destinatarios, forma de ejecitar los derechos y fuente de los datos.

Sin embargo, tanto el proyecto de LOPD (actualmente en trámite parlamentario) como el GT29 prevén una alternativa más breve, indicando que la primera capa debería contener, al menos, información sobre la identidad del responsable del tratamiento y de su representante, la finalidad de cada tratamiento y el modo de ejercitar los derechos reconocidos por el RGPD a los ciudadanos. Algo que, afortunadamente, se puede resumir en unas pocas palabras.

Sin duda alguna, la aprobación de la futura LOPD debe ser la puntilla definitiva a la aceptación a ciegas de las políticas de privacidad. La pregunta ahora es, ¿logrará este objetivo? ¿Podremos olerlo en el aire de Internet?

¿Te ha resultado interesante?
Estamos especializados en adecuar la operativa de las empresas al nuevo Reglamento General de Protección de Datos de la Unión Europea.

Deja un comentario

Todos los campos son obligatorios. Trataremos tus datos únicamente gestionar la publicación de tu comentario y responder a las sugerencias o peticiones que, en su caso, nos realices. Tu dirección de email no será publicada. Puedes, en todo momento, retirar el consentimiento para el tratamiento de tus datos, así como ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, escribiéndonos a . Más información en nuestra política de privacidad.

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales.