GDPR 4. La informació del tractament


Josep Aragonés Salvat     24/07/2016



La informació del tractament en el nou Reglament (GDPR)


Tal com indicàvem en l'article anterior, El consentiment explícit, el principi fonamental d'un tractament és la lleialtat i transparència amb l'interessat. Aplicant aquest principi, el GDPR disposa que s'haurà de facilitar la informació del tractament de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment si va dirigida a nens.
 
A diferència de la LOPD, que la informació del tractament es reflectia en una clàusula diminuta on s'indicava que les dades estaven incloses en un fitxer degudament inscrit al RGPD, la finalitat del tractament, els destinataris de les dades -si n'hi ha- i les dades de contacte per exercir els drets ARCO, el GDPR ens obliga a ser més transparents, el que vol dir que l'interessat ha d'estar clarament informat del tractament.
 
La informació es podrà facilitar per escrit o per mitjans electrònics; inclòs oralment si ho demana l'interessat. També es podrá transmetre en combinació amb icones formalitzats que permetin proporcionar de forma visible, intel·ligible i clarament llegible una presentació adequada del tractament de dades previst.



Contingut de la informació a l'interessat en el GDPR


El Responsable del tractament ha de facilitar, com a mínim, la següent informació:
 
  •     La base jurídica del tractament.
  •     La identitat i les dades de contacte del responsable del tractament i del DPO (si existeix).
  •     Els fins del tractament.
  •     El termini de conservació o els criteris que ho determinin.
  •     Els drets dels interessats.
  •     L'interès legítim del Responsable del tractament, si el tractament es basa en aquest interès.
  •     Els destinataris de les dades, si es preveu comunicar-las a un altre Responsable.

I per a tractaments específics s'afegirà la següent informació:
 
  • Les transferències internacionals de dades i l'existència o absència d'una decisió de suficiència o de garanties apropiades.
  • Quan hi hagi un mecanisme automatitzat d'elaboració de perfils, haurem facilitar informació sobre la lògica aplicada i les conseqüències previstes per a l'interessat.
  • Si ens proposem tractar les dades per a altres fins, haurem facilitar a l'interessat informació d'aquests fins.

I si les dades són obtingudes de fonts externes (no de l'interessat), s'afegirà la següent informació:
 
  • La font de procedència de les dades.
  • Les categories de dades tractades.
 

Política d'informació a l'interessat


No serà suficient informar l'interessat del tractament. El Responsable del tractament haurà de dissenyar polítiques concises, transparents, senzilles i accessibles per comunicar a l'interessat els detalls del tractament i l'exercici dels drets sobre les seves dades.

Aquestes polítiques han d'estar en coneixement i a disposició del personal autoritzat que tracta les dades per comunicar-les a l'interessat en els terminis i formes que estableix Reglament. De la mateixa manera ha d'establir els procediments a seguir per donar curs a les sol·licituds dels drets dels interessats i complir amb els terminis establerts en el Reglament per respondre-les.

 

Comunicació de la informació a l'interessat


La informació del tractament s'haurà de facilitar en el moment de l'obtenció de les dades, no sent necessari tornar a fer-ho un cop l'interessat hagi estat informat.

En el cas que les dades s'hagin obtingut de fonts externes (no de l'interessat), es facilitarà la informació a l'interessat en un termini màxim d'un mes o, si utilitzarem les dades per a comunicar-nos amb ell, en el moment de la primera comunicació.

Si està previst comunicar les dades a un destinatari, la informació s'ha de facilitar a l'interessat, com a màxim, en el moment en què comuniquem les dades per primera vegada al destinatari.


No caldrà comunicar la informació a l'interessat:

Quan l'interessat ja disposi de la informació o quan la comunicació sigui impossible o suposi un esforç desproporcionat.

Tampoc serà necessari comunicar la informació quan el tractament sigui una obligació legal del Responsable del tractament, com per exemple, l'obtenció de dades per a l'emissió de factures.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 3. El consentiment explícit    Tema següent: 5. Els drets de l'interessat



Informació relacionada