Actualmente, la LOPD establece las siguientes obligaciones respecto de la información que se ha de facilitar a las personas interesadas en el momento en que se soliciten los datos:
- La existencia del fichero o tratamiento, su finalidad y destinatarios.
- El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
- La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- La identidad y datos de contacto del responsable del tratamiento.
El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de Tratamiento (*) e incorporando, en líneas generales, los siguientes detalles:
- Los datos de contacto del Delegado de Protección de Datos, en su caso.
- La base jurídica o legitimación para el tratamiento.
- El plazo o los criterios de conservación de la información.
- La existencia de decisiones automatizadas o elaboración de perfiles.
- La previsión de transferencias a Terceros Países.
- El derecho a presentar una reclamación ante las Autoridades de Control.
Y además, en el caso de que los datos no se obtengan del propio interesado:
- El origen de los datos.
- Las categorías de los datos.
Por tanto, los Responsables de Tratamientos deberán revisar y adaptar los actuales procedimientos, modelos o formularios diseñados de conformidad con la LOPD, incorporando los nuevos requisitos del RGPD. Estos nuevos requisitos amplían y no contradicen la obligación de informar establecida ya en la LOPD; así pues, es recomendable el revisar y aplicar dicha adaptación cuanto antes (el RGPD ya está en vigor, pero no será de plena aplicación hasta mayo 2018).
(*) Tratamiento: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (el RGPD no hace uso del concepto de “fichero”)
