1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
|
(a) |
la identidad y los datos de contacto del responsable y, en su caso, de su representante; |
|
(b) |
los datos de contacto del delegado de protección de datos, en su caso; |
|
(c) |
los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento; |
|
(d) |
las categorías de datos personales de que se trate; |
|
(e) |
los destinatarios o las categorías de destinatarios de los datos personales, en su caso; |
|
(f) |
en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado. |
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
|
(a) |
el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo; |
|
(b) |
cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero; |
|
(c) |
la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos; |
|
(d) |
cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada; |
|
(e) |
el derecho a presentar una reclamación ante una autoridad de control; |
|
(f) |
la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público; |
|
(g) |
la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. |
3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
|
(a) |
dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos; |
|
(b) |
si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o |
|
(c) |
si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez. |
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
|
(a) |
el interesado ya disponga de la información; |
|
(b) |
la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información; |
|
(c) |
la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o |
|
(d) |
cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria. |
Si recoge datos personales, debe informar al interesado de cómo tratar sus datos.
El artículo 14 describe cómo debe proporcionar la información al interesado cuando no haya obtenido los datos personales de éste, sino de otras fuentes. Si obtiene los datos personales del interesado, debe consultar el artículo 13.
Entre otras cosas, el artículo 14 le obliga a proporcionar información sobre sus fuentes de datos y si los datos personales proceden de fuentes de acceso público.
Deberá informar a los interesados por escrito, ya que el RGPD exige que pueda documentar el cumplimiento de estas normas.
Esta norma, junto con el artículo 13, es la razón por la que todos los sitios web tienen una política de privacidad.
El artículo 14 exige que todo aquel que tratamiento datos personales no obtenidos del interesado comunique cómo pretende tratar.
Como responsable del tratamiento, si usted tratar datos personales recogidos de agencias gubernamentales, bases de datos públicas o de un socio, entonces está cubierto por las normas del artículo 14.
Cuando no se haya obtenido la información personal del interesado, deberá informar a éste en el plazo máximo de un mes, teniendo en cuenta las circunstancias específicas en las que se tratarlos datos.
Lo ideal es informar al interesado lo antes posible tras obtener los datos personales.
Supongamos que tiene intención de utilizar los datos personales para comunicarse con el interesado. En ese caso, deberá proporcionar la información en el momento de la primera comunicación con ese sujeto de datos específico.
Los artículos 13 y 14 le obligan a informar al interesado cuando haya obtenido sus datos personales y a explicarle qué información debe proporcionarle.
El artículo 13 se refiere a la información que debe facilitarse al interesado cuando se obtienen datos personales de éste.
Por otra parte, el artículo 14 se refiere a la información que debe facilitar al interesado cuando los datos personales no se hayan obtenido de él, sino de otras fuentes.
Estas otras fuentes de datos podrían ser registros públicos, proveedores o similares.
Una política de privacidad es un texto que comunica cómo se tratar los datos personales de los interesados, que pueden ser usuarios, clientes, empleados, socios, etc.
La política de privacidad suele estar accesible en el sitio web del responsable del tratamiento, por lo que puede enlazar con ella siempre que los interesados soliciten más información sobre el tratamiento sus datos personales.
Los artículos 13 y 14 del RGPD exigen que se informe a los interesados sobre el tratamiento sus datos personales.
El artículo 13 especifica cómo debe comunicar su tratamiento cuando los datos personales se recogen del propio interesado. Los datos personales se recogen del interesado cuando se le piden sus datos de contacto o información similar. Esto es contrario a la situación descrita en el artículo 14, que establece las normas para su comunicación cuando los datos personales no se han obtenido del interesado.
Si desea crear una política de privacidad desde cero, debe seguir los requisitos de los artículos 14(1), 14(2) y 14(3). No obstante, estas normas pueden no aplicarse si el interesado ya ha recibido esta información o si proporcionarla se considera imposible o supone un esfuerzo desproporcionado.
Además, el artículo 12 exige que se comunique de forma transparente, lo que significa que la información proporcionada en la política de privacidad debe ser clara.
Sí. Puede utilizar una plantilla de política de privacidadPero es fundamental adaptar la política de privacidad a su tratamiento datos personales.
Si no adapta la política de privacidad a su tratamiento específico de datos personales, la comunicación puede resultar vaga y, por tanto, aportar poco valor al lector.
El objetivo de la política de privacidad es informar al interesado para que pueda tomar una decisión consciente sobre si le permite tratar sus datos personales.
Puede encontrar un modelo de política de privacidad en este sitio web.
La plantilla está diseñada pensando en un negocio típico; por lo tanto, puede ser utilizada por la mayoría de las empresas, pero recuerde personalizarla para sus necesidades si decide utilizarla.
El caso de uso actual de la plantilla se hace teniendo en cuenta el artículo 13. Esto significa que debe tener cuidado y personalizar la plantilla para adaptarla a sus necesidades si, por el contrario, está cubierta por los requisitos descritos en el artículo 14.
Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.
