En aquest apunt analitzarem l'obligació general de transparència i el dret a la informació, regulats al Reglament (UE) 2016/679 del Parlament Europeu i del Consell (RGPD), relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, pel qual es deroga la Directiva 95/46/CE (RGPD). En l'àmbit del RGPD, la transparència fa referència a l'obligació de les entitats, que tracten les dades personals, de donar a les persones tota la informació necessària per saber com els afecten aquells tractaments. Aquesta obligació de transparència en el tractament de les dades es concreta de manera molt clara en el dret d’informació que té la persona interessada, regulat en els articles 13 i 14 del RGPD.
1. Obligació de transparència en tot el tractament
El responsable del tractament de les dades ha d’aplicar la màxima transparència en tots els tractaments que dugui a terme, de manera que les persones coneguin en tot moment l’ús que s’està fent de les seves dades.
L’obligació de tractar les dades personals de manera transparent per a la persona interessada, no és una novetat del RGPD, atès que ja la recollia la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades personals (LOPD).
El RGPD ha anat més enllà, i ha volgut reforçar aquesta obligació del responsable del tractament reconeixent-lo, en primer lloc, com a principi bàsic del tractament de les dades personals (art. 5.1.a del RGPD). Així, en l'article 5.1.a, el RGPD estableix que les dades s’han de tractar amb licitud, lleialtat i transparència. En segon lloc, el regula com una obligació del responsable del tractament (art. 12).
Per això, el legislador europeu vol que la transparència en el tractament de les dades tingui una rellevància especial en tot el procés de tractament de les dades i no només mitjançant el dret a ser informat en el moment de la recollida d'aquestes.
En definitiva, el compliment del deure de transparència en el tractament de les dades per part del responsable del tractament, permet a les persones mantenir un control efectiu sobre les seves dades en tot el procés del tractament de dades personals. El responsable del tractament ha d'adoptar les mesures adequades per facilitar a la persona interessada tota la informació establerta als articles 13 i 14 del RGPD, l’exercici dels seus drets, donar sempre resposta a les sol·licituds de la persona interessada i, en cas de no atendre la sol·licitud, informar-lo dels motius i de la possibilitat de reclamar davant les autoritats de control.
El responsable del tractament, complint el principi de responsabilitat proactiva que estableix l’article 5.2 del RGPD, ha de fer tot el que sigui necessari i adequat per garantir que les persones puguin conèixer i entendre les circumstàncies en què es produeix el tractament de les seves dades i quines conseqüències se’n poden derivar, com també estar en disposició de provar-ho. Per exemple, el Grup de l’article 29 (ara Comitè Europeu de Protecció de Dades), en el WP 260 sobre directrius sobre la transparència, indica que quan el responsable tingui dubtes sobre si la informació facilitada s’ha donat amb prou claredat a la persona interessada, seria una bona pràctica comprovar-ho fent enquestes a grups d'usuaris. Aquesta actuació podria ser especialment important quan es tractin categories especials de dades (salut, ideologia, etc.) o dades de col·lectius vulnerables (menors, discapacitats, gent gran, etc.). Per tant, cal prestar una especial atenció a les persones a les quals es dirigeix la informació i als mecanismes escollits per facilitar-la.
En tot cas, la responsabilitat proactiva, la lleialtat i la transparència van sempre de la mà en el compliment de la normativa de protecció de dades.
Una bona manera de complir el principi de transparència seria incloure, en el web del responsable del tractament, un avís o clàusula de protecció de dades, en un lloc visible i fàcilment accessible per als usuaris. Ara bé, amb aquesta acció no es pot afirmar que ja s’està complint l’obligació de transparència, sinó que també cal que la informació es doni de manera concisa, transparent, intel·ligible i de fàcil accés, i en un llenguatge clar i senzill, especialment en el cas dels menors, a qui la informació s’ha de facilitar en un llenguatge adequat al seu nivell de comprensió.
El Grup de l’article 29 posa alguns exemples d'informació facilitada a les persones afectades, que no serien prou clars i, per tant, no s’ajustarien al principi de transparència, com ara:
- “Podrem utilitzar les seves dades per desenvolupar nous serveis”
- “Podrem fer servir les seves dades per a finalitats d'investigació”
- “Podrem utilitzar les seves dades per oferir serveis personalitzats”.
2. Dret d'informació
L’obligació de ser transparent té una clara manifestació en els articles 13 i 14 del RGPD, que regulen l’obligació del responsable del tractament d’informar les persones interessades en el moment de la recollida de les dades.
Aquests articles diferencien, com ja feia la LOPD, el dret d’informació quan les dades es recullen directament de la persona interessada (art. 13 del RGPD ), del dret d’informació quan les dades no s'obtenen de la persona interessada (art. 14 del RGPD).
2.1 Informació que cal facilitar i termini
El RGPD ha ampliat el contingut de la informació que s'ha de facilitar a la persona interessada per tractar les seves dades personals, amb l'objectiu d'afavorir-ne el control.
L'ampliació de la informació que cal facilitar a la persona interessada ens pot fer pensar que no acabarà llegint-la perquè és excessiva. A aquest respecte, cal recordar que el responsable del tractament, sobre la base del principi de responsabilitat proactiva, és qui ha de buscar els mecanismes més adequats per garantir l'objectiu buscat per la norma, en aquest cas, que la persona disposi de la informació necessària sobre el tractament de les seves dades i que l’entengui. Per tant, la responsabilitat proactiva exigeix als responsables del tractament anar més enllà de la mera redacció ordenada de les clàusules informatives que s’inclouen als formularis o webs de recollida de dades, i trobar l’eina més adequada per facilitar la informació en cada cas concret.
A tall d’exemple, cal analitzar qui és l’usuari de destí i el seu context amb la finalitat de triar el llenguatge, el mecanisme i el format més adequat per facilitar-li la informació (mitjançant un escrit, de manera verbal, amb un vídeo, un còmic, codis QR, etc.).
Amb la finalitat d’aportar claredat i accessibilitat, la informació a la persona interessada es pot facilitar adoptant un model d'informació per capes o nivells, és a dir, en diverses fases, tot donant en un primer nivell la informació bàsica i facilitant l'accés, a través d'un enllaç o d'un altre mitjà, de manera senzilla i immediata a la resta de la informació.
Quan les dades s’obtenen directament de la persona interessada, en la primera capa s’ha d’informar la persona interessada de la identitat del responsable del tractament, la finalitat del tractament i la possibilitat d’exercir els drets d’accés, rectificació, supressió i oposició, així com el dret a la limitació del tractament, a la portabilitat de les dades o a impugnar valoracions. En una segona capa s'ha d'informar sobre les dades de contacte del responsable, del delegat de protecció de dades, dels destinataris o de categories de destinataris de les dades, o del termini durant el qual es conservaran les dades, entre d’altres.
En cas que les dades no s'obtinguin de la persona interessada, cal informar també en la primera capa de les categories de dades personals i de la font de la qual procedeixen.
Pel que fa al termini, la informació s’ha de facilitar en el moment de la recollida de les dades, si es recullen directament de la persona interessada, i dins un termini raonable, com a màxim d’un mes, si no es recullen directament de la persona interessada.
2.2 Excepcions al dret d’informació
El RGPD estableix que no cal informar la persona interessada en els supòsits que ja disposi de la informació. Per als casos en què les dades s'han recollit a través d’un tercer i no directament de la persona interessada, estableix els supòsits d’excepció següents:
- La comunicació resulta impossible o suposa un esforç desproporcionat.
- L'obtenció o la comunicació està expressament establerta pel dret de la Unió o dels estats membres.
- Les dades han de continuar tenint caràcter confidencial per una obligació legal de secret professional, incloent-hi una obligació de secret de naturalesa estatutària.
En definitiva, les exigències de transparència del RGPD són molt clares, i en particular ha augmentat de manera significativa la informació a facilitar a les persones interessades. Cal, doncs, una revisió de la informació que faciliteu a les persones a través d’avisos i clàusules informatives per comprovar que compliu els requisits que s’han indicat en aquest apunt. És una bona oportunitat per posar-vos al dia.