La normativa europea GDPR establece una serie de principios básicos, entre los que se encuentra el de transparencia. Según el Reglamento, la información aportada por las empresas debe ser clara, sencilla y fácil de entender.
El Reglamento General de Protección de Datos (GDPR), así como la nueva LOPDGDD, tiene como finalidad última dar al usuario el control sobre el tratamiento de sus datos. De ahí que se hayan ampliado sus derechos y tenga que poder facilitarse la portabilidad o la eliminación de los mismos. Pero además, donde esta máxima cobra especial importancia es en el consentimiento.
Según la Agencia Española de Protección de Datos (AEPD), muchas empresas españolas siguen exponiendo sus textos de solicitud de consentimiento para el tratamiento de información personal de forma errónea. Esto es así porque continúan recurriendo a las viejas fórmulas como “He leído y acepto la política de privacidad”, a amplios textos con terminología legal e incluso a casillas premarcadas.
Así, ese consentimiento no será válido ante las nuevas normativas de protección de datos, porque incumplen el principio de transparencia. Es decir, que no se está informando correctamente a los usuarios, algo imprescindible para lograr el consentimiento inequívoco, que es el único válido ante GDPR.
Con el consentimiento inequívoco no puede existir ninguna duda con respecto a la voluntad del usuario de compartir sus datos personales, y para ello el responsable del tratamiento (la empresa) ha de hacer gala del principio de transparencia que, a su vez, está ligado con el deber de informar a los usuarios.
Además, recordamos que con la normativa europea existe la necesidad de llevar un registro de este tipo de actividades, ya que pueden ser solicitadas por las autoridades de control o por los propios usuarios. Para tareas como esta, pueden resultar útiles los gestores de consentimiento como Asentify, ya que guardan la información de forma segura.
¿Cómo cumplir con el principio de transparencia?
El principio de transparencia exige que toda información y comunicación relativa al tratamiento de los datos sea accesible y fácil de entender. Para ello ha de utilizarse un lenguaje sencillo y claro, sin recurrir a textos extensos con terminología legal o a letra pequeña. Por el contrario, el responsable del tratamiento deberá destacar los problemas y riesgos que entrañan el tratamiento de los datos del usuario. Solo de esta forma los interesados estarían ofreciendo un consentimiento informado y solo así se estaría cumpliendo con el principio de transparencia.
Además de una información detallada sobre los riesgos, los usuarios también tendrán que contar con el contacto del responsable del tratamiento. El principio de transparencia también menciona que los interesados también deberán conocer las normas, las salvaguardas y los derechos relativos al tratamiento de datos personales, así como el modo de ejercerlos.
Por otra parte, el principio de transparencia no debe limitarse únicamente a la base legal del consentimiento, ya que no es la única bajo la cual puede tratarse con datos personales. GDPR establece que el principio de transparencia, así como el deber de informar, se tendrá en cuenta siempre que exista un tratamiento.
Así, el proceso de información al usuario debe iniciarse en el momento de la recogida de los datos personales siempre que éstos provengan del interesado. Por el contrario, si la información personal proviene de otra fuente, el responsable de tratamiento tendrá un plazo de un mes para comunicar al interesado el origen y la categoría de los datos que se están procesando.
Si es el usuario quien ofrece los datos, entonces el deber de información establece que se le facilite la identidad y los datos de contacto del responsable del tratamiento, la finalidad de la misma, la base jurídica (consentimiento, contrato, obligación legal…), el plazo durante el cual se conservarán los datos y los derechos a los que se puede acoger el usuario.
Esta información ha de entregarse por escrito o por otros medios. Además, si el interesado lo solicita, también podrá facilitarse verbalmente siempre y cuando el usuario acredite su identidad.
Para cumplir correctamente tanto con GDPR como con la LOPDGDD, la información que se entrega al usuario debe estar presentada de forma “granular”. Es decir, que debe estar fragmentada por capas o niveles. En un primer momento, el interesado podrá ver de un vistazo la información básica y resumida, con un lenguaje comprensible y en el que puedan comprender todas las actividades de tratamiento de sus datos personales. Y, en un segundo nivel, ha de ofrecerse la misma información con más detalle, por si el usuario quisiese profundizar y conocer más a fondo qué está haciendo el responsable con sus datos personales.
En resumen, el principio de transparencia y el deber de información son dos de los puntos más importantes de las nuevas leyes de protección de datos, pues son un claro manifiesto de la finalidad última de las mismas: ofrecer al usuario un control más profundo de su privacidad y de sus datos personales.
