A partir del próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD o GDPR de sus siglas en inglés), que es aplicable a los negocios y profesionales desde el momento en el que disponen de datos personales de proveedores, clientes o personas de contacto en general. Conforme al mismo, deberás obtener el consentimiento explícito de tus clientes para tener sus datos, a los que tendrás que explicar, de forma clara, su uso y los derechos que tiene sobre los mismos.
¿Cómo se les debe informar?
Se debe explicar al cliente, en un lenguaje claro, qué datos se están guardando, para qué fines concretos se van a utilizar, por cuánto tiempo se almacenarán, qué derecho tiene sobre los mismos, quien tiene acceso a ellos y quien es el Responsable o Encargado del Tratamiento de datos.
El cliente debe tener una comprensión total de estos puntos. El consentimiento no puede deducirse del silencio o de la inacción del cliente.
¿Cuáles son los derechos del cliente para proteger sus datos personales?
El cliente tiene los siguientes derechos:
- A conocer qué datos se están almacenando y ser informado acerca de su procesamiento.
- A no estar sujetos a un procesamiento o categorización completamente automatizado
- A corregir cualquier dato incorrecto.
- A revocar el consentimiento dado.
- A que la información sea suprimida bajo determinadas circunstancias, como por ejemplo, ya no sean necesarios para la finalidad con la que fueron recogidos (derecho al olvido).
- A tener sus datos personales en un formato estructurado y comúnmente usado para que dicha información pueda ser transferida, en determinadas circunstancias, a otro controlador (portabilidad de los datos).
¿Quién y cuándo debe informar?
Es el Responsable del Tratamiento (cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales) de datos el obligado a informar.
Se debe informar en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.
En el caso de que los datos no se obtengan del propio interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público, el Responsable informará a las personas interesadas dentro de un plazo razonable, nunca superior a un mes desde que se obtuvieron o en la primera comunicación con el mismo.
¿Dónde y cómo informar?
Se puede informar por uno de los medios empleados para la recopilación o registro de los datos, como por ejemplo pueden ser formularios en papel, entrevista telefónica, navegación o formularios Web, registro de aplicaciones móviles, etc …
Las comunicaciones al cliente sobre datos ya disponibles, o tratamientos adicionales, pueden hacerse llegar por medio de correo postal, mensajería electrónica o notificaciones emergentes en servicios y aplicaciones.
En cualquier caso, como hemos señalado antes, se debe informar con un lenguaje claro y sencillo, de forma concisa, transparente, inteligible y de fácil acceso.
¿Quieres/Tienes que ceder los datos de tus clientes a un tercero?
Es posible, pero siempre has de informarles previamente que datos van a ser cedidos y estos han de estar de acuerdo, consintiéndolo de manera expresa.
No será preciso este consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.
¿Cómo es la mejor forma de presentarle la información al cliente?
La AEPD recomienda adoptar un modelo por capas o niveles. Así, se debería presentar al cliente una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos y remitir a la información adicional en un segundo nivel, donde se presentar el resto de las informaciones, en un medio más adecuado para su presentación y comprensión.
| Información básica
| Información adicional
|
Responsable del tratamiento
| Identidad del Responsable del Tratamiento
| - Datos de contacto del Responsable - Identidad y datos de contacto del representante - Datos de contacto del Delegado de Protección de Datos |
Finalidad del tratamiento
| Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles
| - Descripción ampliada de los fines del tratamiento - Plazos o criterios de conservación de los datos - Decisiones automatizadas, perfiles y lógica aplicada
|
Legitimación del tratamiento
| Base jurídica del tratamiento
| - Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. - Obligación o no de facilitar datos y consecuencias de no hacerlo.
|
Destinatarios de cesiones o transferencias
| Previsión o no de Cesiones Previsión de Transferencias, o no, a terceros países
| - Destinatarios o categorías de destinatarios - Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables
|
Derechos de las personas interesadas
| Referencia al ejercicio de derechos
| - Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento - Derecho a retirar el consentimiento prestado - Derecho a reclamar ante la Autoridad de Control
|
Procedencia de los datos
| Fuente de los datos (cuando no proceden del interesado)
| - Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público - Categorías de datos que se traten
|
Fuente: Agencia Española de Protección de Datos
FUENTE: ESPACIO ASESORÍA
