Cuando una organización recopila datos personales del propio individuo o de otras fuentes, debe proporcionar al individuo (como interesado) información clara sobre cómo y por qué se procesan los datos. Esto incluye información sobre la organización (como responsable del tratamiento), finalidades del tratamiento, derechos del interesado y otros aspectos relevantes.
Si bien la mayoría de los servicios están disponibles electrónicamente y publicar una política de privacidad en un sitio web es la forma más común para que las organizaciones cumplan con su deber de información, no todas las organizaciones tienen un sitio web de privacidad. Además, no en todos los casos la publicación de una política de privacidad es suficiente para garantizar que una persona esté rápida y completamente informada sobre el procesamiento de sus datos. Por lo tanto, esta vez analizaremos formas y formatos adicionales en los que las organizaciones pueden cumplir con su deber de información.
Un ejemplo. La empresa «ABC» participa en la feria industrial, donde presenta sus servicios a los visitantes. Los empleados ofrecen a los visitantes su información de contacto para recibir ofertas de productos. ABC ha publicado en su página web una política de privacidad de fácil acceso explicando su tratamiento de datos. Sin embargo, teniendo en cuenta que la recopilación de datos en tal situación se realiza fuera del sitio web y que la información publicada en él puede no ser fácilmente accesible para las personas en un momento determinado, la empresa deberá cuidar medios de información adicionales para garantizar el cumplimiento. con los requisitos del Reglamento de Datos.
Cabe señalar que la organización que recopila los datos siempre debe tomar medidas proactivas para proporcionar a las personas información relevante o decirles dónde encontrarla (por ejemplo, informándoles, publicando un enlace a un sitio web o un código QR). No es aceptable una situación en la que una persona sólo puede obtener esta información si él mismo la solicita o la busca, pero la organización no ha tomado ninguna medida para proporcionarla.
No existe un formato ni orden concreto en el que se deba facilitar la información sobre el tratamiento de datos, pero sí se establece que se deben tomar «medidas adecuadas» para garantizar la transparencia de la información. Esto significa que a la hora de elegir cómo informar a las personas, la organización debe adaptar el formato de notificación a su actividad de tratamiento. Es necesario tener en cuenta cómo se produce la comunicación con las personas, en qué condiciones se produce y elegir una forma que asegure que la información llegue a las personas de manera oportuna y eficiente.
Un enfoque multinivel para proporcionar información
Al igual que en el entorno electrónico, la información sobre el procesamiento de datos también se puede proporcionar en otros formatos utilizando múltiples niveles de notificación. Según este enfoque, cuando una organización contacta por primera vez a una persona, se le proporciona la información más importante. Es decir, información sobre la organización, las finalidades del tratamiento y sus derechos como interesado. Además, se informa a la persona sobre cómo el tratamiento de sus datos puede afectarle o tener consecuencias inesperadas, y cómo puede obtener más información sobre su tratamiento de datos.
A la luz de lo anterior, la organización deberá elegir la forma de información más adecuada para ambas partes eligiendo uno o más de los medios enumerados:
- En formato papel. El aviso de privacidad puede emitirse en formato impreso para cada individuo o puede ponerse a disposición de un público más amplio mediante su publicación en las instalaciones de la organización donde se hospedan los individuos.
Un ejemplo. Para afiliarse a la asociación es necesario rellenar un formulario de inscripción en papel emitido por la asociación. Para garantizar que el miembro potencial esté plenamente informado sobre el procesamiento de datos personales por parte de la asociación antes de enviarlos, se emite una declaración de privacidad impresa junto con el formulario. - Información oral: La información es proporcionada de forma presencial o remota por un empleado asignado por la organización, o se proporciona información automatizada o pregrabada.
Un ejemplo. Al contactar con el teléfono de atención al cliente de la organización, se informa al cliente antes de conectarse con el consultor que la conversación quedará grabada, además de explicarle las finalidades para las que se realiza y facilitarle información sobre cómo el interesado puede acceder a información adicional. - Información proporcionada en el «mundo real»: se pueden utilizar paneles informativos visibles, carteles públicos, campañas de concientización pública o anuncios en periódicos o medios de comunicación.
Por ejemplo, una organización toma fotografías en un evento público. La publicidad del evento en las redes sociales, que constituye el principal canal publicitario del evento, incluye información sobre la fotografía, así como se colocan carteles informativos sobre dicho procesamiento antes de ingresar al territorio del evento, indicando el propósito de la fotografía, así como un Se añade código QR a la web del operador para obtener más información.
Cabe recordar que si bien una organización, como responsable del tratamiento de datos, debe poder demostrar que cumple con los requisitos del Reglamento de datos, no está obligada a obtener confirmación de un individuo de su conocimiento de las normas de tratamiento de datos.
Al mismo tiempo, la organización debe poder demostrar qué medidas ha tomado para cumplir los requisitos establecidos en los artículos 13 y 14 del Reglamento de Datos.