El Reglamento General de Protección de Datos 2016/679 de 27 de abril de 2016 (RGPD), que se hizo finalmente efectivo el 25 de mayo de 2018, contiene en su regulación el deber de información a los usuarios. Repasamos qué es la cláusula informativa RGPD, explicamos dónde y cuándo lleva incluirse y ofrecemos las pautas de redacción de un modelo de cláusula informativa RGPD.

¿Qué es la cláusula informativa RGPD?

La cláusula informativa de protección de datos se refiere a aquel texto que es necesario para poder cumplir con el deber de informar que exige la normativa.

Los artículos que regulan el deber de información en el RGPD son los artículos 13 y 14 del mismo. Dichos artículos establecen la obligación de comunicar a los clientes o usuarios el uso que se hace de sus datos personales.

¿Dónde y cuándo debe incluirse?

Se recoge en la Guía para el cumplimiento del deber de informar, dictada por la Agencia Española de Protección de Datos, que la obligación de información a los interesados recae sobre el Responsable del Tratamiento.

La información deberá por tanto ponerse a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o el registro de tales datos en el caso de que se obtengan directamente por el interesado.

Cuando dichos datos no se obtengan del propio interesado, según el artículo 14 del RGPD, el Responsable debe informar a los interesados en un plazo razonable pero siempre:

  • Antes de 1 mes desde que se obtuvieron los datos.
  • En la primera comunicación al interesado si no se ha realizado con anterioridad.
  • Si dichos datos se van a comunicar a otro destinatario, en el momento en que los datos sean comunicados por primera vez a dicho destinatario, si es que no se ha realizado con anterioridad.

¿Qué debe contener?

El responsable del tratamiento de los datos personales, cuando se obtengan los mismos, deberá facilitar según el artículo 13 del RGPD la siguiente información:

  1. Identidad y datos del responsable.
  2. Datos de contacto del DPO.
  3. Fines del tratamiento de los datos y las base jurídica del mismo.
  4. En el caso de que se trate de que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, deberá contener los intereses legítimos del responsable o de un tercero.
  5. Los destinatarios o las categorías de destinatarios de los datos.
  6. Si correspondiese, la intención del responsable de transferir los datos personales a un tercer país u organización internacional.

Se refiere le mismo artículo a que el responsable igualmente deberá informar, para garantizar el tratamiento leal y transparente de los datos, sobre:

  1. El plazo de conservación de los mismos.
  2. El derecho del usuario a solicitar al responsable el acceso a los datos, su rectificación, supresión, limitación, oposición o derecho a la portabilidad de tales datos.
  3. También, los casos en los que el usuario puede retirar el consentimiento.
  4. El derecho a presentar una reclamación ante la autoridad de control si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato. En caso de que el interesado esté obligado a dar sus datos y tenga información sobre cuáles pueden ser las consecuencias de no facilitarlos.
  5. La existencia de decisiones automatizadas y elaboración de perfiles.

En el caso del artículo 14 del RGPD, recoge la obligación de información cuando los datos no se hayan obtenido del propio interesado. Por lo tanto el responsable informará acerca de, entre otras, las siguientes cuestiones:

  1. La identidad y los datos de contacto del responsable o de su representante.
  2. Las categorías de datos personales de que se trate.
  3. Destinatarios o las categorías a las que pertenecen.
  4. Plazo de conservación de estos datos.

En Letslaw, contamos con un equipo de expertos que se encuentra al día de todas las novedades, en materia legislativa así como en guías y directrices emitidas por las autoridades competentes para la protección de datos personales.