El artículo 13 de la Regulación General de Protección de Datos (RGPD) es una disposición legal para la obligación de información al recopilar datos personales a la persona afectada. En el RGPD-Ley, ocupa un lugar importante, ya que se considera como normativa para una declaración de privacidad. Dice:
Texto legal (negrita añadida)
(1) Cuando se recopilen datos personales a la persona afectada [lo que siempre es el caso en las páginas web por direcciones IP], el responsable de los datos informará a la persona afectada, en el momento de la recopilación de estos datos, lo siguiente:
a) el nombre y los datos de contacto del responsable, así como, en caso de existir, los de su representante;
b) en caso de ser necesario, los datos de contacto del responsable de protección de datos;
c) los Fines, para los que se pretenden tratar los datos personales, así como la base legal para el tratamiento;
d) si la elaboración se basa en el artículo 6, apartado 1, letra f, los intereses legítimos que persiguen el responsable del tratamiento o un tercero;
e) en caso de aplicación, los destinatarios o categorías de destinatarios de los datos personales y
f) en caso de que corresponda, la intención del responsable de transferir los datos personales a un tercer país o una organización internacional, así como la existencia o inexistencia de un acuerdo de adecuación por parte de la Comisión, o en el caso de las transferencias según el artículo 46, el artículo 47 o el artículo 49, apartado 1, subapartado 2, una referencia a las garantías adecuadas y la posibilidad de obtener una copia de ellas, o dónde están disponibles. [Se refieren a las transferencias a países terceros inseguros, como los EE.UU.]
(2) Además de las informaciones previstas en el apartado 1, el responsable facilitará a la persona afectada, en el momento de la recogida de estos datos, las siguientes informaciones adicionales que sean necesarias para garantizar un tratamiento justo y transparente:
a) la duración, durante la cual se almacenan los datos personales o, si esto no es posible, los criterios para establecer dicha duración;
b) la existencia de un derecho a información por parte del responsable sobre los datos personales relevantes, así como el derecho a la corrección o supresión o limitación del tratamiento o a un derecho de oposición al tratamiento, y el derecho a la portabilidad de los datos;
c) si la elaboración se basa en el artículo 6, apartado 1, letra a o el artículo 9, apartado 2, letra a , el derecho a que se tenga conocimiento de que la puede ser revocada en cualquier momento sin afectar la legalidad de las elaboraciones realizadas hasta ese momento;
d) el Existencia de un derecho a queja ante una autoridad de control;
e) si la puesta a disposición de los datos personales es legal o contractualmente obligatoria, o si son necesarios para un acuerdo contractual, si la persona afectada está obligada a proporcionar los datos personales y cuáles serían las posibles consecuencias de no hacerlo y
f) la existencia de una toma de decisiones automatizada incluyendo perfilado según Artículo 22 Apartados 1 y 4 y – al menos en estos casos – información significativa sobre la lógica involucrada, así como la amplitud y las consecuencias previstas de dicha procesamiento para la persona afectada.
(3) Si el responsable tiene la intención de utilizar los datos personales para un fin distinto al para el que fueron recopilados, proporcionará a la persona afectada información sobre dicho fin distinto y toda otra información relevante según el apartado 2, antes de dicha nueva utilización.
(4) Los apartados 1, 2 y 3 no se aplican cuando y en la medida en que la persona afectada ya dispone de la información.
Términos frecuentes (normalizados): Datos(12), personalizado(10), Procesamiento(8), afectado(7), Persona(7), Responsable(6), Información(6), Propósito(3).
Observaciones
Como Art. 5 Abs. 1 b RGPD establece, las declaraciones sobre los fines deben realizarse según lo dispuesto en el apartado anterior c "para fines determinados, precisos y legítimos". En Art. 5 Abs. 1 a RGPD, se requiere la procesamiento legal que debe llevarse a cabo con buena fe. En conexión con la sentencia del TJUE sobre Planet49, esto significa que (como mínimo) para los cookies técnicamente no necesarios deben indicarse sus fines. Los cookies siempre procesan datos personales, como se desprende de mi investigación.
En el artículo 13, apartado 1 e) de la RGPD no existe una verdadera elección entre nombrar a los destinatarios de los datos o las categorías de destinatarios. Por el contrario, es necesario nombrar a los destinatarios lo más específicamente posible. Un responsable puede nombrar categorías de destinatarios si esto resulta útil (por ejemplo, más claro) para informar a la persona afectada. En particular, esto puede ser suficiente cuando se dan indicaciones generales y vagas sobre protección de datos. Sin embargo, si una persona afectada pregunta explícitamente por los destinatarios precisos, deben nombrarse concretamente (ver Sanción a WhatsApp, por ejemplo, párrafos 426f), ya que un responsable debe conocer a los destinatarios. Consulte también las observaciones en Artículo 15 RGPD y las referencias proporcionadas allí.
| "Los principios de un tratamiento justo y transparente exigen que la persona afectada esté informada sobre la existencia del proceso de tratamiento y sus finalidades. El responsable debe proporcionar a la persona afectada toda la información adicional que, teniendo en cuenta las circunstancias particulares y las condiciones en las que se procesan los datos personales, sea necesaria para garantizar un tratamiento justo y transparente." |
Un modelo para los textos estándar se puede obtener de mi Declaración de privacidad. Los textos deben adaptarse a necesidades individuales. El responsable de la página web en la que se utilizan los textos estándar es el único responsable.
También interesante
- Reglamento General de Protección de Datos (RGPD) en general
- El artículo 5 de la RGPD: Principios para el tratamiento de datos ([1])
- El artículo 6 de la RGPD: Bases legales del tratamiento
- El artículo 7 de la RGPD: Condiciones para la autorización ([1])
- El artículo 15 de la RGPD: Derecho a la información ([1])
- El artículo 26 de la RGPD: Responsabilidad compartida ([1])
Puntos clave de este artículo
Si se recopilan tus datos, debes ser informado sobre quién los tiene, por qué se necesitan y a quién podrían ser transferidos.
Cuando las empresas almacenan datos de personas, deben informar a estas personas para qué se utilizan los datos, cuánto tiempo se conservarán y qué derechos tienen (por ejemplo, el derecho a ver, corregir o eliminar sus datos).
Si procesas datos, debes informar a las personas afectadas sobre quién exactamente recibirá esos datos.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
