¿Cómo cumplir con el principio de información establecido en la LOPD?

por Jorge Campanillas Ciaurriz

publicado el 14 octubre 2010

Categorías: Abogados LOPD / Agencia Proteccion Datos / LOPD / Protección de Datos

Uno de los asuntos más peliagudos en materia de protección de datos de carácter personal es el cumplimiento del principio de información o más bien la acreditación que hemos informado a nuestros usuarios, clientes, etc. del uso que vamos a dar a los datos de carácter personal que nos proporcionen. A nadie se le escapa ya a estas alturas que uno de los principios básicos de la normativa es el conocimiento de la finalidad a que se van a destinar los datos, consagrado en el artículo 5.1 de la LOPD y desarrollado posteriormente por el artículo 18 del Real Decreto 1720/2007 que establece la forma de acreditación y custodia de dichos consentimientos.

Sobre el cumplimiento del principio de información es interesante y esclarecedor un informe jurídico de la Agencia Española de Protección de Datos que establece unos criterios básicos para cumplir con dicho principio de información. La Agencia comienza recordándonos que a quien le va a corresponder probar en todo caso que ha informado sobre el tratamiento de los datos es al responsable de dicho tratamiento, es decir, a la empresa, persona, asociación, etc. que haya solicitado los datos de carácter personal. Si no puede probar que ha informado estará vulnerando la normativa de protección de datos de carácter personal:

Conforme ha señalado reiteradamente la doctrina emanada de la Sala de lo Contencioso-Administrativo de la Audiencia nacional, recaerá sobre quien proceda al tratamiento de los datos la carga de acreditar que ha cumplido efectivamente con el deber impuesto por el artículo 5 de la Ley Orgánica 15/1999, del mismo modo que corresponderá a aquél la carga de la prueba del consentimiento prestado por el interesado, toda vez que sin uno u otro se produciría una vulneración de lo dispuesto en la Ley Orgánica, efectuándose un tratamiento que no cumple con los requisitos establecidos en la misma.

Y ¿Cómo podemos probar que hemos informado?

En el caso de que los datos hayan sido recabados en papel:

Ahora bien, la acreditación de la efectiva información al afectado puede llevarse a cabo no sólo mediante la aportación del documento firmado por aquél en que conste que el mismo ha sido informado, sino también mediante la existencia de indicios que de forma inequívoca permitan fundar que el interesado hubo de ser informado acerca del tratamiento de los datos de carácter personal.

En el caso de videovigilancia:

Con la inclusión de los carteles informativos puestos a disposición a tal efecto por la Agencia Española de Protección de Datos.

En el caso de páginas web:

Estas obligaciones suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o “política de protección” siendo necesario, que los afectados no puedan introducir dato alguno en la base de datos sin antes tener conciencia del citado aviso y “aceptarlo”.

Si los datos se recogen telefónicamente:

La acreditación de los requisitos exigidos por la Ley para proceder al tratamiento de datos personales, podrá hacerse a través del establecimiento de una alocución permanente grabada conservación de las cintas mientras dure el tratamiento en la que se haga referencia al tratamiento de los datos informando de los extremos contenidos en el artículo 5.1.

Y sobre el idioma en que se debe incluir la información, la Agencia recomienda:

Parece que el ofrecimiento de la información del artículo 5 de la LOPD no sólo en español, sino en un idioma ampliamente conocido como es el inglés, constituye sin duda una manera más adecuada e inequívoca de llevar a cabo la información

Sobre todo si tu público objetivo o entre tus usuarios existen una gran cantidad de personas de habla no española. La Agencia se basa para ello en dos principios  recogidos en el  Documento, adoptado en el seno del Grupo del Artículo 29, sobre la armonización del derecho a la información:

a) “Apoyo al principio de que la información proporcionada a los interesados debería utilizar un lenguaje y una presentación fáciles de entender. La comprensión por parte de los interesados constituye un objetivo importante, de manera que puedan adoptar decisiones con conocimiento de causa y dispongan del conocimiento y la comprensión necesarios para influir en las prácticas de los responsables del tratamiento de datos y de los encargados del mismo. En este contexto, es importante garantizar que la información se proporciona de manera adecuada a las personas con necesidades específicas (por ejemplo, a los niños).

b) Apoyo al concepto de un formato de múltiples niveles para los avisos destinados a los interesados. Los avisos de múltiples niveles pueden contribuir a mejorar la calidad de la información recibida sobre la protección de datos centrando cada nivel en la información que la persona necesita para comprender su posición y adoptar decisiones. En aquellos casos en que el espacio o el tiempo de comunicación sea limitado, los formatos de múltiples niveles pueden mejorar la legibilidad de los avisos”.