510 - ¿Tienen derecho los interesados a ser informados sobre el tratamiento de sus datos personales?

En base a lo dispuesto por el art. 11.2 de la LOPDGDD, los interesados tienen derecho a ser informados de los datos relativos a su persona, los cuáles deben ser facilitados por el responsable.

1. Respecto a los datos personales obtenidos del interesado 

Con máximo respecto al principio de transparencia y lealtad en el tratamiento de datos, y siguiendo con el derecho de información y acceso, el artículo 13 del RGPD incorpora una relación de datos que deben ser facilitados al interesado en el momento de obtener los datos personales relativos a su persona, a no ser que ya se disponga de esa información:

• La identidad y los datos de contacto del responsable y, en su caso, de su representante.
• Cuando sea el caso, los datos de contacto del delegado de protección de datos. 
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
• Si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o tercero, siempre sin prevalecer los intereses o libertades del interesado, especialmente si es un niño, debe informarse de tales intereses.
• Los destinatarios o las categorías de destinatarios de los datos personales.
• La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión Europea, o, en el caso de las transferencias mediante garantías adecuadas o normas corporativas vinculantes (artículos 46 o 47 del RGPD) o con motivo de las excepciones para situaciones específicas que recoge el artículo 49, apartado 1, párrafo segundo del RGPD, con referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición.
• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo. 

Para la determinación del plazo, el responsable tendrá en cuenta la especialidad de la materia para la que son necesarios esos datos. Así el artículo 1964, apartado 2, del Código Civil establece como norma que las acciones personales que no tengan plazo especial prescriben a los 5 AÑOS desde que pueda exigirse el cumplimiento de la obligación y una vez que se incumplan.

A modo de ejemplo: en materias tributaria, como puede ser documentación sobre el IVA e IRPF, conforme a la LGT, lo correcto es almacenar los datos por un plazo, al menos, de 4 años; en materia de seguridad social: 5 años; en materia de prevención de blanqueo de capitales, al menos, 10 años; o 5 años como plazo general para la conservación de los expedientes.... (véase, entre otros, el artículo 25 de la LPBC).

• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a) o en el artículo 9, apartado 2, letra a), del RGPD —consentimiento del interesado—, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. 
• El derecho a presentar una reclamación ante una autoridad de control (como la AEPD, la APDCAT en Cataluña, la AVPD en el País Vasco o el CTPD en Andalucía). 
• Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos. 
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, del RGPD e información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
• Si se diera un tratamiento posterior de datos distinto para el que fueron obtenidos, el responsable, previamente a ello, debe proporcionar al interesado información sobre ese otro fin y cualquier información adicional pertinente, de la mencionada anteriormente.

El artículo 11, apartado 2, de la LOPDGDD dispone respecto a la información básica que ha de facilitar el responsable, que esta debe contener:

• La identidad del responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD:
  • Acceso.
  • Rectificación.
  • Supresión (olvido).
  • Limitación del tratamiento.
  • Notificación relativa a la rectificación o supresión de datos personales o limitación del tratamiento.
  • Portabilidad de datos.
  • Oposición.
  • Decisiones individuales automatizadas.
  • Elaboración de perfiles. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, conforme a lo previsto en el artículo 22 del RGPD.

2. Datos que no han sido obtenidos del interesado

Con el respecto máximo a la transparencia y a la lealtad, cuando los datos personales no hayan sido obtenidos del interesado, el artículo 14 del RGPD dispone que el responsable del tratamiento debe facilitarle, además de la referida en el artículo 13 del RGDP, la siguiente información:

• Las categorías de datos personales de que se trate.
• La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.

Respecto a esta información también indica que ha de ser facilitada:

• Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
• Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
• Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

Lo expuesto en las líneas anteriores no se aplicará siempre que el interesado ya disponga de esa información, o tal comunicación resulte o suponga un esfuerzo desproporcionado —especial atención si tiene finalidades de archivo en interés público—, o que tal comunicación esté expresamente establecida por el derecho, o los datos deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional.

CUESTIONES

1. Tras la lectura de  las pautas que regulan el derecho a ser informado del interesado, ¿qué datos puedo darle a mi cliente?

No habría lugar a dudas para los casos en que sean datos personales obtenidos del interesado, como indica el artículo 13 del RGPD. No obstante, para los supuestos de datos que no se obtengan de la persona del interesado (artículo 14 del RGPD), confluye el respeto al deber de secreto profesional.

Son los artículos 21 y 22 del EGAE los que regulan esta obligación en el ámbito profesional de la abogacía y procura. 

Así mismo, ya el Código Deontológico de la Abogacía Española, en su artículo 5, se encargó de regular el secreto profesional de la abogacía, con referencia a la LOPJ, en concreto su artículo 542, que suscribe: «Los abogados deberán guardar secreto de todos los hechos o noticias de que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligados a declarar sobre los mismos».

2. ¿Hasta dónde alcanza el deber de secreto profesional?

El secreto profesional supone el deber de guardar secreto sobre los datos del cliente y también el rechazo de otros encargos o actividades que supongan su vulneración. El artículo 12, apartado a), 5 del Código Deontológico de la Abogacía indica que «comprende la abstención o cesación en la intervención cuando surjan discrepancias con el cliente, que deviene obligatoria cuando concurran circunstancias que puedan afectar a su libertad e independencia en la defensa o asesoramiento, a la preservación del secreto profesional o comporten objetivamente un conflicto de intereses».

Se complementa a su vez con el deber de confidencialidad que el artículo 5 de la LOPDGDD establece y que ordena que permanecerá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento y que el artículo 5, apartado 1, f) del RGPD estipula como un principio que ha de regir el tratamiento de datos personales. 

No obstante, el Tribunal Constitucional se pronunció respecto al derecho de la intimidad, que se vincula de manera inevitable al deber de secreto o confidencialidad ya que con él se blinda la protección de datos que son intrínsecos a la persona del interesado, y ha dispuesto al respecto que sí habrá un límite y es la presencia de exigencias públicas o lo que puede traducirse como interés público y que ya el propio RGPD y la LOPDGDD han contemplado a tal efecto:

STC n.º 57/1994, de 28 de febrero, ECLI:ES:TC:1994:57: «(...) aun tratándose ya de actuaciones que afecten al ámbito protegido, la intimidad personal puede llegar a ceder en ciertos casos y en cualquiera de sus diversas expresiones ante exigencias públicas, pues no es éste un derecho de carácter absoluto (...)».

3. La vulneración del deber de confidencialidad, ¿supone alguna amonestación?

Como recoge el artículo 125 del EGAE, la infracción de los deberes de confidencialidad supone la comisión de una infracción grave por parte del profesional de la abogacía, pudiendo imponerse sanción consistente en la suspensión del ejercicio de la Abogacía entre 15 días y un año o multa pecuniaria por importe de entre 1.001 y 10.000 euros. 

Añade el artículo 11, apartado 3, de la LOPDGDD que, el responsable, en estos casos, puede dar cumplimiento al deber de información facilitando al interesado la información básica señalada en este mismo artículo, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información, y que debe incluir:

• Las categorías de datos objeto de tratamiento.
• Las fuentes de las que procedieran los datos.

En estrecha relación con lo anterior, también debe acudirse al Código Deontológico de la Abogacía Española, en concreto a su artículo 12 que regula sobre las relaciones con los clientes, y su apartado b), número 3 indica:  

«En todo caso, se pondrá especial atención en efectuar las correspondientes advertencias al cliente en lo que respecta a la normativa sobre prevención del blanqueo de capitales y la obligación de suministrar datos, en determinadas circunstancias, a las autoridades tributarias o las derivadas de la legislación sobre protección de datos de carácter personal».

CUESTIONES

1. Si se incumple con el deber de información, ¿qué consecuencias puede tener para el abogado o procurador como responsable del tratamiento?

La LOPDGDD, en su artículo 74, condena el incumplimiento del principio de transparencia de la información o el derecho de la información del afectado si no se facilita toda la exigida en los artículos 13 y 14 del RGPD, como una infracción leve.

2. Si como responsable del tratamiento se me condena por una infracción leve por infringir mis obligaciones de los artículos 13 y 14 del RGPD, ¿cuáles son los plazos de prescripción? ¿A qué tipo de sanción puedo verme enfrentado?

El artículo 74 de la LOPDGDD recoge un plazo de prescripción de un año para las infracciones leves. Este plazo puede ser interrumpido por la iniciación, con conocimiento del interesado, del procedimiento sancionador, y se reiniciará cuando el expediente esté parado duramente más de seis meses por causas no imputables al presunto infractor.

Si fuera la AEPD la autoridad de control y deba seguirse un proceso de cooperación (art. 60 del RGPD), el plazo se interrumpirá por el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas. 

Para este tipo de infracciones, el artículo  83, apartado 5, del RGPD contempla multas administrativas de hasta 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

La cuantía de la multa se graduará conforme a las circunstancias que el apartado 2 del citado precepto recoge, como pueden ser: negligencia o intencionalidad, medidas adoptadas por el responsable o encargado para paliar los daños sufridos por los interesados, la adopción de medidas técnicas u organizativas, otras infracciones cometidas anteriormente, adhesión a códigos de conducta o mecanismos de certificación, grados de cooperación, la categoría de los datos afectados, grado de cooperación, forma en que la autoridad de control tuvo conocimiento de la infracción, si esta fue notificada...

3. ¿Prescriben las sanciones?

Sí, ya que el artículo 78 de la LOPDGDD indica que prescriben las sanciones, computando el plazo desde el día siguiente a aquel en que sea ejecutable la resolución que impone la sanción y no se haya recurrido, siguiendo estas normas:

- Sanciones igual o menos a 40.000 euros: 1 año.

- Sanciones entre 40.001 euros y 300.000 euros: 2 años.

- Sanciones de más de 300.000 euros: 3 años.

Esta prescripción se interrumpe por iniciación, con conocimiento del interesado, del proceso de ejecución, transcurriendo el plazo de nuevo si está paralizado más de seis meses por causa no imputable al infractor.