1360 - Derecho de transparencia de la información, comunicación y modalidades de ejercicio de los diferentes derechos del interesado en las redes sociales

Artículo 12 del RGPD

«1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, sin dilación indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados».

En relación con lo anterior, la resolución n.º R/00214/2021 de la Agencia Española de Protección de datos (AEPD), en relación con el responsable del tratamiento, especifica lo siguiente:

«De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado. La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo».

CUESTIONES

1. ¿Cuáles son los derechos regulados en los artículos 15 a 22 del RGPD?

Los derechos regulados en el RGPD son los siguientes:

- Derecho de acceso del interesado (art. 15 del RGPD).

- Derecho de rectificación (art. 16 del RGPD).

- Derecho de supresión (art. 17 del RGPD).

- Derecho a la limitación del tratamiento (art. 18 del RGPD).

- Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (art. 19 del RGPD).

- Derecho a la portabilidad de los datos (art. 20 del RGPD).

- Derecho de oposición (art. 21 del RGPD).

- Decisiones individuales automatizadas, incluida la elaboración de perfiles (art. 22 del RGPD).

2. ¿Deberá comunicarse una violación de la seguridad de los datos personales al interesado?

En virtud de lo dispuesto en el artículo 34 del RGPD:

«Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida».

Además, la referida comunicación al interesado, «describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d)»; estas son:

- Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

- Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

- Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si bien, no será necesaria si se cumple alguna de las premisas siguientes:

- El responsable del tratamiento de datos ha adoptado medidas de protección técnicas y organizativas adecuadas, y las mismas se han aplicado a datos personales afectados por la violación de seguridad, en concreto, las que hagan ininteligibles los datos personales para las personas no autorizadas a acceder a ellos, por ejemplo, el cifrado.

- El responsable del tratamiento de datos ha adoptado medidas ulteriores para garantizar que no existe la probabilidad de que se concrete un alto riesgo para los derechos y libertades del interesado del apartado primero del artículo 34 del RGPD.

- Constituya un esfuerzo desproporcionado, en dicho caso, se escogerá una comunicación pública o una medida similar mediante la cual se informe de manera igualmente efectiva a los interesados.

Para concluir, cuando el responsable del tratamiento de datos «todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3».

3. ¿Qué sucederá en los casos en los que el tratamiento no requiere identificación?

Cuando los fines para los cuales un responsable trata los datos personales no requieren o ya no requieren la identificación de un interesado (artículo 11.2 del RGPD):

«(...) el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación».

4. ¿A qué condiciones estarán sometidos los poderes para adoptar actos delegados otorgados a la Comisión?

Según lo establecido en el artículo 92 del RGPD, los poderes para adoptar actos delegados otorgados a la Comisión estarán sujetos a las siguientes condiciones:

- La delegación de poderes del artículo 12.8 del RGPD y del artículo 43.8 del RGPD se otorgará a la Comisión por tiempo indefinido a partir del 24 de mayo de 2016.

- La citada delegación de poderes podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo.

- En el momento en que la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

- Los actos delegados, adoptados a tenor del artículo 12.8 del RGPD y del artículo 43.8 del RGPD, únicamente entrarán en vigor si, en el plazo de tres meses desde su notificación al Parlamento Europeo y al Consejo, ninguno de ellos realiza objeciones o si, antes del vencimiento del referido plazo, ambos informan a la Comisión de su intención de no formularlas.