Siempre que se recojan, guarden, traten, usen o gestionen algún tipo de dato personal se debe mantener al usuario informado en base a la Ley Orgánica 3/2018, de 5 de diciembre de Protección de datos personales y garantía de los derechos digitales y del RGPD.

Un dato personal es toda información sobre una persona física que permita identificarla directa o indirectamente.

Puede ser un nombre, un DNI, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

La LOPD (Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de los Derechos Digitales) recoge en su artículo 11 haciendo referencia al artículo 13 del Reglamento General de Protección de Datos (RGPD) el derecho de información y transparencia por parte de los interesados en cuanto al uso de datos. Para dar respuesta a lo regulado en la Ley, los diferentes formularios existentes en la web para la recogida de este tipo de datos deben contener la información y los aspectos relativos al consentimiento e información para el usuario cuyos datos van a ser tratados. La información deberá articularse en dos capas, una capa básica o de primer nivel en la que se debe incluir, según el artículo 11 de la LOPD, al menos:

  • La identidad del responsable del tratamiento y de su representante, en su caso.
  • La finalidad del tratamiento.
  • La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento 2016/679, a saber, derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento, el derecho a la portabilidad de los datos, el derecho de oposición y las decisiones individuales automatizadas, incluida la elaboración de perfiles.

Una capa avanzada o de segundo nivel que podrá ser accesible a través de correo electrónico o con un enlace a la política de privacidad de la entidad en la que deberán recogerse los apartados contenidos en el artículo 13 del RGPD y que amplían la información contenida en la capa básica.

Los principios que se deben tener en cuenta a la hora de gestionar el tratamiento de datos personales son los siguientes:

  • Exactitud de los datos.
  • Deber de confidencialidad.
  • El tratamiento debe ser hecho en base al consentimiento del afectado. Consentimiento que debe ser expreso e inequívoco. La solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo, no pudiendo sobreentenderse el consentimiento del afectado para una pluralidad de finalidades. En este caso, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas. Debe además ser verificable, es decir, se debe poder acreditar el alta de los diferentes usuarios. Se recomienda el uso de una casilla de verificación, o similar (desmarcada por defecto) en la que se pueda otorgar el consentimiento cumpliendo con los requisitos que marca la LOPD.
  • Transparencia e información al afectado: de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y conciso.
  • Derechos de los interesados: establecidos en los artículos 15 a 22 del Reglamento 2016/679 y artículos 12 a 18 de la Ley, a saber, derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento, el derecho a la portabilidad de los datos, el derecho de oposición y las decisiones individuales automatizadas, incluida la elaboración de perfiles.

La Agencia Española de Protección de Datos ha elaborado una guía informativa relativa a las prácticas recomendadas a la hora de abordar este deber de información: https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf