Los artículos 13 y 14 del RGPD establecen que la empresa, como Responsable del Tratamiento de datos personales de trabajadores y terceros, tiene la obligación de informar de manera leal y transparente de los tratamientos de datos que se realizan en el seno de la empresa. Este deber de información se refleja principalmente en la Política de Privacidad publicada en la página web del Responsable del Tratamiento.

Toda la información que especifica la ley debe ser redactada de forma que el interesado pueda entenderla perfectamente. Como ejemplo se da la resolución del procedimiento sancionador de la Agencia Española de Protección de Datos nº PS/00047/2022, en la que se sanciona a un despacho de abogados por la cantidad de 5.000€ por “proporcionar, en la “Política de Privacidad” de la página web, información en un idioma no oficial en España, como es el inglés, además de proporcionar información insuficiente, careciendo, por ejemplo, de la identidad y los datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercitar los derechos que asisten a los usuarios, cómo y dónde ejercitarlos.”

Entre otras infracciones que destaca la resolución, el hecho de proporcionar la información en un idioma no oficial en España, en este caso el inglés, se considera que no se está dando la información a los interesados de manera clara, transparente y leal y por lo tanto, que se están infringiendo los artículos 13 y 14 del RGPD.

Cuando una sociedad realiza su actividad empresarial en España, debe de dar la información a los interesados en un idioma oficial de España, ya que estos servicios van a ser prestados a interesados que su idioma será el español o las demás lenguas oficiales del territorio. Si esta información se proporciona en inglés, el interesado español no tiene por qué entenderla, por lo tanto, la información que se está proporcionando no será clara ni transparente.

En definitiva, cuando una empresa presta sus servicios o enfoca su actividad empresarial a un determinado territorio, la información debe ser proporcionada en el idioma oficial del mismo.

Según los artículos 13 y 14 del RGPD, la Política de Privacidad debe detallar, entre otros, la siguiente información:

  • La identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante.
  • Los datos de contacto del delegado de protección de datos.
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento (cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero).
  • Los destinatarios o las categorías de destinatarios de los datos personales.
  • La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Para cualquier consulta relacionada con este tema, no dude en contactarnos en el 932 000 149 o bien en el correo rgpdnexum@elegalnexum.com. Para que su empresa o su PYME se adapte a la normativa de protección de datos o evite ser sancionado por parte de la AEPD, en ETL NEXUM podemos ayudarle.

Jon Rodríguez Senz
Protección de datos y Nuevas Tecnologías 

Artículo anterior