Navegaci贸n
RGPD > Art铆culo聽12. Transparencia de la informaci贸n, comunicaci贸n y modalidades de ejercicio de los derechos del interesado
Descargar PDF

Art铆culo聽12 RGPD. Transparencia de la informaci贸n, comunicaci贸n y modalidades de ejercicio de los derechos del interesado

Article 12 GDPR. Transparent information, communication and modalities for the exercise of the rights of the data subject

1. El responsable del tratamiento tomar谩 las medidas oportunas para facilitar al interesado toda informaci贸n indicada en los art铆culos聽13 y聽14, as铆 como cualquier comunicaci贸n con arreglo a los art铆culos聽15 a聽22 y聽34 relativa al tratamiento, en forma concisa, transparente, inteligible y de f谩cil acceso, con un lenguaje claro y sencillo, en particular cualquier informaci贸n dirigida espec铆ficamente a un ni帽o. La informaci贸n ser谩 facilitada por escrito o por otros medios, inclusive, si procede, por medios electr贸nicos. Cuando lo solicite el interesado, la informaci贸n podr谩 facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

1. The controller shall take appropriate measures to provide any information referred to in Articles聽13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.

Ley de Directrices y caso Considerandos

(58) El principio de transparencia exige que toda informaci贸n dirigida al p煤blico o al interesado sea concisa, f谩cilmente accesible y f谩cil de entender, y que se utilice un lenguaje claro y sencillo, y, adem谩s, en su caso, se visualice. Esta informaci贸n podr铆a facilitarse en forma electr贸nica, por ejemplo, cuando est茅 dirigida al p煤blico, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferaci贸n de agentes y la complejidad tecnol贸gica de la pr谩ctica hagan que sea dif铆cil para el interesado saber y comprender si se est谩n recogiendo, por qui茅n y con qu茅 finalidad, datos personales que le conciernen, como es en el caso de la publicidad en l铆nea. Dado que los ni帽os merecen una protecci贸n espec铆fica, cualquier informaci贸n y comunicaci贸n cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea f谩cil de entender.

(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.

Textos enlazados

2. El responsable del tratamiento facilitar谩 al interesado el ejercicio de sus derechos en virtud de los art铆culos聽15 a聽22. En los casos a que se refiere el art铆culo聽11, apartado聽2, el responsable no se negar谩 a actuar a petici贸n del interesado con el fin de ejercer sus derechos en virtud de los art铆culos聽15 a聽22, salvo que pueda demostrar que no est谩 en condiciones de identificar al interesado.

2. The controller shall facilitate the exercise of data subject rights under Articles聽15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 12(2) GDPR:

7.3.1 Determining and fulfilling obligations to PII principals

Control

The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.


para acceder al texto completo

Ley de Directrices y caso Considerandos

(59) Deben arbitrarse f贸rmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificaci贸n o supresi贸n, as铆 como el ejercicio del derecho de oposici贸n. El responsable del tratamiento tambi茅n debe proporcionar medios para que las solicitudes se presenten por medios electr贸nicos, en particular cuando los datos personales se tratan por medios electr贸nicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilaci贸n indebida y a m谩s tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.

(64) El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en l铆nea y los identificadores en l铆nea. El responsable no debe conservar datos personales con el 煤nico prop贸sito de poder responder a posibles solicitudes.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

Textos enlazados

3. El responsable del tratamiento facilitar谩 al interesado informaci贸n relativa a sus actuaciones sobre la base de una solicitud con arreglo a los art铆culos聽15 a聽22, y, en cualquier caso, en el plazo de un mes a partir de la recepci贸n de la solicitud. Dicho plazo podr谩 prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el n煤mero de solicitudes. El responsable informar谩 al interesado de cualquiera de dichas pr贸rrogas en el plazo de un mes a partir de la recepci贸n de la solicitud, indicando los motivos de la dilaci贸n. Cuando el interesado presente la solicitud por medios electr贸nicos, la informaci贸n se facilitar谩 por medios electr贸nicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

3. The controller shall provide information on action taken on a request under Articles聽15 to聽22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

Textos enlazados

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informar谩 sin dilaci贸n, y a m谩s tardar transcurrido un mes de la recepci贸n de la solicitud, de las razones de su no actuaci贸n y de la posibilidad de presentar una reclamaci贸n ante una autoridad de control y de ejercitar acciones judiciales.

4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

5. La informaci贸n facilitada en virtud de los art铆culos聽13 y聽14 as铆 como toda comunicaci贸n y cualquier actuaci贸n realizada en virtud de los art铆culos聽15 a聽22 y聽34 ser谩n a t铆tulo gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su car谩cter repetitivo, el responsable del tratamiento podr谩:

5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:

Textos enlazados

a) cobrar un canon razonable en funci贸n de los costes administrativos afrontados para facilitar la informaci贸n o la comunicaci贸n o realizar la actuaci贸n solicitada,聽o

(a)聽charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or

b) negarse a actuar respecto de la solicitud.

(b)聽refuse to act on the request.

El responsable del tratamiento soportar谩 la carga de demostrar el car谩cter manifiestamente infundado o excesivo de la solicitud.

The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

6. Sin perjuicio de lo dispuesto en el art铆culo聽11, cuando el responsable del tratamiento tenga dudas razonables en relaci贸n con la identidad de la persona f铆sica que cursa la solicitud a que se refieren los art铆culos聽15 a聽21, podr谩 solicitar que se facilite la informaci贸n adicional necesaria para confirmar la identidad del interesado.

6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

Textos enlazados

7. La informaci贸n que deber谩 facilitarse a los interesados en virtud de los art铆culos聽13 y聽14 podr谩 transmitirse en combinaci贸n con iconos normalizados que permitan proporcionar de forma f谩cilmente visible, inteligible y claramente legible una adecuada visi贸n de conjunto del tratamiento previsto. Los iconos que se presenten en formato electr贸nico ser谩n legibles mec谩nicamente.

7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

Textos enlazados

8. La Comisi贸n estar谩 facultada para adoptar actos delegados de conformidad con el art铆culo聽92 a fin de especificar la informaci贸n que se ha de presentar a trav茅s de iconos y los procedimientos para proporcionar iconos normalizados.

8. The Commission shall be empowered to adopt delegated acts in accordance with Article聽92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons.

Textos enlazados
Comentario de expertos ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
Comentario de expertos
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 12 GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.


para acceder al texto completo

Considerandos

(58) El principio de transparencia exige que toda informaci贸n dirigida al p煤blico o al interesado sea concisa, f谩cilmente accesible y f谩cil de entender, y que se utilice un lenguaje claro y sencillo, y, adem谩s, en su caso, se visualice. Esta informaci贸n podr铆a facilitarse en forma electr贸nica, por ejemplo, cuando est茅 dirigida al p煤blico, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferaci贸n de agentes y la complejidad tecnol贸gica de la pr谩ctica hagan que sea dif铆cil para el interesado saber y comprender si se est谩n recogiendo, por qui茅n y con qu茅 finalidad, datos personales que le conciernen, como es en el caso de la publicidad en l铆nea. Dado que los ni帽os merecen una protecci贸n espec铆fica, cualquier informaci贸n y comunicaci贸n cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea f谩cil de entender.

(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.

(59) Deben arbitrarse f贸rmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificaci贸n o supresi贸n, as铆 como el ejercicio del derecho de oposici贸n. El responsable del tratamiento tambi茅n debe proporcionar medios para que las solicitudes se presenten por medios electr贸nicos, en particular cuando los datos personales se tratan por medios electr贸nicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilaci贸n indebida y a m谩s tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.

(64) El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en l铆nea y los identificadores en l铆nea. El responsable no debe conservar datos personales con el 煤nico prop贸sito de poder responder a posibles solicitudes.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

Ley de Directrices y caso Deja un comentario
[js-disqus]