Artículo 12 📖 RGPD. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

Artículo 12 RGPD. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

Ley de Directrices y caso Considerandos Textos enlazados

Ley de Directrices y caso

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.

Considerandos

(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.

Textos enlazados

Artículo 13 RGPD. Información que deberá facilitarse cuando los datos personales se obtengan del interesado

Artículo 14 RGPD. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

Artículo 15 RGPD. Derecho de acceso del interesado

Artículo 16 RGPD. Derecho de rectificación

Artículo 17 RGPD. Derecho de supresión («el derecho al olvido»)

Artículo 18 RGPD. Derecho a la limitación del tratamiento

Artículo 19 RGPD. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

Artículo 20 RGPD. Derecho a la portabilidad de los datos

Artículo 21 RGPD. Derecho de oposición

Artículo 22 RGPD. Decisiones individuales automatizadas, incluida la elaboración de perfiles

Artículo 34 RGPD. Comunicación de una violación de la seguridad de los datos personales al interesado

Grupo de Trabajo del artículo 29 Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679

“Concisa, transparente, inteligible y de fácil acceso”

El requisito de que el suministro de información a los interesados, así como las comunicaciones con estos, se haga en forma “concisa y transparente” implica que los responsables del tratamiento deben presentar la información o comunicación de manera eficiente y sucinta para evitar la fatiga informativa. Esta información debe diferenciarse claramente de otra información no relacionada con la privacidad, como las disposiciones contractuales o las condiciones generales de uso. En un contexto en línea, el uso de una declaración/aviso de privacidad por niveles permitirá que los interesados naveguen hasta la sección específica de la declaración/aviso de privacidad a la que desean acceder inmediatamente, en lugar de tener que desplazarse por grandes cantidades de texto en busca de aspectos concretos.

El elemento “de fácil acceso” implica que el interesado no debe tener que buscar la información, sino que debe poder reconocer inmediatamente dónde y cómo acceder a esta información, por ejemplo, facilitándosela directamente, incluyendo un enlace a la misma, señalándola claramente o en forma de respuesta a una pregunta en lenguaje natural (p. ej., en una declaración/aviso de privacidad en línea estructurado en niveles, en la sección de preguntas frecuentes, mediante ventanas emergentes contextuales que se activen cuando un interesado rellena un formulario en línea, o en un contexto digital interactivo a través de una interfaz de diálogo, etc. Estos mecanismos se tratan en más detalle a continuación, entre otros en los apartados 33 a 40).

“Lenguaje claro y sencillo”

En el caso de la información “escrita” (y cuando la información escrita se comunique verbalmente, o mediante métodos auditivos o audiovisuales, también para interesados con problemas de visión), han de seguirse las mejores prácticas para escribir con claridad.[11] El legislador de la UE ya ha utilizado previamente un requisito lingüístico similar (apelando al uso de “términos claros y comprensibles”) y también aparece explícitamente mencionado en el contexto del consentimiento en el considerando 42 del RGPD[13]. La obligación de utilizar un lenguaje claro y sencillo implica que la información debe facilitarse de la forma más simple posible, evitando oraciones y estructuras lingüísticas complejas. La información debe ser concreta y categórica; no debe formularse en términos abstractos o ambivalentes ni dejar margen para distintas interpretaciones. En concreto, los fines y la base jurídica del tratamiento de los datos personales deben ser claros.

“Por escrito o por otros medios”

Obviamente, el uso de declaraciones/avisos de privacidad digitales estructurados en niveles no es el único medio electrónico escrito del que pueden valerse los responsables del tratamiento. Otros medios electrónicos pueden ser avisos emergentes contextuales “justo a tiempo” avisos mediante 3D Touch o que aparezcan al posar el cursor, así como paneles de privacidad. Entre los medios electrónicos no escritos que se pueden utilizar además de una declaración/aviso de privacidad por niveles se incluyen los vídeos y las alertas de voz para teléfonos inteligentes o dispositivos de la internet de las cosas.[25] Entre los “otros medios”, no necesariamente electrónicos, se incluyen, por ejemplo, dibujos animados, infografías o diagramas de flujo. Cuando la información sobre transparencia esté dirigida específicamente a niños, los responsables del tratamiento deben examinar qué tipos de medidas podrían ser especialmente accesibles para los niños (p. ej., podría tratarse de cómics, dibujos animados, pictogramas, animaciones, etc., entre otras medidas).

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

ISO 27701 Ley de Directrices y caso Considerandos Textos enlazados

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 12(2) GDPR:

7.3.1 Determining and fulfilling obligations to PII principals

Control

The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.

…

Iniciar sesión
para acceder al texto completo

Ley de Directrices y caso

(EN)

Documents

Spanish Data Protection Agency (AEPD), Guide on use of cookies (2021).

Considerandos

(59) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(64) El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes.

Textos enlazados

Artículo 15 RGPD. Derecho de acceso del interesado

Artículo 16 RGPD. Derecho de rectificación

Artículo 17 RGPD. Derecho de supresión («el derecho al olvido»)

Artículo 18 RGPD. Derecho a la limitación del tratamiento

Artículo 19 RGPD. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

Artículo 20 RGPD. Derecho a la portabilidad de los datos

Artículo 21 RGPD. Derecho de oposición

Artículo 22 RGPD. Decisiones individuales automatizadas, incluida la elaboración de perfiles

Artículo 11 RGPD. Tratamiento que no requiere identificación

[…]

2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

Textos enlazados

Artículo 15 RGPD. Derecho de acceso del interesado

Artículo 16 RGPD. Derecho de rectificación

Artículo 17 RGPD. Derecho de supresión («el derecho al olvido»)

Artículo 18 RGPD. Derecho a la limitación del tratamiento

Artículo 19 RGPD. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

Artículo 20 RGPD. Derecho a la portabilidad de los datos

Artículo 21 RGPD. Derecho de oposición

Artículo 22 RGPD. Decisiones individuales automatizadas, incluida la elaboración de perfiles

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

Textos enlazados

Artículo 13 RGPD. Información que deberá facilitarse cuando los datos personales se obtengan del interesado

Artículo 14 RGPD. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

Artículo 15 RGPD. Derecho de acceso del interesado

Artículo 16 RGPD. Derecho de rectificación

Artículo 17 RGPD. Derecho de supresión («el derecho al olvido»)

Artículo 18 RGPD. Derecho a la limitación del tratamiento

Artículo 19 RGPD. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

Artículo 20 RGPD. Derecho a la portabilidad de los datos

Artículo 21 RGPD. Derecho de oposición

Artículo 22 RGPD. Decisiones individuales automatizadas, incluida la elaboración de perfiles

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

Textos enlazados

Artículo 11 RGPD. Tratamiento que no requiere identificación

Artículo 15 RGPD. Derecho de acceso del interesado

Artículo 16 RGPD. Derecho de rectificación

Artículo 17 RGPD. Derecho de supresión («el derecho al olvido»)

Artículo 18 RGPD. Derecho a la limitación del tratamiento

Artículo 19 RGPD. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

Artículo 20 RGPD. Derecho a la portabilidad de los datos

Artículo 21 RGPD. Derecho de oposición

7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

Textos enlazados

Artículo 13 RGPD. Información que deberá facilitarse cuando los datos personales se obtengan del interesado

Artículo 14 RGPD. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.

Textos enlazados

Artículo 92 RGPD. Ejercicio de la delegación

Reglamento general de protección de datos (RGPD)

Comentario de expertos ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario

Comentario de expertos

(EN) Different provisions of the General Data Protection Regulation provide for obligations to inform data subjects – the legal term designating common people – about the processing of their personal information. Controllers – the persons who control the processing of personal data – have to conform to certain requirements regarding how they provide the information to the data subjects, whether beforehand in a privacy notice available to the general public or when they reply to an individual request.

Article 12 addresses first the form of the information that must be provided. It must be communicated “in a concise, transparent, intelligible, and easily accessible form”. The provision further states that controllers should use “clear and plain language” in their communication. All these adjectives seem self-explanatory, but they deserve a closer look to clarify their actual meaning in the context of data protection laws.

Conciseness refers to the fact that the information must be presented briefly but also in a comprehensive manner. Controllers may have a large amount of information to provide to a person depending on the nature of the request, but they have to present it succinctly nonetheless. The principle can be translated in the manner that the information is physically presented and structured (see below). Excluding irrelevant, redundant, or unnecessary information is another way to keep the communication “concise”.

Transparency is one of the key principles of the GDPR [Article 5(1)(a), recital 39, and Guidelines on Transparency]. It must be regarded as a general obligation encompassing openness, honesty, and truthfulness. A company must proactively divulge all the necessary information about how it processes personal data or communicate it when asked for. It should not hide information nor try to bury down important details. The information must be accessible first-handed or freely transmitted when requested.

Intelligibility means that privacy-related information must be comprehensible. The concept overlaps other principles but the main idea is that the information must be easy to understand (recitals 39 and 58) and presented in a form adapted to the audience (adults, children, professionals, special context, etc.). The writing style should be simple, easily accessible words should be preferred and complex terms should be explained. The information communicated should be straightforward, avoid any ambiguity, and leave no room to interpretation.

Ease of access implies that data protection information should be easy to access. The way the information is provided should be adapted to the context or platform where it is presented. A link to the privacy policy can be prominently presented at the bottom of an email or displayed where people usually look for it on a website, in the footer, for example. It should not be hidden in a counterintuitive menu in an application where users will never think to look for it. As a rule of thumb, information about privacy in an application should never be more than “two taps away”, according to the Guidelines on Transparency.

Using clear and plain language coincides with the intelligibility principle. The language used must be adapted and tailored to the audience. Basic and easy to understand words must be preferred. Complex legal terminology should be avoided and if necessary should be clarified. Sentences and paragraphs should be short and the language structure should be kept as simple as possible (Guidelines on Transparency). Special attention must be given to that point when controllers address children (recital 58). The language used should be easily understandable to a child (see our commentary under Article 8).

Information in line with these requirements must be transmitted in “writing” or by any “other means”. The chosen mean depends on the targeted audience and it includes electronic forms such as applications or websites (recital 58). It might be provided, if adapted to the situation, through cartoons, infographics, or flowcharts (Guidelines on Transparency). Another means of providing the information is through a secure “self-service system” which would give an individual access to her/his data (recital 63). Information can even be communicated orally if requested so, provided that the data subject proves her/his identity by other means.

The form and structure of the information are also addressed by the European regulation. Privacy-related information must be clearly differentiated from other legal information such as the general terms of use (Guidelines on Transparency). It can be separated into different logic paragraphs, each one of them preceded with a heading stating its actual content. It is sometimes referred to as the “layered” approach in European documentation. The use of headings, bullets, or indents to logically structure the document – whether it is a privacy notice or an answer to a request – is a pragmatic answer to a legal obligation.

Access to information should be facilitated by controllers. They should maintain mechanisms (recital 59) through which data subjects can exercise their rights (Articles 15 to 22), receive information – where personal data are collected from them (Article 13) or obtained from third parties (Article 14) – or be informed of data breaches (Article 34). The information obligation extends to situations where the exchange of data takes place between two administrative bodies (CJEU, Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate).

Facilitating access to information can be done by resorting to a standard form. It could ease the formulation of a request by the data subject, but also the work of the controller who will receive a structured message with the needed information to process the request. It has to be noted that the use of the form cannot be made mandatory, as any other forms of requests are valid (orally, by email, through a letter, etc.).

Controllers must act quickly on data subjects’ requests. Article 12(3) imposes strict delays to provide the information requested or inform data subjects on action taken upon their request. The general rule is that controllers should proceed “without undue delay”, but the GDPR does not define the expression. It must be understood as “as soon as possible”, but at least within a calendar month after receiving the request.

Exceptionally, the period may be extended by two further months. It is possible only if the request is complex or there are many requests to be answered at the same time. The controller in such an event has to inform the data subject within the initial period of one month of her/his intention of prolonging the delay. The computation of the delay starts the day the request is received or, if applicable, after getting the confirmation of the identity of the person requesting the information or the payment of the fee.

There are circumstances where controllers may refuse to answer a request (recital 59). If they deny the request, they have to inform the data subject in the same delays mentioned above of the reasons why they refuse to act. They must also notify the data subject of the possibility of lodging a complaint with a supervisory authority or seeking a judicial remedy.

A request can be denied if it “manifestly unfounded or excessive” [Article 12 (5)]. It can be the case, for example, when a data subject made repetitive requests over a short period of time. It can also happen if the person is making a request simply to get something in return from the organization or the individual is using data protection laws to harass the organization. The adjective “manifestly” used in the GDPR means that the request must be clearly or obviously excessive or unfounded. The burden to demonstrate that the request is “manifestly” excessive or unfounded rests on the controller’s shoulders.

It would be a better option to open a dialogue with the data subject than refusing to act on the request. A request may seem excessive or unfounded simply because it is not correctly formulated or the data subject does not fully understand her/his rights. Controllers may ask for additional details, for example, to help find the requested information. A refusal to act should be kept for extreme cases to make sure that the controller does not expose herself/himself to sanctions.

Every request should be answered free of charge [Article 12 (5) and recital 59]. A reasonable fee – based on the administrative costs necessary to provide the answer – may be imposed only in cases where the demand is deemed excessive. A data subject’s request will not be deemed excessive if s/he wants to receive additional copies of information already provided, but a fee can be charged in these circumstances. The data subject should be informed about the amount payable and the controller has the right to wait until the payment is cleared before providing the information.

If the controller has a “reasonable doubt” about the identity of the person making the request, s/he may require additional information to confirm that s/he is replying to the right person. The requested information should be proportionate to the aim of completing the identification of the person and not go beyond what is necessary to do so.

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 12 GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

…

Iniciar sesión
para acceder al texto completo

Considerandos