Una y otra vez, el RGPD da nuevas razones para discutir sobre la correcta ejecución de la protección de datos. Por ejemplo, sigue habiendo desacuerdo sobre cómo especificar específicamente los destinatarios de los datos en una declaración de privacidad.
Averigüe aquí qué opiniones se sostienen y cuál es la mejor manera de resolver el problema en su política de privacidad.
¿Qué dice el GDPR sobre nombrar a los destinatarios de los datos?
El RGPD estipula en el art. 13 I lit. e y en el art. 14 I lit. e que el interesado debe ser informado de "los destinatarios o categorías de destinatarios de los datos personales". personalizado deben comunicarse los "datos". La palabra "o" causa problemas en este caso, ya que sugiere que el responsable del tratamiento puede elegir entre especificar "encargado del tratamiento de conformidad con el artículo 28 del RGPD" o "empresa xy" como destinatario, por ejemplo. Sin embargo, los expertos en protección de datos no se ponen de acuerdo sobre si el responsable del tratamiento tiene libertad para elegir. En particular, es cuestionable hasta qué punto el requisito de transparencia obliga al responsable del tratamiento a proporcionar una designación específica.
¿Cómo interpretan las autoridades de supervisión el RGPD en este caso?
Incluso entre las autoridades supervisoras de la protección de datos hay desacuerdos sobre la interpretación de estas disposiciones.
El Comisario de Protección de Datos y Libertad de Información de Hesse interpreta la normativa de forma restrictiva. Los destinatarios de los datos tendrían que ser nombrados de la forma más específica posible, especialmente en el sector sanitario. La autoridad se pronuncia así a favor de la transparencia y rechaza la libre elección del responsable del tratamiento a la hora de nombrar a los destinatarios.
El Comisionado Estatal de Protección de Datos de Baja Sajonia no especifica la interpretación. Esto da la impresión de que se defiende el derecho del controlador a elegir. La misma impresión da la Conferencia de Protección de Datos (DSK), que se limita a repetir el texto de la ley en un breve documento.
¿De qué otra forma se interpreta la normativa?
El antiguo Grupo de Trabajo del Artículo 29 también se ha pronunciado. En una directriz redactada por ellos, el grupo se muestra a favor de la mayor transparencia posible, pero en contra de una obligación incondicional de nombramiento concreto. En cambio, el grupo sólo recomienda que la información se formule "con la mayor precisión posible".
¿Cómo hay que especificar los destinatarios de los datos en la práctica?
En Responsable del tratamiento según la ley de protección de datos lo más seguro es atenerse al punto de vista más estricto. En este caso, esto significa nombrar siempre específicamente a los destinatarios de los datos. De este modo, la información es lo más transparente posible.
Si, en un caso concreto, la persona responsable especifica sólo una categoría de destinatarios, es aconsejable formular esta especificación de la forma más concreta posible.
¿Necesita ayuda con la redacción de su política de privacidad? Póngase en contacto con nosotros aquí nuestro equipo de expertos. Estaremos encantados de ayudarle.