Una y otra vez, el RGPD da nuevas razones para discutir sobre la correcta ejecución de la protección de datos. Por ejemplo, sigue habiendo desacuerdo sobre cómo especificar específicamente los destinatarios de los datos en una declaración de privacidad.
Averigüe aquí qué opiniones se sostienen y cuál es la mejor manera de resolver el problema en su política de privacidad.
¿Qué dice el GDPR sobre nombrar a los destinatarios de los datos?
El RGPD estipula en el art. 13 I lit. e y en el art. 14 I lit. e que el interesado debe ser informado de "los destinatarios o categorías de destinatarios de los datos personales". La palabra "o" causa problemas en este caso, ya que sugiere que el responsable del tratamiento puede elegir entre especificar "encargado del tratamiento de conformidad con el art. 28 del RGPD" o "empresa xy" como destinatarios, por ejemplo. De hecho, sin embargo, hay desacuerdo entre los expertos en protección de datos sobre si el responsable del tratamiento es libre de elegir en este caso. Sobre todo, es cuestionable hasta qué punto el requisito de transparencia obliga al responsable del tratamiento a nombrar a un destinatario concreto.
¿Cómo interpretan las autoridades de supervisión el RGPD en este caso?
Incluso entre las autoridades supervisoras de la protección de datos hay desacuerdos sobre la interpretación de estas disposiciones.
El Comisario de Protección de Datos y Libertad de Información de Hesse interpreta la normativa de forma restrictiva. Los destinatarios de los datos tendrían que ser nombrados de la forma más específica posible, especialmente en el sector sanitario. La autoridad se pronuncia así a favor de la transparencia y rechaza la libre elección del responsable del tratamiento a la hora de nombrar a los destinatarios.
El Comisionado Estatal de Protección de Datos de Baja Sajonia no especifica la interpretación. Esto da la impresión de que se defiende el derecho del controlador a elegir. La misma impresión da la Conferencia de Protección de Datos (DSK), que se limita a repetir el texto de la ley en un breve documento.
¿De qué otra forma se interpreta la normativa?
El antiguo Grupo de Trabajo del Artículo 29 también se ha pronunciado. En una directriz redactada por ellos, el grupo se muestra a favor de la mayor transparencia posible, pero en contra de una obligación incondicional de nombramiento concreto. En cambio, el grupo sólo recomienda que la información se formule "con la mayor precisión posible".
¿Cómo hay que especificar los destinatarios de los datos en la práctica?
Como responsable del tratamiento de datos, la forma más segura de conducir es seguir el punto de vista más estricto. En este caso, esto significa nombrar siempre específicamente a los destinatarios de los datos. Así, la información es lo más transparente posible.
Si, en un caso concreto, la persona responsable especifica sólo una categoría de destinatarios, es aconsejable formular esta especificación de la forma más concreta posible.
¿Necesita ayuda con la redacción de su política de privacidad? Póngase en contacto con nosotros aquí nuestro equipo de expertos. Estaremos encantados de ayudarle.