Obligaciones de información en los contratos
Existe una serie de obligaciones de información que se deben incluir en los contratos, cláusulas, etc. Dichas cláusulas han de incluirse como anexo, cumpliendo así con toda la parte de información que requiere la LOPD.
Dichos derechos de información, vienen fundamentalmente en el artículo 5 de la LOPD:
“Artículo 5. Derecho de información en la recogida de datos.
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.”
Estas son las medidas de información que la LOPD quiere que se presenten a un hipotético cliente en el seno de una relación profesional donde vaya a haber una comunicación, por parte del afectado, de datos personales. Pero si el afectado-cliente comunica los datos, en dicha comunicación va implícito el consentimiento, lo cual no exime a que se presente el documento precisamente para que dicho consentimiento se entienda producido después de las oportunas obligaciones de información. Eso no quita, por supuestos, para que no se tenga la obligación de incluir el documento (cláusula de protección de datos, que se puede encontrar igualmente en esta web), ya que entonces el que requiere los datos no ha informado con la suficiente amplitud. Resultado: podría producirse un vicio en el consentimiento. En este tipo de comunicaciones se entiende implícito el consentimiento, pero se exige este deber de comunicación por escrito.
Tenemos entonces que la relación contractual entre las dos partes puede seguir adelante, y sucederá entonces que entran en juego la oportunidad por parte del que aportó los datos en su momento, de ejercer sus derechos, según el artículo 5.1: acceso, por ejemplo. Aquí también entra en juego la Agencia de Protección de Datos, ya que al ser su registro público, en ella se pueden encontrar las direcciones de todos los Responsables del Fichero y donde ejercitar dichos derechos.
El deber de información supone que se tiene que informar al afectado, a través de los extremos que a continuación se exponen, en términos tales que, permitan a este último hacerse una perfecta representación del alcance, contenido y consecuencias del suministro de los datos así como de los derechos que le asisten. Se habla de los siguientes extremos: existencia del fichero y de su tratamiento; finalidad de la recogida de los datos; destinatario de la información; carácter obligatorio o facultativo de las respuestas a las preguntas planteadas; consecuencia de la obtención de los datos o de la negativa a suministrarlos; posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y, por último, identidad y dirección del responsable del tratamiento. Si existe un incumplimiento o mal cumplimiento de esta obligación sobre algún extremo, el afectado que ha prestado su consentimiento sobre la base de un conocimiento falso, incompleto o inexacto podrá anular el mismo (es decir, podrá anular el consentimiento dado), sin perjuicio, como es natural, de las sanciones administrativas que, en su caso procedan.
En muchos ocasiones se puede presumir que muchos datos son imprescindibles en ciertos servicios prestados actualmente. Es obvio que, por ejemplo, el suministro del nombre y apellidos en una relación con una empresa de televisión por satélite, es imprescindible, o los datos bancarios. Pero eso no quita para que se produzca esta labor de información.
En Internet, igualmente, existen multitud de formularios, cuestionarios…donde de una forma automatizada se recogen datos personales y se contratan servicios. Obviamente, los deberes de información a los que se hace referencia en el artículo 5.1 deben de existir. Sin embargo, la obligación ha de extenderse a cualquier documento, automatizado o no, donde se requiera datos personales a un hipotético cliente, y que dichos datos vayan a estar en soporte automatizado.
Además, según el artículo 42.2 d) de la Ley es infracción leve la recogida de los datos de carácter personal de los propios afectados sin proporcionarles la información del artículo 5 que se comenta. Si la recogida se hace directamente del interesado, el incumplimiento constituye infracción leve. Si los datos han sido recabados de persona distinta del afectado, el incumplimiento del deber de información posterior constituye en infracción grave.