Amb l'RGPD, s'incrementa la informació que haurà de facilitar-se a l'interessat quan les dades es recullin d'aquest. En el capítol III –Drets de l'interessat– i, en concret, en els articles 12 i 13, l'RGPD desenvolupa àmpliament la normativa reguladora de la «Transparència de la informació, la comunicació i les modalitats d'exercici dels drets de l'interessat» (article 12) i ordenadora de la «Informació que haurà de facilitar-se quan les dades personals s'obtinguin de l'interessat» (article 13).
D'aquesta manera, i segons l'RGPD, el responsable del tractament haurà d'informar dels aspectes següents:
- Identitat i dades de contacte del responsable i, si escau, del seu representant;
- Dades de contacte del delegat de protecció de dades;
- Fins i base jurídica del tractament;
- Interessos legítims del responsable o d'un tercer;
- Destinataris o categories de destinataris de les dades personals;
- Transferències internacionals previstes;
- Termini de conservació;
- Drets d'accés, rectificació o supressió, limitació del tractament, oposició i portabilitat;
- Possibilitat de revocació del consentiment;
- Dret a presentar una reclamació davant una autoritat de control;
- En cas que la comunicació de dades personals sigui obligatòria, s'ha d'informar de les possibles conseqüències en cas que no es facilitar les dades;
- Informació sobre la possible existència de decisions automatitzades, incloent-hi l'elaboració de perfils, la lògica aplicada i les conseqüències previstes.
Per facilitar el compliment d'aquest dret d'informació, l'AEPD, en col·laboració amb l'Agència Basca de Protecció de Dades i l'Autoritat Catalana de Protecció de Dades, ha publicat la Guia per al compliment del deure d'informar, en què s'especifica que, quan les dades personals es recullen dels interessats, es pot facilitar la informació per capes, de manera que es distingeix entre una informació bàsica (primer nivell) i una informació addicional (segon nivell):
Imatge 1. Taula obtinguda de la Guia per al compliment del deure d'informar
La justificació jurídica pràctica de la denominada «informació per capes» es troba en l'exigència necessària de claredat, concisió i fàcil accés a la informació. Té els objectius de comprensió, transparència i adequació al tipus de tractament de dades que du a terme el responsable del tractament. Aquesta informació per capes ha estat recollida en l'article 11 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD):
Article 11. Transparència i informació a l'afectat.
1. Quan les dades personals siguin obtingudes de l'afectat, el responsable del tractament podrà complir el deure d'informació que s'estableix en l'article 13 del Reglament (UE) 2016/679 facilitant a l'afectat la informació bàsica a què es refereix l'apartat següent i indicant-li una adreça electrònica o un altre mitjà que permeti accedir de manera senzilla i immediata a la resta de la informació.
2. La informació bàsica a què es refereix l'apartat anterior ha de contenir, almenys:
a) La identitat del responsable del tractament i del seu representant, si escau.
b) La finalitat del tractament.
c) La possibilitat d'exercir els drets establerts en els articles 15-22 del Reglament (UE) 2016/679.
Si les dades obtingudes de l'afectat són tractades per a l'elaboració de perfils, la informació bàsica ha d'incloure també aquesta circumstància. En aquest cas, l'afectat haurà de ser informat del seu dret a oposar-se a l'adopció de decisions individuals automatitzades que produeixin efectes jurídics sobre ell o l'afectin significativament de manera similar, quan es doni aquest dret d'acord amb el que preveu l'article 22 del Reglament (UE) 2016/679.
3. Quan les dades personals no han estat obtingudes de l'afectat, el responsable pot complir el deure d'informació que s'estableix en l'article 14 del Reglament (UE) 2016/679 facilitant-li la informació bàsica assenyalada a l'apartat anterior, indicant-li una adreça electrònica o un altre mitjà que li permeti accedir de manera senzilla i immediata a la resta de la informació.
En aquests supòsits, la informació bàsica ha d'incloure també:
a) Les categories de dades objecte de tractament.
b) Les fonts de què procedeixen les dades.
Per part seva, l'article 14 de l'RGPD estableix una regulació més exigent en relació amb la «Informació que haurà de facilitar-se quan les dades personals no s'hagin obtingut de l'interessat».
En aquest precepte es disposa que si les dades no es recullen de l'interessat, a més, se l'haurà d'informar de les «Categories de dades que es tractaran», de la «Font de què procedeixen les dades personals» i, si escau, de si procedeixen de «Fonts d'accés públic».
Així mateix, en l'RGPD s'aclareix el termini aplicable per informar l'interessat en cas que les dades no es recullin directament de l'interessat. Aquest termini –amb caràcter general i com a màxim– és d'«un mes» o, en un altre cas, cal haver-ne informat l'interessat en el moment de la primera comunicació a l'interessat si les dades s'utilitzen per a aquest fi, o de la primera cessió/comunicació d'aquestes dades a un tercer en cas que es pretengui la cessió/comunicació.
En ambdós supòsits, tant si les dades personals s'han obtingut de l'interessat com si no ha estat així, les mesures que el responsable del tractament ha d'adoptar per facilitar la informació es poden estructurar de la manera següent:
- La informació que es facilita ha de ser concisa, transparent, intel·ligible, accessible, fàcil d'entendre i presentar-se en un llenguatge clar i senzill, en especial la que s'adreça específicament als infants.
- La informació ha de ser facilitada per escrit o altres mitjans, fins i tot electrònics, si escau.
- La informació podrà facilitar-se verbalment, quan ho sol·liciti l'interessat, sempre que es demostri la identitat del sol·licitant per altres mitjans.
No obstant tot l'anterior, l'RGPD estableix excepcions específiques al deure d'informació, recollides en els articles 13.4 i 14.5, de manera que no s'hi aplicarà el que s'ha esposat anteriorment:
Si les dades s'han obtingut de l'interessat:
Quan l'interessat ja disposi de la informació.
Si les dades no s'han obtingut de l'interessat:
- Quan l'interessat ja disposi de la informació.
- En els supòsits d'esforç desproporcionat. En l'RGPD s'estableixen les pautes que han de servir per ponderar l'existència d'un esforç desproporcionat en cas de tractament amb fins d'arxiu, estadístics o d'investigació científica o històrica.
- En els supòsits d'existència d'una previsió legal expressa de tractament o revelació, amb mesures oportunes de protecció.
- En els supòsits d'existència d'una obligació de secret legal o professional.
Quan l'interessat ja disposi de la informació.
A conseqüència de les novetats normatives derivades de l'aplicació pràctica de l'RGPD, les clàusules, els cupons, les fitxes, els qüestionaris o els formularis (incloent-hi els que s'utilitzen en les pàgines web) han d'adaptar-se als requisits esmentats i han d'incloure en qualsevol cas informació concisa, transparent, intel·ligible, clara i senzilla en relació amb el tractament de les dades que pretén fer el responsable.