Respecto a los afectados a quienes se les haya recabado sus datos de carácter personal con anterioridad a la aplicación del RGPD (25 de mayo de 2018), el responsable no tiene que enviar una comunicación al respecto con el contenido del derecho de información del RGPD. Es decir, este derecho de información del RGPD no se aplica de forma retroactiva.

No obstante, desde la aplicación del RGPD todos los formularios o medios de recogida de datos personales, deberán adecuarse a la citada norma en aras de cumplir con el contenido del derecho de información que hemos descrito en las anteriores preguntas-respuestas.

Puesto que como hemos indicado anteriormente, el contenido del derecho de información se ha ampliado considerablemente, la AEPD recomienda adoptar un modelo de información por capas o niveles de manera que: Se presente una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.

Y por otra parte, remitir el resto de las informaciones, en un medio más adecuado para su presentación, compresión y, si se desea, archivo. La información a facilitar por capas o niveles sería la siguiente:

1. Información básica (1ª capa, resumida):
   • Identidad del responsable del tratamiento;
   • Descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese;
   • Base jurídica del tratamiento;
   • Previsión o no de cesiones.
   • Previsión de transferencias o no, a terceros países.
   • Referencia al ejercicio de derechos.
2. Información adicional (2ª capa, detallada):
   • Datos de contacto del responsable. Identidad y datos del representante (si existiese).
   • Datos de contacto del delegado de protección de datos (si existiese).
   • Descripción ampliada de los fines del tratamiento.
   • Plazos o criterios de conservación de los datos.
   • Decisiones automatizadas, perfiles y lógica aplicada.
   • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
   • Obligación o no de facilitar datos y consecuencias de no hacerlo.
   • Destinatarios o categorías de destinatarios.
   • Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
   • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento.
   • Derecho a retirar el consentimiento prestado.
   • Derecho a reclamar ante la Autoridad de Control.

Esta información no se facilitará en los supuestos de que el afectado ya disponga de la misma.

La misma a la que nos hemos referido en la anterior pregunta-respuesta añadiendo lo siguiente:

• En la información básica (1ª capa, resumida), la fuente (procedencia) de los datos.
• En la información adicional (2ª capa, detallada), la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público, así como la categoría de datos que se traten.

Esta información se facilitará dentro de un plazo razonable, y más tardar en un mes, salvo que:

• Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado.
• Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

No obstante lo anterior, no será necesario comunicar el contenido del derecho de información cuando:

• El afectado ya disponga de la información.
• La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de que el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses legítimos del afectado.
• La comunicación de los datos esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y se establezcan medidas adecuadas para proteger los intereses legítimos del afectado.
• Los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida la obligación de secreto de naturaleza estatutaria.