Cómo demostrar el cumplimiento del artículo 14 del RGPD

El artículo 14 del RGPD establece que cuando los datos personales se recopilan de forma indirecta (por ejemplo, de terceros), los responsables del tratamiento deben informar a los interesados ​​sobre la recopilación de datos, su origen y los fines del procesamiento, ya sea en el momento de la recopilación o poco después.

Solicite una demo
Autor
Max Edwards
Actualizado el 5 de marzo de 2025
LinkedIn Twitter Twitter

Comprender el artículo 14 del RGPD: requisitos clave de cumplimiento

GDPR El artículo 14 se centra en los principios de transparencia en los casos en que los datos se recopilen indirectamente (por ejemplo, de un tercero). En tales circunstancias, los responsables del tratamiento deben proporcionar información a los interesados ​​en el momento de la recopilación o inmediatamente después.

A lo largo de la aplicación técnica, el Artículo 14 se adhiere en términos generales a las medidas contenidas en el Artículo 13, pero con una diferencia importante: la obligación de revelar de dónde se obtuvieron los datos y si provienen de una "fuente públicamente disponible".

Otra diferencia se produce en relación con el momento en el que el responsable del tratamiento informa al interesado de que los datos han sido recabados. El artículo 13 trata de la recopilación directa, que requiere comunicación inmediata con el sujeto, mientras que el artículo 14 (recopilación indirecta) permite un breve período de tiempo antes de que se informe a los sujetos.

RGPD Artículo 14 Texto Legal

Versión del RGPD de la UE

Información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado

  1. Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento proporcionará al interesado la siguiente información:

    • La identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;
    • Los datos de contacto del delegado de protección de datos, en su caso;
    • Las finalidades del tratamiento a las que están destinados los datos personales así como la base jurídica del tratamiento;
    • Las categorías de datos personales en cuestión;
    • Los destinatarios o categorías de destinatarios de los datos personales, en su caso;
    • Cuando proceda, que el responsable del tratamiento tenga la intención de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación por parte de la Comisión, o en el caso de las transferencias a que se refieren los artículos 46 o 47, o la Artículo 49, apartado 1, párrafo segundo, referencia a las salvaguardias apropiadas o idóneas y a los medios para obtener una copia de las mismas o dónde se han puesto a disposición.
  2. Además de la información mencionada en el apartado 1, el responsable del tratamiento proporcionará al interesado la siguiente información necesaria para garantizar un tratamiento leal y transparente con respecto al interesado:

    • el período durante el cual se almacenarán los datos personales, o si eso no es posible, los criterios utilizados para determinar ese período;
    • Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero;
    • La existencia del derecho a solicitar al responsable del tratamiento el acceso, la rectificación o la supresión de los datos personales o la limitación del tratamiento del interesado y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
    • Cuando el tratamiento se base en el artículo 6, apartado 1, letra a), o en el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar a la licitud del tratamiento basado en el consentimiento antes de su retiro;
    • El derecho a presentar una queja ante una autoridad supervisora;
    • De qué fuente provienen los datos personales y, en su caso, si provienen de fuentes de acceso público;
    • La existencia de un sistema de toma de decisiones automatizado, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento. para el interesado.
  3. El responsable del tratamiento facilitará la información a que se refieren los apartados 1 y 2:

    • Dentro de un plazo razonable después de la obtención de los datos personales, pero a más tardar en el plazo de un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los datos personales;
    • Si los datos personales van a utilizarse para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a ese interesado; o
    • Si está prevista una divulgación a otro destinatario, a más tardar cuando se comuniquen los datos personales por primera vez.
  4. Cuando el responsable del tratamiento tenga la intención de seguir procesando los datos personales para un fin distinto de aquel para el que se obtuvieron, el responsable del tratamiento deberá proporcionar al interesado, antes de ese procesamiento adicional, información sobre ese otro fin y cualquier información adicional relevante según lo mencionado. en el apartado 2.
  5. Los apartados 1 a 4 no se aplicarán cuando y en la medida en que:

    • El interesado ya dispone de la información;
    • El suministro de dicha información resulta imposible o implicaría un esfuerzo desproporcionado, en particular para su procesamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de las condiciones y garantías mencionadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento. En tales casos, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades y los intereses legítimos del interesado, incluida la puesta a disposición del público de la información;
    • La obtención o divulgación está expresamente establecida por el Derecho de la Unión o de los Estados miembros al que está sujeto el responsable del tratamiento y que establece medidas adecuadas para proteger los intereses legítimos del interesado; o
    • Cuando los datos personales deban permanecer confidenciales sujetos a una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación legal de secreto.


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


Versión del RGPD del Reino Unido

Información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado

  1. Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento proporcionará al interesado la siguiente información:

    • La identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante;
    • Los datos de contacto del delegado de protección de datos, en su caso;
    • Las finalidades del tratamiento a las que están destinados los datos personales así como la base jurídica del tratamiento;
    • Las categorías de datos personales en cuestión;
    • Los destinatarios o categorías de destinatarios de los datos personales, en su caso;
    • Cuando corresponda, que el controlador tiene la intención de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de regulaciones de adecuación pertinentes según la sección 17A de la Ley de 2018, o en el caso de las transferencias mencionadas en el artículo 46 o 47, o el artículo 49, apartado 1, párrafo segundo, en referencia a las garantías apropiadas o idóneas y a los medios para obtener una copia de las mismas o dónde se han puesto a disposición.
  2. Además de la información mencionada en el apartado 1, el responsable del tratamiento proporcionará al interesado la siguiente información necesaria para garantizar un tratamiento leal y transparente con respecto al interesado:

    • El período durante el cual se almacenarán los datos personales, o si eso no es posible, los criterios utilizados para determinar ese período;
    • Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero;
    • La existencia del derecho a solicitar al responsable del tratamiento el acceso, la rectificación o la supresión de los datos personales o la limitación del tratamiento del interesado y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
    • Cuando el tratamiento se base en el artículo 6, apartado 1, letra a), o en el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar a la licitud del tratamiento basado en el consentimiento antes de su retiro;
    • El derecho a presentar una queja ante el Comisionado;
    • De qué fuente provienen los datos personales y, en su caso, si provienen de fuentes de acceso público;
    • La existencia de un proceso automatizado de toma de decisiones, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento. para el interesado.
  3. El responsable del tratamiento facilitará la información a que se refieren los apartados 1 y 2:

    • Dentro de un plazo razonable después de la obtención de los datos personales, pero a más tardar en el plazo de un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los datos personales;
    • Si los datos personales van a utilizarse para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a ese interesado; o
    • Si está prevista una divulgación a otro destinatario, a más tardar cuando se comuniquen los datos personales por primera vez.
  4. Cuando el responsable del tratamiento tenga la intención de seguir procesando los datos personales para un fin distinto de aquel para el que se obtuvieron, el responsable del tratamiento deberá proporcionar al interesado, antes de ese procesamiento adicional, información sobre ese otro fin y cualquier información adicional relevante según lo mencionado. en el apartado 2.
  5. Los apartados 1 a 4 no se aplicarán cuando y en la medida en que:

    • El interesado ya dispone de la información;
    • El suministro de dicha información resulta imposible o implicaría un esfuerzo desproporcionado, en particular para el procesamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sujeto a las condiciones y garantías mencionadas en el artículo 89, apartado 1 o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento. En tales casos, el responsable del tratamiento adoptará las medidas adecuadas para proteger los derechos y libertades y los intereses legítimos del interesado, incluida la puesta a disposición del público de la información;
    • La obtención o divulgación esté expresamente prevista por la legislación interna, que prevé medidas apropiadas para proteger los intereses legítimos del interesado; o
    • Cuando los datos personales deban permanecer confidenciales sujetos a una obligación de secreto profesional regulada por la legislación interna, incluida una obligación legal de secreto.


Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


Comentario técnico

Las organizaciones deben poner a disposición la siguiente información después de la recopilación de los datos del sujeto:

  1. La identidad de su Delegado de Protección de Datos.
  2. Datos de contacto de su Delegado de Protección de Datos.
  3. La finalidad y base legal para la recogida de los datos.
  4. Las categorías de datos personales que se hayan obtenido indirectamente.
  5. Cualquier interés legítimo.
  6. La identidad de los destinatarios.
  7. Transferencias internacionales de datos, incluidos detalles del país y salvaguardas.

Obligaciones de proporcionar información en el momento en que se obtienen datos personales

Además de la información anterior, la organización también debe proporcionar:

  1. Detalles del período de retención de datos;
  2. Los detalles de los derechos del interesado, según la ley de protección de datos;
  3. Información sobre cómo retirar el consentimiento;
  4. Cómo presentar una queja;
  5. Cualquier requisito contractual o estatutario;
  6. Detalles de los procesos automatizados de toma de decisiones.

Plazos sobre los que debe facilitarse la información sobre el tratamiento

  • Escenario 1 – Datos personales recopilados con sin intención contactar con el interesado o comunicar los datos a un tercero
    • Plazo de contacto – Un mes
  • Escenario 2 – Datos personales recopilados con una intención para contactar con el interesado
    • Plazo de contacto – Dos meses
  • Datos personales recopilados con una intención revelarlos a un tercero
    • Plazo de contacto – Dos meses

Artículo 14 del RGPD UE y cláusula 27701 de ISO 7.3.2

Esta sección hace referencia a los artículos 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Consulte la guía de la Cláusula 27701 de ISO 7.3.2 dentro del Artículo 13.

Artículo 14 (2)(d) del RGPD UE y cláusula 27701 de ISO 7.3.4

Consulte la guía de la Cláusula 27701 de ISO 7.3.4 dentro del Artículo 13.

Artículo 14 (2)(c) del RGPD UE y cláusula 27701 de ISO 7.3.5

Consulte la guía de la Cláusula 27701 de ISO 7.3.5 dentro del Artículo 13.



Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


Artículo 14 (2)(c) del RGPD UE y cláusula 27701 de ISO 7.3.6

Consulte la guía de la Cláusula 27701 de ISO 7.3.6 dentro del Artículo 13.

Artículo 14 (2)(g) del RGPD UE y cláusula 27701 de ISO 7.3.10

Consulte la guía de la Cláusula 27701 de ISO 7.3.10 dentro del Artículo 13.

Artículo 14 (2)(a) del RGPD UE y cláusula 27701 de ISO 7.4.7

Consulte la guía de la Cláusula 27701 de ISO 7.4.7 dentro del Artículo 13.

Controles compatibles con ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículos 14 (1)(a) a (5)(d) del RGPD UE ISO 27701 7.3.2Nona
Artículo 14, apartado 2, letra d) del RGPD UE ISO 27701 7.3.4Nona
Artículo 14, apartado 2, letra c) del RGPD UE ISO 27701 7.3.5Nona
Artículo 14, apartado 2, letra c) del RGPD UE ISO 27701 7.3.6 ISO 27701 7.3.7
Artículo 14, apartado 2, letra g) del RGPD UE ISO 27701 7.3.10Nona
Artículo 14, apartado 2, letra a) del RGPD UE ISO 27701 7.4.7Nona

Cómo ayuda ISMS.online

Proporcionamos un entorno prediseñado para que usted describa y demuestre su enfoque para proteger los datos de sus clientes europeos y del Reino Unido que se adapta perfectamente a su sistema de gestión.

Es por eso que hemos creado un banco de riesgos integrado y una variedad de otras herramientas prácticas que ayudarán en cada parte del proceso de evaluación y gestión de riesgos. Independientemente de los estándares o regulaciones de privacidad en los que esté trabajando, deberá demostrar qué tan bien gestiona las Solicitudes de derechos de los titulares de datos (DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.

Descubre más por reservando una demostración de 30 minutos.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!