Derechos RGPD

Derechos RGPD

1.  Derecho de información.

Si se van a registrar y tratar datos de carácter personal, será necesario informar previamente a los interesados, a través del medio que se utilice para la recogida, de modo expreso, preciso e inequívoco:

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las referidas advertencias.

  1. Derecho de acceso.

A través de su derecho de acceso el ciudadano puede controlar por sí mismo el uso que se hace de sus datos personales. En particular, tendrá el derecho a obtener información sobre si estos están siendo objeto de tratamiento, la finalidad del mismo, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, quien deberá dirigirse a la empresa de la que sabe o presume que tiene sus datos, pudiendo optar por visualizarlos directamente en pantalla u obtenerlos por medio de escrito, copia, fotocopia o cualquier otro sistema adecuado al tipo de fichero de que se trate.

El responsable del fichero deberá resolver sobre lo solicitado en el plazo de un mes desde la recepción de la solicitud. También deberá hacerlo aunque no disponga de datos del afectado. Si transcurrido dicho plazo, la solicitud no ha sido atendida adecuadamente, el interesado podrá dirigirse a la Agencia Española de Protección de Datos (AEPD) con copia de la solicitud cursada y de la contestación recibida (si existiera), para que esta a su vez se dirija a la oficina designada con el objetivo de hacer efectivo el ejercicio de ese derecho.

El derecho de acceso no puede ser ejercitado en intervalos inferiores a 12 meses, salvo que se acredite un interés legítimo.

3.  Derecho de rectificación.

A través de este derecho, los ciudadanos pueden defender su privacidad controlando por sí mismo el uso que se hace de sus datos personales. En particular, tendrá el derecho a que estos se modifiquen cuando resulten inexactos o incompletos.

Su ejercicio es personalísimo, por lo que sólo podrá solicitarlo la persona interesada, quien deberá dirigirse a la empresa de la que sabe o presume que tiene sus datos, indicando a qué datos se refiere y la corrección que se solicita, y aportando al efecto la documentación que lo justifique.

El responsable del fichero deberá resolver sobre lo solicitado en el plazo máximo de diez días a contar desde la recepción de la solicitud. También deberá hacerlo aunque no disponga de datos del afectado. Transcurrido el plazo sin que de forma expresa se responda a la petición o ésta sea insatisfactoria, el interesado podrá interponer la correspondiente reclamación de tutela ante la AEPD, acompañando la documentación acreditativa de haber solicitado la rectificación de datos ante la entidad de que se trate.

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de estas.

4.  Derecho de oposición.

El derecho de oposición es el derecho del ciudadano a que no se lleve a cabo el tratamiento de estos o se cese en el mismo cuando no sea necesario su consentimiento para el tratamiento, por la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, y siempre que una Ley no disponga lo contrario.

Su ejercicio también es personalísimo, por lo que sólo podrá hacerlo la persona interesada mediante solicitud dirigida al responsable del tratamiento, en la que deberán hacerse constar los motivos fundados y legítimos que lo justifican.

El responsable del fichero o tratamiento, en el plazo máximo de diez días desde la recepción de la solicitud, deberá resolver sobre la misma, excluyendo del tratamiento los datos relativos al afectado o denegando motivadamente la misma. Igualmente deberá hacerlo aunque no disponga de datos del afectado. Transcurrido el plazo sin que de forma expresa se responda a la petición o esta sea insatisfactoria, el interesado podrá interponer la correspondiente reclamación de tutela ante la AEPD, acompañando la documentación acreditativa de haber solicitado la oposición ante la entidad de que se trate.

5. Derecho a la portabilidad de los datos

El Considerando 68º del RGPD establece la razón de ser de este nuevo derecho que persigue “reforzar aún más el control sobre sus propios datos” del interesado. Cuenta con un doble ámbito:

  • Derecho a recibir sus datos en un formato estructurado, de uso común, de lectura mecánica e interoperable.
  • Derecho a exigir al responsable que los transmita a otro responsable del tratamiento.

Los presupuestos lógicos para que este derecho opere son los siguientes:

  1. Que el tratamiento de los datos personales se efectúe por medios automatizados
  2. Que el interesado hubiera previamente facilitado los datos personales que le conciernan al responsable del tratamiento dando su consentimiento o
  3. Cuando el tratamiento sea necesario para la ejecución de un contrato.

Desde el punto de vista de su contenido, es menester aclarar dos aspecto de innegable importancia en la práctica:

  1. Entregar los datos en formato estructura, de uso común y lectura mecánica.

Se trata de una “obligación de mínimos” poco precisa, si bien entendemos que se pueda referir al hecho que los datos estén incluidos en un fichero automatizado en el sentido que le da el artículo 4.6 RGPD (“todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”). Se entiende que el verdadero fundamento de este requisito es que los datos se ordenen de forma estructura y lógica, independientemente del criterio que utilice el responsable para satisfacer tal derecho. En otras palabras, se pretende que el usuario pueda fácilmente identificar qué datos personales está tratando el responsable una vez que este le hace entrega de los mismos.

            Por otra parte, si tenemos en consideración que el derecho no debe obligar al responsable a adoptar sistemas técnicamente, la obligación de entregar los datos en un formato común quedaría desvirtuada en la medida en que no se obligue a utilizar sistemas compatibles. Tampoco se aclara si, en el caso de responsables que utilicen diversos sistemas de información y tratamiento, estos deban transformar los datos de un formato a otro (por ejemplo CRMs no interoperables, bases de datos MySQL vs MONGO DB; gestores de correo thunderbird en local vs gestores en la nube, etc).

En cualquier caso, un sistema sencillo, lógico y recomendable sería facilitar los datos siguiendo un orden cronológico o alfabético o bien atendiendo a criterios de formatos de almacenamiento o finalidades perseguidas

  1. Recibir o transmitir los datos y transmisión de responsable a responsable.

Mientras que el derecho a recibir datos personales del responsable no está restringido, la transmisión de responsable a responsable está supeditada al hecho de que “sea técnicamente posible”. Las circunstancias que pueden incidir en lo “técnicamente posible” son innumerables: problemas en la red, en los equipos, en el suministro eléctrico, etc. El cumplimiento de este derecho desde esta doble perspectiva ha de llevarse a cabo en cumplimiento estricto de las obligaciones en materia de seguridad de la información impuestas por el RGPD, es decir, que la forma en que se transmita la información deberá garantizar que los datos no son destruidos alterados o accedidos de forma o autorizada.

6. Derecho a la supresión (“derecho al olvido”)

El derecho a la supresión de datos o derecho al olvido se establece en el artículo 17 RGPD como uno de esos nuevos derechos que ha cristalizado en normas vinculantes tras matizaciones jurisprudenciales (en esencia STJUE de 13 de mayo de 2014, caso C-131/212, Mario Costeja y AEPD vs Google). El objetivo y razón de ser primordial de este derecho es el refuerzo de los derechos de acceso, rectificación, cancelación y oposición de los datos personales frente a los avances tecnológicos en el marco de la reforma de la normativa europea de protección de datos, y en observancia de los principios esenciales de la protección de datos: calidad, finalidad, proporcionalidad (ligado a minimización de datos) y licitud (ligado al principio del consentimiento y revocación).

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

  1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
  2. el interesado retire el consentimiento en que se basa el tratamiento;
  3. el interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento cuando este tenga por objeto la mercadotecnia directa;
  4. los datos personales hayan sido tratados ilícitamente;
  5. los datos personales deban suprimirse para el cumplimiento de una obligación legal;
  6. se hayan obtenido datos personales de menores ilícitamente (art. 8 RGPD).

7. Derecho a no ser objeto de decisiones individuales automatizadas.

Establece el artículo 22.1º RGPD que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Se trata de una tipología de derecho distinta al ya consagrado en el artículo 13 LOPD, relativo a la impugnación de valoraciones.

            En resumidas cuentas, se trata de la prohibición impuesta al responsable del tratamiento de adoptar una decisión basada únicamente en el tratamiento automatizado, aplicando incluso cuando el interesado no ejerce su derecho. Por automatizados deben entenderse aquellos tratamientos de datos sin intervención humana en el proceso de toma de decisiones. Y, por intervención humana, se entiende una participación relevante, con una influencia real en la decisión que se toma. No obstante, tanto la prohibición como el derecho del interesado tienen excepciones previstas en el RGPD, como es la autorización expresa del Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, por ejemplo con fines de control y prevención del fraude y la evasión fiscal.

 

8. Derecho a la limitación del tratamiento.

El artículo 18 contempla un derecho del interesado a obtener del responsable del tratamiento la limitación de dicho tratamiento cuando se cumplan algunos de los siguientes supuestos:

 

  1. El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
  2. El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
  3. El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
  4. El interesado se haya opuesto al tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.