Derechos RGPD

LOS DERECHOS EN EL RGPD

 

La protección de los datos personales es un derecho fundamental de la persona y para su defensa la Ley reconoce y ampara los derechos de los ciudadanos al control y disponibilidad de sus datos ante los terceros que los tratan. 

 

Estos derechos son: 

  • De Acceso,
  • De Rectificación,
  • De Cancelación
  • De Oposición,
  • De información y transparencia,
  • De Portabilidad de los datos,Limitación al tratamiento y  – Derecho al Olvido.

 

Para contestar estos derechos si son ejercidos por sus titulares/interesados, se deberá desarrollar un protocolo que explique cómo deberá la empresa facilitar a los interesados el ejercicio de estos derechos. Se deberá asegurar que todos los departamentos afectados conozcan y faciliten a los interesados el ejercicio de estos derechos. 

 

El afectado (interesado), deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar.

 

El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos, visibles, y accesibles puestos a disposición por el responsable del fichero y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendidos en forma y plazo según la normativa legal vigente, puede acudir a la tutela de la Autoridad de Control pertinente (en España la Agencia Española de Protección de Datos (AEPD)).

 

El RGPD no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.

 

Esta obligación exige articular procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos, algo que actualmente no es viable en muchas ocasiones.

 

El RGPD prevé también que el ejercicio de derechos será gratuito para el interesado. Este criterio de gratuidad puede no seguirse en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, cuando el responsable podrá:  

– cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o  – negarse a actuar respecto a la solicitud. 

 

Es el responsable el que debe demostrar ese carácter infundado o excesivo. En todo caso el canon no podría implicar un ingreso adicional para el responsable, sino que debería corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud.

 

El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esa ampliación del plazo debe notificarse dentro del primer mes. Si el responsable decide no atender la solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.

 

De acuerdo con el RGPD, los responsables deberán tomar todas las medidas razonables para verificar la identidad de quienes soliciten acceso y, en general, de quienes ejerzan los restantes derechos ARCOPOL.

 

El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.

 

El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.

 

 

Derechos Personalísimos

El ejercicio de estos derechos es personalísimo, es decir, sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado   

  • El titular de los datos, acreditando su identidad.
  • Su representante legal, cuando el titular se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos. En este caso será necesario que acredite tal condición.
  • Un representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente y la representación conferida por aquél.

 

El responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.

 

 

Derechos independientes entre sí

Cada derecho es independiente y puede ser ejercido de manera individual. El ejercicio de alguno de ellos no será requisito previo para el ejercicio de otro (por ejemplo, para que una persona ejerza su derecho de rectificación no es necesario que anteriormente haya solicitado el derecho de acceso).

 

Obligación de atención a los derechos 

La atención de estos derechos es una obligación para la empresa que está tratando los datos, y el ejercicio de estos derechos puede haberse realizado ante el Responsable del tratamiento o ante el Encargado del tratamiento. 

 

Cuando la solicitud es recibida por el responsable del tratamiento:

 

  • Éste deberá contestar la solicitud en todo caso, con independencia de que figuren o no datos personales del afectado en sus tratamientos de datos.
  • En el supuesto de que la solicitud no reúna los requisitos necesarios de identificación del interesado -con fotocopia del DNI o documento equivalente- o de concreción de lo que se solicita o de la dirección de respuesta, el responsable del tratamiento deberá solicitar la subsanación de éstos.
  • Corresponderá al responsable del tratamiento cumplir con la obligación de conservar la acreditación del cumplimiento del mencionado deber.
  • El responsable del tratamiento deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.

 

Cuando la solicitud es recibida por el encargado del tratamiento:

 

  • En el caso de que se incluya en el contrato de prestación de servicios la obligación para el encargado del tratamiento de atender las solicitudes de ejercicio de derechos realizadas por los ciudadanos, éste será quien deberá responder al ciudadano en los plazos legalmente establecidos.
  • Cuando en el contrato de prestación de servicios no se incluya esta obligación, si el encargado del tratamiento recibe una solicitud de ejercicio de derechos, deberá remitírselo inmediatamente al responsable del Fichero para que sea éste quien responda dicha solicitud en tiempo y forma.

 

Procedimiento

Los derechos se ejercerán a través de una petición o solicitud dirigida a la organización, junto con una copia del DNI o documento análogo en derecho. El medio a través del cual se podrá ejercer será sencillo y gratuito, y ha de permitir acreditar el envío y recepción de la petición o solicitud.

 

No se considerará conforme a la legislación vigente que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar sus derechos el envío de cartas certificadas o semejantes, la utilización de servicios de telecomunicaciones que impliquen una tarificación adicional al afectado o cualesquiera otros medios que signifiquen un coste excesivo para el interesado. La opción más recomendable es la de ofrecer al afectado la posibilidad de ejercer sus derechos por correo ordinario, facilitándole una dirección postal.

 

Cuando el responsable del tratamiento disponga de servicios de atención al público o de reclamaciones relacionadas con el servicio prestado o los productos ofertados, deberá concederse la posibilidad al afectado de ejercer sus derechos a través de dichos servicios. Este punto es de vital importancia ya que implica que todos los empleados que atienden este tipo de servicios al cliente en la empresa tengan conocimiento de estos derechos y de poder cursar la solicitud correspondiente.

 

Corresponde a la organización ante la cual se presenta la solicitud o petición la prueba del cumplimiento del deber de respuesta. En el supuesto de no contestar dentro de los plazos establecidos, o hacerlo de forma incompleta, el sujeto afectado tiene derecho a acudir a la Autoridad de Control, donde si acredita mínimamente dichas circunstancias, se abrirá por parte de la misma expediente sancionador, pudiendo derivar en la imposición de una sanción.

 

 

Protocolo para el ejercicio de estos derechos

Las organizaciones pueden establecer los siguientes protocolos, a modo de ejemplo, para verificar el cumplimiento efectivo del ejercicio de estos derechos: 

  1. Elaborar los avisos legales en los que el consentimiento se preste tal y como establece

la legislación vigente

  1. Revisar los avisos existentes en la empresa para incluir la información adecuada a

cerca de estos derechos

  1. Revisar que cualquier nueva campaña que se realice contenga la información

adecuada a cerca de estos derechos

  1. Crear un protocolo desde que se recibe la petición del interesado hasta que se da por terminada la gestión del mismo
  2. Envío de recordatorios por e-mail o en la intranet (si se tuviera) a los empleados sobre cómo tratar y a dónde debe enviarse cualquier solicitud de derechos que pueda recibir la empresa y formación continua
  3. Mapa de sanciones ante cualquier infracción que se derive por recabar

incorrectamente el consentimiento

 

 

DERECHO DE  INFORMACIÓN Y TRANSPARENCIA

 

El derecho de Información y transparencia exige a los responsables del tratamiento a tomar las medidas pertinentes para proporcionar toda la información en una forma concisa, transparente, comprensible y de fácil acceso, utilizando un lenguaje claro y sencillo y, especialmente, en las comunicaciones dirigidas a los menores de edad. Asimismo, deberá asegurarse a los interesados, con la finalidad de cumplir con la transparencia, que puedan supervisar los tratamientos realizados de sus datos si así lo desean.

 

DERECHO DE ACCESO

El derecho de acceso es aquél que faculta al afectado para solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer con los mismos. 

Qué deberá comunicarse al afectado: 

El responsable del tratamiento tiene la obligación de comunicar al afectado:

  • Fines del tratamiento,
  • Categoría de datos que se traten,
  • Destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos,
  • De ser posible, el plazo de conservación de los datos o criterios utilizados para determinarlo, – Existencia del derecho de rectificación, cancelación, portabilidad, oposición o limitación del tratamiento,
  • Derecho a presentar reclamación ante la autoridad de control,
  • Cualquier información del origen de los datos, si no se han obtenido directamente del titular, – Existencia de decisiones automatizadas (análisis de perfiles).

 

 

                            Cómo comunicarlo al afectado:

Los sistemas a través de los cuales se puede comunicar al afectado esta información son:

 

  • Visualización en pantalla.
  • Escrito, copia o fotocopia remitida por correo, certificado o no.
  • Telecopia (fax).
  • Correo electrónico u otros sistemas de comunicación electrónica.
  • Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento ofrecido por el responsable.

 

Si ha sido por medios electrónicos, deberá comunicarlo también por medios electrónicos.

 

 

Denegación del Acceso:

Este derecho no es absoluto y se recogen una serie de casos en los que se podrá negar el acceso. Estos son:

 

  • Cuando el derecho ya se haya ejercitado, por el afectado, en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo a tal efecto.
  • Cuando así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el uso de los datos a los que se refiera el acceso.

 

En todo caso, el responsable del tratamiento deberá justificar su denegación e informar al afectado. Este punto es importante ya que la solicitud debe ser respondida siempre y dentro de los plazos establecidos para ello.

 

Aun no concediendo el derecho, ya sea por concurrir alguna de las causas enumeradas anteriormente o en el caso de que no se disponga de datos de carácter personal de los afectados que solicitan el derecho, siempre se ha de contestar la solicitud.

 

DERECHO DE RECTIFICACIÓN

El derecho de rectificación es el derecho del afectado a que se modifiquen sus datos por resultar ser inexactos o incompletos. La solicitud de rectificación deberá indicar a qué datos se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado. El responsable del tratamiento deberá comunicar cualquier rectificación a cada uno de los destinatarios a los que se hayan comunicado los datos personales.

 

 

                            Denegación de la Rectificación:

La posibilidad de denegar el derecho de rectificación pude ocurrir cuando así lo prevea una Ley o norma comunitaria o internacional.

 

Al igual que con el derecho de acceso, el responsable del Fichero deberá justificar su denegación e informar al afectado, así como responder a las solicitudes aun en el caso de que no se traten datos del interesado.

 

DERECHO DE CANCELACIÓN/SUPRESIÓN Y DERECHO AL OLVIDO

El derecho de cancelación es el derecho del afectado o interesado a que se supriman sus datos por resultar ser inadecuados o excesivos.

 

Si los datos cancelados hubieran sido cedidos previamente, el responsable del tratamiento deberá comunicar la cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda asimismo a cancelar los datos. En estos casos, la cancelación por parte del cesionario no requerirá comunicación al interesado.

 

Denegación de la Cancelación/Supresión:

La posibilidad de denegar el derecho de cancelación es posible cuando así lo prevea una Ley o mientras dure el plazo previsto en su legislación específica (por ejemplo, la legislación tributaria o legislación sanitaria).

 

Al igual que con el derecho de acceso, el responsable del Fichero deberá justificar su denegación e informar al afectado, así como responder a las solicitudes aun en el caso de que no se traten datos del interesado.

 

 

Derecho al Olvido:

Este derecho tiene su base en el derecho de borrado de datos. El responsable del tratamiento que haya hecho públicos datos personales se le impone la obligación de informar a los demás responsables, que estén tratando datos, de la obligación de borrar cualquier enlace, copia o repetición de los datos personales.

 

El responsable del tratamiento deberá tomar medidas razonables, teniendo en cuenta la tecnología disponible y los medios de que disponga, incluyendo medidas técnicas, para informar a los responsables que están tratando los datos, de la solicitud del interesado.

 

El responsable del tratamiento deberá comunicar cualquier supresión a cada uno de os destinatarios a los que se hayan comunicado los datos personales.

 

El RGPD equipara este derecho de supresión o “Derecho al Olvido” al derecho de cancelación.

 

Supuestos de aplicación de este derecho:

 

El RGPD establece que los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si: 

  • ya no son necesarios para los fines para lo que fueron recogidos o tratados de otro modo,
  • si los interesados han retirado su consentimiento para el tratamiento, – si los interesados se oponen a ese tratamiento, o – si el tratamiento de sus datos personales es ilegal.

 

Supuestos de NO aplicación de este derecho:

 

No se aplicará el derecho al Olvido cuando los datos sean necesarios para alguno de los siguientes supuestos: 

  • ejercicio del derecho a la libertad de expresión e información (especialmente respecto a noticias relativas a personajes públicos o de interés público),
  • cuando tenga por finalidad cumplir una obligación legal que requiera el tratamiento de datos personales, para cumplir con una misión de interés público o por ser inherente al ejercicio del poder público,
  • por razones de interés público en el ámbito de la salud pública,
  • con fines de archivo, interés público, fines de investigación científica e histórica o fines estadísticos, o
  • para la formulación, el ejercicio o defensa de reclamaciones.

 

 

DERECHO DE OPOSICIÓN

El derecho de Oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo, siempre y cuando medie causa justificada. 

 

Excepciones a la Oposición:

Cuando el interesado ejerza este derecho, el Responsable ha de dejar de tratar sus datos personales, salvo  

  • que acredite motivos legítimos imperiosos para el tratamiento en cuestión que prevalezcan

sobre los intereses, derechos y libertades del interesado, o 

  • para la formulación, el ejercicio o la defensa de reclamaciones.

Supuestos en los que se debe fundamentar el derecho de oposición:

 

  • Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de un motivo legítimo y fundado que lo justifique, referido a su concreta situación personal, siempre que una Ley no disponga lo contrario.
  • Cuando se trate de ficheros que tengan como finalidad la realización de actividades de publicidad y prospección comercial, cualquiera que sea la empresa responsable de su creación.
  • Cuando el tratamiento tenga como finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

 

El responsable del Fichero, una vez recibida la solicitud, podrá estimar la solicitud, en el caso de excluir del tratamiento los datos relativos al afectado que ejercite su derecho o denegarlo con causa justificada. 

 

             DERECHO      DE       OPOSICIÓN      A      LAS       DECISIONES

AUTOMATIZADAS (LA ELABORACIÓN DE PERFILES): 

 

Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta. 

 

Las excepciones al tratamiento automatizado para ejercer este derecho:

  • Es necesario el tratamiento para cumplir un contrato entre el interesado y el responsable del tratamiento
  • Se encuentra autorizado por ley
  • Cuenta con el consentimiento explícito del interesado (aunque este consentimiento puede ser revocado).

 

Derecho de oposición en tratamientos de Marketing: 

 

Cuando los datos sean tratados con fines de marketing, el interesado tiene derecho a oponerse en cualquier momento a dicho tratamiento, y se le deberá informar de este derecho, a más tardar, en la primera comunicación con él. Se le informará de manera explícita, clara y separada de cualquier otra información.

 

 

 

DERECHO DE PORTABILIDAD

 

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso en la que la persona interesada tiene derecho a recibir los datos personales que le afectan que haya facilitado a un responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable, si se cumplen los requisitos siguientes:

  • El tratamiento esté basado en el consentimiento o en un contrato
  • El tratamiento se haga por medios automatizados
  • Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan incluidos los datos derivados de la propia actividad del interesado. Esto supone que no es aplicable a los datos de terceras personas que un interesado haya facilitado a un responsable. Como tampoco se aplicaría si el interesado solicita la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.

 

Incluye el derecho a que los datos se transmitan directamente de responsable a responsable, cuando sea técnicamente posible.

 

El Grupo de Autoridades Europeas de Protección de Datos (Grupo del Artículo 29) ha adoptado una opinión en la que se analiza detalladamente este derecho, que puede consultarse en: http://apdcat.gencat.cat/web/.content/03documentacio/Reglament_general_de_proteccio_de_dades/documents/Guidelines-on-theright-to-data-portability.pdf (está en inglés).

 

 

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO

 

La limitación de tratamiento se presenta en el RGPD como un derecho de los interesados. Por ello, no debe confundirse con el bloqueo de datos actualmente existente en la legislación española, aunque su inclusión como nuevo derecho no supone por sí sola la desaparición de la figura del bloqueo.

 

La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. La limitación puede solicitarse cuando:

 

  • El interesado ha ejercido los derechos de rectificación u oposición y mientras el responsable determina si procede atender a la solicitud,
  • El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello,
  • Los datos ya no son necesarios para el tratamiento, lo que nuevamente determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones

 

A este derecho se le aplican los mismos plazos y procedimientos que a los restantes derechos previstos en el RGPD.

 

En el tiempo que dure la limitación, el responsable sólo podrá tratar los datos afectados, más allá de su conservación:

  • Con el consentimiento del interesado
  • Para la formulación, el ejercicio o la defensa de reclamaciones
  • Para proteger los derechos de otra persona física o jurídica
  • Por razones de interés público importante de la Unión o del Estado miembro correspondiente

 

Una consecuencia de esta regulación es que impide una práctica que se sigue en ocasiones y que consiste en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.