derechos protección de datos

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión («derecho al olvido»), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (Derechos de las personas en protección de datos).

Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

¿Cuál es el plazo para responder cuando se ejercitan estos derechos?

Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

¿El ejercicio de estos derechos supone algún coste económico?

Tanto la información que se facilite en virtud de los artículos 13 y 14 del RPGD (derecho de información) como toda comunicación en virtud de los artículos 15 a 22 (derechos de los afectados) y 34 (comunicación de brechas de seguridad) serán a título gratuito.

No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

  • Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.
  • Negarse a actuar respecto de la solicitud.

En el caso del derecho de acceso, se podrá considerar repetitivo su ejercicio cuando se produzca:

  • A veces, en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
  • El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

¿Para el ejercicio de estos derechos es necesario facilitar la copia del DNI?

Como regla general, no es necesario facilitar la copia del DNI para ejercer los derechos del afectado.

No obstante, si el responsable del tratamiento tuviese dudas razonables en relación con la identidad de la persona física que cursa la solicitud podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del afectado.

¿Qué es el derecho de acceso?

El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.

Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:

  • a) los fines del tratamiento.
  • b) las categorías de datos personales de que se trate.
  • c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales.
  • d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
  • e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.
  • f) el derecho a presentar una reclamación ante una autoridad de control.
  • g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen.
  • h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • i) cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.

Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

¿Qué el derecho de rectificación?

Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

¿Qué es el derecho de supresión («derecho al olvido»)?

Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

  • a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
  • b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico.
  • c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2.
  • d) los datos personales hayan sido tratados ilícitamente.
  • e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
  • f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:

  • a) para ejercer el derecho a la libertad de expresión e información.
  • b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3.
  • d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento.
  • e) para la formulación, el ejercicio o la defensa de reclamaciones.

¿Qué es el derecho a la limitación del tratamiento de datos?

Este derecho se configura en una doble vertiente. En primer lugar, cuando se ejercitan los derechos de rectificación u oposición, supone una «suspensión cautelar del tratamiento de los datos». De esta forma, si el afectado ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificar la exactitud de los mismos, se limita el tratamiento de dichos datos. Igualmente se produce esta limitación, cuando el interesado se haya opuesto en virtud del artículo 21.1 del RGPD, mientras se verifican si los motivos legítimos del responsable prevalecen sobre los del afectado.

En segundo lugar, este derecho de limitación se aplicará en los siguientes supuestos:

  • Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
  • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el afectado los necesite para la formulación, el ejercicio o defensa de reclamaciones.

¿Qué es el derecho a la portabilidad de los datos?

Es el derecho del afectado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

No obstante, este derecho se aplicará cuando:

  • a) el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.
  • b) el tratamiento se efectúe por medios automatizados.

¿A qué tipo de datos personales afecta el derecho de portabilidad?

Este derecho incluye los datos facilitados por el afectado cuando han sido «facilitados por» el afectado de manera consciente y activa, por ejemplo, datos de una cuenta (como dirección postal, nombre de usuario, edad) enviados a través de formularios en línea, pero también cuando se generan y recopilan a partir de actividades de los usuarios, mediante el uso del servicio o del dispositivo.

Por el contrario, los datos personales que se obtienen o deducen de los datos facilitados por el afectado, como un perfil de usuario creado por el análisis de datos en bruto por un sistema de medición inteligente, quedan excluidos del ámbito de aplicación del derecho a la portabilidad de los datos, ya que no han sido facilitados por el interesado, sino creados por el responsable del tratamiento.

Asimismo, el ejercicio de este nuevo derecho no debería afectar negativamente a los derechos y libertades de terceros. Por ejemplo, si el conjunto de datos transferido a petición del interesado contiene datos personales relativos a otras personas, el nuevo responsable del tratamiento debe tratarlos únicamente si existe un fundamento jurídico adecuado para ello. Normalmente, el tratamiento de datos bajo el control único del afectado, como parte de actividades puramente personales o domésticas, se considerará adecuado.