El derecho fundamental a la protección de los datos personales supone que los titulares de esos datos tienen una serie de derechos para hacer valer esa protección.
Desde la aprobación de la LOPD en 1999, los derechos que los ciudadanos pueden ejercer para proteger sus datos personales son los llamados Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Ahora han aparecido nuevos derechos con el RGPD, incluyendo también los derechos de Supresión o Derecho al olvido, Limitación y Portabilidad.
En este post te explico cada uno de estos derechos.
Derechos ARCO
Los Derechos ARCO únicamente pueden ejercerse por el titular de los datos o por su representante legal. Es decir, son derechos denominados personalísimos.
Por tanto, estos se podrían denegar por el responsable del tratamiento en caso de que los ejerciera una persona distinta al interesado o su representante.
Se establece la obligación de que el responsable del tratamiento facilite a los interesados medios gratuitos y sencillos para que puedan ejercer sus derechos. Y ese responsable debe tener establecidos también procedimientos de respuesta en casos de ejercicio de esos derechos, ya que existe un plazo para contestar.
En caso de que el interesado no reciba contestación a su solicitud de ejercicio de alguno de estos derechos o no esté conforme con la respuesta recibida, puede reclamar ante la AEPD.
Ahora veamos cada uno de los derechos.
Derecho de Acceso
El derecho de Acceso consiste en solicitar información al responsable del tratamiento sobre si tiene en su poder datos personales del solicitante y si los está tratando.
El responsable del tratamiento dispone de un plazo de 30 días desde que recibe la solicitud para responder. Y debe informar al interesado, en caso de tratar sus datos personales, sobre:
- qué datos está tratando
- de dónde los ha obtenido
- para qué los está usando
- a quién se los cede o comunica
El interesado no necesita una justificación para ejercer este derecho, salvo que lo ejerza antes de transcurrir un año desde la última solicitud.
Una vez que el responsable del tratamiento le notifica la respuesta, el interesado tiene 10 días para poder acceder a sus datos personales.
Este acceso solo podrá denegarse en caso de que una ley lo prevea o exija al responsable del tratamiento guardar secreto sobre ese tratamiento de datos.
Derecho de Rectificación
El derecho de Rectificación consiste en la posibilidad de que el interesado, en caso de que compruebe que sus datos personales son erróneos o insuficientes, solicite la modificación de los mismos.
El interesado deberá indicar a qué datos se refiere y presentar los documentos necesarios que justifiquen esa incorrección.
Existe un plazo de 10 días para que el responsable del tratamiento responda al interesado.
Y, en caso de denegar ese derecho, deberá motivarlo e informar al interesado de su derecho a reclamar ante la AEPD.
Derecho de Cancelación
Este derecho consiste en la posibilidad de que el interesado solicite que, en caso de que sus datos personales sean exagerados o inapropiados, el responsable del tratamiento los elimine.
El interesado especificará qué datos son los que deben suprimirse y las razones, presentando la documentación que lo justifique.
En este caso, el responsable del tratamiento dispone también de un plazo de 10 días para responder al interesado. Si se deniega esa cancelación deberá razonar esa decisión e informar al solicitante sobre su derecho a denunciar ante la AEPD.
Existen excepciones a la cancelación de los datos:
- En caso de que sea necesario conservarlos por disposición legal
- Cuando exista una relación contractual entre el interesado y el responsable del tratamiento por la que sea necesario almacenar esos datos.
Derecho de Oposición
El derecho de Oposición consiste en la opción del interesado de evitar que se traten o sigan tratando sus datos personales en unos supuestos:
- Cuando esos datos sean utilizados para fines comerciales
- Si no se necesita su consentimiento para el tratamiento
- Cuando el fin del tratamiento sea adoptar decisiones sobre el afectado
El interesado debe justificar esa solicitud alegando motivos legítimos y razonados referidos a su situación personal.
Igualmente, el plazo del responsable del tratamiento para dar respuesta al interesado es de 10 días. Y puede denegarlo con la adecuada motivación.
Nuevos derechos en el RGPD
Como indicaba al principio, el RGPD amplía los tradicionales derechos ARCO incluyendo tres nuevos derechos: derecho al olvido, derecho de limitación del tratamiento y derecho a la portabilidad de los datos.
Vamos a analizar cada uno de ellos.
Derecho al olvido
El derecho de supresión o derecho al olvido consiste en la posibilidad de que el interesado solicite que sus datos personales se supriman de manera inmediata en una serie de supuestos:
- Si ha revocado su consentimiento
- Cuando esos datos no sean necesarios para la finalidad prevista
- Se realice un tratamiento ilícito de los mismos
- Si el interesado ha ejercido su derecho de oposición al tratamiento y no existen intereses legítimos que prevalezcan
- Cuando sea necesario eliminar esos datos para cumplir una obligación impuesta al responsable del tratamiento
- En caso de que los datos se hayan conseguido mediante una oferta dirigida a menores a través de servicios electrónicos
Este derecho es una de las principales novedades del RGPD. Se regula en su artículo 17, donde establece la obligación del responsable del tratamiento de, en caso de haber publicado datos personales que deba suprimir, aplicar todas las medidas adecuadas para eliminar esos datos e informar a cualquier tercero que esté tratando esos datos de su deber de suprimirlos.
¿Ante quién se puede ejercer este derecho?
Los interesados pueden ejercer el derecho al olvido ante:
- Buscadores de Internet (Google, Chrome, YouTube, etc.)
- Responsables del tratamiento
- AEPD
El responsable del tratamiento debe informar al interesado sobre la eliminación de sus datos personales. Deben eliminarse todos los enlaces y copias que existan de esos datos.
En caso de no eliminar esos datos, deberá justificarse adecuadamente esa decisión e informar al interesado de su derecho a reclamar ante la AEPD.
Límites al derecho al olvido
No se eliminarán esos datos personales cuando su tratamiento sea necesario para:
- Ejercer obligaciones legales
- Asegurar la libertad de expresión y de información
- Razones de interés público
- Investigación histórica, estadística o científica
- Presentar reclamaciones
Derecho de Limitación
Este derecho otorga al interesado la opción de solicitar que se limite o se suspenda el tratamiento de sus datos personales en determinados casos.
Por ejemplo, si el interesado reclama la inexactitud de sus datos personales, el tratamiento de estos podrá suspenderse hasta que se resuelva esa reclamación. También en el caso de que esos datos ya no sean necesarios pero el interesado haya reclamado y pida que no sean borrados los mismos.
En esos casos, el responsable del tratamiento debe guardar esos datos y solo podrá tratarlos en unos supuestos específicos:
- El interesado otorga su consentimiento
- Para interponer reclamaciones o defenderse de reclamaciones presentadas
- Para garantizar los derechos de personas físicas o jurídicas
- Por motivos de interés público
Se establecen varios sistemas en el RGPD para limitar el tratamiento de los datos personales. Por ejemplo:
- Eliminar durante un tiempo los datos publicados en Internet
- Cambiar los datos a un sistema de tratamiento distinto
- Evitar que el personal de la empresa pueda acceder a esos datos
Antes de quitar esa limitación, el responsable del tratamiento debe informar al interesado.
Derecho a la portabilidad
Se trata del derecho del interesado a obtener una copia de los datos personales que haya proporcionado al responsable del tratamiento en un formato ordenado, de uso ordinario y de lectura automática.
Con este nuevo derecho el RGPD pretende ampliar el derecho de Acceso. En este caso, el responsable del tratamiento, además de informarnos sobre los datos personales nuestros que está tratando, nos facilitará esos datos. También podemos solicitar al responsable que traslade esos datos a un nuevo proveedor de servicios o hacerlo nosotros mismos.
¿Cuándo podremos ejercer este derecho?
En dos supuestos:
- Cuando el tratamiento de los datos se fundamente en un contrato o en nuestro consentimiento.
- Cuando ese tratamiento esté realizado mediante sistemas automatizados.
Al ejercer este derecho obtenemos los datos personales para tratarlos personalmente o facilitárselos a un tercero para que los trate. Pero no significa que finalice el servicio con el responsable del tratamiento.
Sanciones RGPD y LOPD
El responsable del tratamiento tiene la obligación facilitar a los interesados los medios para ejercer sus derechos y de responder a la solicitud de ejercicio de sus derechos por el interesado dentro del plazo establecido.
Si no cumple estas obligaciones, el interesado puede interponer una denuncia ante la AEPD. Esto se considera una infracción grave de la normativa de protección de datos, por lo que la AEPD puede imponerle una cuantiosa sanción.
El RGPD ha elevado el importe de las sanciones de manera considerable, llegando hasta los 20 millones de euros.