Expertos HC

Estos son los derechos que tienes sobre tus datos personales

Las empresas manejan gran cantidad de información personal de todos nosotros. ¿Cómo puedes controlarla y reclamar en caso de que se vulneren tus derechos?

Hace muy poco, el 25 de mayo pasado, se ha cumplido un año desde la aplicación del Reglamento -UE- 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -Reglamento general de protección de datos o RGPD por sus siglas-.

Se han escrito ríos de tinta para dar a conocer todos los extremos de la nueva regulación por parte de sus interesados y afectados por la norma. Sin embargo, creo que la perspectiva del usuario es lo que menos se ha explicado.

Con este artículo vamos a intentar contarle a los usuarios de Internet y Apps -los sujetos pasivos de la norma- que son en realidad los actores importantes en la protección que se pretende, puesto que estamos hablando de datos personales.

¿Qué son los datos personales?

Según la definición el RGPD, son toda información sobre una persona física identificada o identificable «el interesado»; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

En cambio, parece que todo el foco se pone en los datos en vez de en las personas y en la figura del Delegado de Protección de Datos, cuya importancia no vamos a desmerecer.

¿Qué pasa con el usuario de tecnología?

No solamente se articulan unos derechos, sino que además hay que saber ejercitarlos. Recuerdo que la privacidad en nuestro país se configura como un derecho fundamental, haciendo el art, 18.4 de la C.E. una previsión constitucional, si bien será a partir del año 2000 cuando el Tribunal Constitucional lo configure como un derecho fundamental autónomo.

Respecto a la normativa anterior, con los archiconocidos derechos ARCO -acceso, rectificación, cancelación y oposición- el nuevo Reglamento Europeo de Protección de Datos -RGPD- ha incorporado nuevos derechos, los cuales debemos de conocer. 

El principal derecho se configura junto al principio de Transparencia, el derecho de información. Es el derecho que tiene el interesado a conocer y obtener de forma gratuita información sobre el tratamiento que se hace de los datos personales.

El RGPD regula este derecho distinguiendo entre la información que se te debe facilitar dependiendo de si los datos personales se han obtenido directamente de ti o no. Esta obligación de informar se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que ha sido satisfecha. Lo que en todo momento se ofrecerá al interesado serán la siguiente información:

  • Identidad del responsable del tratamiento
  • Descripción breve de los fines del tratamiento y la elaboración de perfiles si la hubiere
  • Base jurídica del tratamiento, sin la cual no es viable tratar datos personales
  • Previsión de transferencias o no a terceros países y cesión de datos
  • Informar de la existencia de los derechos
  • Fuente de los datos cuando no proceden directamente del interesado

¿Qué derechos tienes?

¿Cuáles son los derechos del interesado y como ejercerlos? Nos referimos al derecho de acceso, rectificación, oposición, supresión  -“derecho al olvido”-, limitación del tratamiento, portabilidad y no ser objeto de decisiones individualizadas.

Características según la guía para el ciudadano de la Agencia Española de Protección de Datos -AEPD-:

  • Su ejercicio es gratuito.
  • Si las solicitudes son manifiestamente infundadas o excesivas -carácter repetitivo- el responsable podrá:
  • Cobrar un canon proporcional a los costes administrativos soportados;
  • Negarse a actuar.
  • Deben responderse en el plazo de un mes.
  • Se puede prorrogar otros dos meses más, teniendo en cuenta la complejidad y número de solicitudes.
  • El responsable está obligado a informarte sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio.
  • Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
  • Puedes ejercitarlos directamente o por medio de tu representante legal o voluntario.
  • Cabe la posibilidad de que, por cuenta del responsable, sea el encargado el que atienda tu solicitud, si ambos lo han establecido en el contrato o acto jurídico que les vincule

1. Derecho de Acceso.

Se configura como el derecho de acceso a toda la información de forma gratuita, de los siguientes extremos:

  • Si sus datos personales están siendo tratados, las categorías de datos de dicho tratamiento y la finalidad de este.
  • Origen de los datos y las comunicaciones de estos.
  • Plazo previsto de conservación de los datos si fuese posible.
  • Derecho a solicitar la rectificación, supresión o limitación del tratamiento e incluso a oponerse al tratamiento.
  • Se puede presentar reclamación ante la autoridad de control AEPD.
  • A ser informado cuando se produzcan cesiones a terceros países y las garantías adoptadas.
  • Derecho a obtener una copia de sus datos objeto del tratamiento.

2. Derecho de Rectificación.

Es el derecho que asiste al interesado para exigir que se corrijan errores, inexactitudes o cuando no estén completos los datos personales, para garantizar la certeza de la información que se esté tratando.

3. Derecho de Supresión & Derecho al Olvido.

Es el derecho que garantiza al interesado que se supriman los datos en los casos siguientes:

  • Cuando la finalidad ya no sea la misma que para la que fueron recogidos
  • Por revocación del consentimiento y no exista otra base jurídica que legitime el tratamiento.
  • Cuando el interesado se oponga al tratamiento
  • Por tratamiento ilícito
  • Cuando los datos pertenezcan a menores de 13 años

4. Derecho a la limitación del Tratamiento.

Es el derecho de los interesados a que no se apliquen las operaciones de tratamiento que corresponderían a sus datos personales.

Solo se podrá tratar durante el tiempo de conservación y con consentimiento del interesado, para ejercitar alguna reclamación o proteger los derechos de terceros, personas físicas o jurídicas.

5. Derecho a la Portabilidad de los datos.

Este significa que el interesado tiene derecho a recibir los datos que le incumben y podrá solicitar que sus datos se transmitan directamente de un responsable a otro sin necesidad de que le sean transmitidos previamente a él, si fuera posible técnicamente.

6. Derecho de Oposición y decisiones individuales automatizadas.

Es el derecho a oponerse a que se traten tus datos, por lo que el responsable solo podrá seguir si acredita algún motivo que lo legitime.

A su vez, se tiene derecho a no ser objeto de una decisión basada en un tratamiento automatizado de sus datos, incluyendo la elaboración de perfiles, excepto si existe un contrato que la autorice o sea autorizada por una norma legal o bien se basa en el consentimiento explícito del interesado.

Cualquier reclamación en el ejercicio de estos derechos deberá ser contestada en el plazo de un mes, incluso aunque no se tengan datos del reclamante. A la vez se informará de la posibilidad de interponer una reclamación ante la AEPD o de ejercitar acciones judiciales. Veamos estas posibilidades.

El Capítulo VIII del RGPD prevé los Recursos, responsabilidad y sanciones. El art. 77 regula el derecho a presentar una reclamación ante una autoridad de control que corresponde a la AEPD, por supuesta infracción, si considera que el tratamiento de datos personales que le concierne infringe el presente Reglamento. En su caso la autoridad de control informará al reclamante del resultado del expediente u ofrecerá la posibilidad de acceder a la tutela judicial efectiva y acudir a los tribunales según lo previsto en el Art. 78:

“Derecho a la tutela judicial efectiva contra una autoridad de control

1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.

3. Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control.”

Pero no solamente podemos sentirnos perjudicados por las decisiones de la autoridad de control, sino que podría ser que el perjuicio causado lo identifiquemos en el responsable o encargado, disponiendo el RGPD, que las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos según lo previsto en el Art. 79.

Una de las grandes características del RGPD es que judicializa los casos de daños y perjuicios, previsto en el Art. 82: “toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.

Tanto los responsables como los encargados, cuando en los tratamientos nos cumplan los previsto en la normativa de privacidad, responderán de los daños y perjuicios causados; cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.

Se prevé el derecho de repetición de los responsables y encargados sobre otros responsables o encargados que hayan participado en dicho tratamiento, en la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados.

Tomás Prieto
Abogado CEO en Abogados Logic Cost. Experto en Criminología y Conflictología, miembro de ENATIC (Asociación de Expertos Nacionales en Abogacía TIC). Delegado en Protección de Datos colaborador en Iberdatos. Presidente de I I P S I (Instituto Internacional de Privacidad y Seguridad de la Información) / Redactor del Blog #EspacioTIC en la plataforma Law&Trends. Nombrado Phi Economy Ambassador o Economía de los Propósitos / Speaker Internacional y Ponente en diversos eventos / Content Manager & Social Media Manager

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.