Nuevo Reglamento Europeo de Protección de Datos. Parte 3

Derechos de Protección de Datos

Por Olga Martínez. Responsable del Área de Compliance de Applicalia

Siguiendo con la relación de post relativos al nuevo Reglamento Europeo de Protección de Datos, nos vamos a centrar en esta ocasión en los derechos del interesado, en los clásicos derechos ARCO, que se ven aumentados con otros derechos que examinamos a continuación. Antes de comenzar a examinarlos, hago una reflexión al aire, y es que, con este nivel de exigencia del nuevo Reglamento Europeo, los profesionales que nos dedicamos a la Protección de Datos, debemos tener un gran bagaje jurídico para poder hacer las cosas bien. Me vienen a la mente todas aquellas soluciones “exprés” que se ven en el mercado, es una auténtica lástima, ya que la normativa de Protección de Datos, bien llevada a cabo es una garantía para los interesados, pero también una herramienta poderosa para potenciar la imagen de transparencia de cualquier empresa.

 

1.    Derecho de Información: Este derecho, que antes se configuraba como un Principio, aparece regulado en los artículos 13 y 14 del Reglamento Europeo. En estos artículos se concreta el contenido específico de la información que ha de facilitarse al interesado. En concreto:

 

                                          i.    La identidad y datos del responsable.

                                         ii.    Los datos de contacto del Delegado de Protección de Datos, si la empresa está obligada a disponer de esta figura.

                                       iii.    Los fines del tratamiento y la base jurídica, es decir si el tratamiento se realiza en base a la obtención del consentimiento del interesado, a una relación laboral, mercantil, etc.

                                        iv.    Si el tratamiento se basa en la existencia de un interés legítimo, habrá que concretar esos intereses legítimos. Este concepto nos volverá a “traer de cabeza”, ya que siempre deberá ser ponderado con los derechos y libertades del interesado. Y para determinar esta ponderación deberemos acudir al criterio dado por la autoridad de control, en nuestro caso la Agencia Española de Protección de Datos.

                                         v.    Los destinatarios o categorías de destinatarios de datos personales.

                                        vi.    En caso que el responsable tenga la intención de transferir los datos personales a un tercer país, será necesario concretar qué con qué garantías se cuenta para poder realizar esta transferencia (existencia de una decisión de Adecuación de la Comisión, cláusulas contractuales, normas corporativas vinculantes, etc.).

                                      vii.    Plazo de conservación de los datos, que desde nuestro punto de vista es uno de los aspectos más complicados en la normativa de Protección de Datos Personales, ya que aquí no solo se van a tener en cuenta los plazos establecidos por la normativa específica de protección de datos, sino los plazos de prescripción civil y ahora los penales con la posibilidad de imputar responsabilidad penal a la persona jurídica. Las disciplinas de Compliance se interrelacionan todas ellas.

                                     viii.    La existencia del derecho a solicitar al responsable la supresión, rectificación u oposición al tratamiento de sus datos, así como la portabilidad de los datos. Estos aspectos los veremos a continuación.

                                        ix.    El derecho a revocar el consentimiento el cualquier momento, siempre que la base jurídica del tratamiento sea el consentimiento.

                                         x.    El derecho a presentar una reclamación ante una autoridad de control, en nuestro caso la Agencia Española de Protección de Datos.

                                        xi.    Las consecuencias que puede tener no facilitar los datos personales que se requieren.

                                      xii.    En el supuesto que con el tratamiento de datos personales se tomasen decisiones automatizadas (basadas en la creación de perfiles), habrá que informar sobre la lógica aplicada para la elaboración del perfil y las consecuencias que puede tener este tratamiento para el interesado.

                                     xiii.    En el supuesto, que los datos inicialmente obtenidos, se tratasen para un fin diferente al que motivó su recogida, el Responsable del Tratamiento deberá informar sobre este otro fin al interesado, siempre antes del nuevo tratamiento de datos personales.

 

2.    Acceso: El interesado tendrá derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, el derecho a obtener la información siguiente:

 

                                          i.    Fines del tratamiento.

                                         ii.    Categorías de datos personales de que se trate (identificativos, financieros y de seguros, salud, etc.)

                                       iii.    Destinatarios o categorías de destinatarios a que serán comunicados o han sido comunicados los datos.

                                        iv.    El plazo previsto de conservación de los datos o de no ser posible, los criterios utilizados para determinar el plazo.

                                         v.    La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.

                                        vi.    El derecho a presentar una reclamación ante una autoridad de control.

                                      vii.    La existencia de decisiones automatizadas, incluida la elaboración de perfiles, la lógica aplicada y las consecuencias de dicho tratamiento para el interesado.

                                     viii.    Cuando se transfieran datos personales a un tercer país u organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas que legitiman esta transferencia internacional de datos.

 

La forma de satisfacer el derecho es entregando una copia de los datos personales objeto de tratamiento. La primera copia será gratuita, pero por cualquier otra copia se podrá solicitar un canon razonable.

 

3.    Rectificación: Este derecho consiste en el derecho del interesado a rectificar los datos inexactos que le conciernen y/o completar los datos incompletos. Ha de ser atendido sin dilación. Aquí tendremos problemas interpretativos, con este concepto jurídico indeterminado “sin dilación”.

 

4.    Supresión (derecho al olvido): Es el denominado Derecho al Olvido, que en definitiva se trata del derecho a la supresión de los datos del interesado si se dan alguna de las circunstancias siguientes:

 

                                          i.    Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos.

                                         ii.    El interesado ha retirado su consentimiento.

                                       iii.    El interesado se ha opuesto al tratamiento (veremos más adelante el derecho de oposición).

                                        iv.    Los datos personales han sido tratados ilícitamente.

                                         v.    Los datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el derecho de la Unión o de los Estados miembros.

 

Cuando se hayan hecho públicos los datos personales (a través de buscadores de Internet) y el Responsable del tratamiento esté obligado a suprimir dichos datos, éste teniendo en cuenta la tecnología disponible, adoptará medidas razonables, incluidas las técnicas, para informar a los responsables que están tratando los datos personales, de la solicitud del interesado de la supresión de cualquier enlace a esos datos personales o cualquier copia o réplica de los mismos. Esto supone que los motores de búsqueda, que tienen la consideración en nuestro ordenamiento jurídico de prestadores de servicios de sociedad de intermediación (por ejemplo, google), no pueden oponerse a la retirada de la información que indexan, alegando que ellos no son responsables estos contenidos, ahora si tienen que examinar el asunto y decidir sobre la retirada de los contenidos. Si es cierto, que en algo se ha avanzado, pero el Derecho al Olvido propiamente dicho, por mucho que nos empeñemos, como tal, no existe.

 

5.    Limitación del tratamiento: La limitación del tratamiento es el “marcado” de los datos personales conservados con el fin de limitar su tratamiento del futuro. Desde nuestro punto de vista se trataría de una especie de bloqueo o suspensión provisional del tratamiento. Los supuestos en los que procede son los siguientes:

 

                                          i.    El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.

                                         ii.    El tratamiento sea lícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

                                       iii.    El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o defensa de reclamaciones.

                                        iv.    El interesado se haya opuesto al tratamiento, mientras se verifican si motivos legítimos del responsable prevalecen sobre los del interesado.

 

6.    Derecho de oposición: Es el derecho a oponerse en cualquier momento, al tratamiento de datos, por motivos relacionados con una situación particular. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento. Cuando el tratamiento de datos tenga por objeto acciones comerciales o de marketing directas (mercadotecnia directa), el interesado tendrá derecho a oponerse en todo momento y los datos dejarán de ser tratados para estos fines.

 

7.    Derecho a la portabilidad de los datos: Es el derecho del interesado a cambiar de responsable. Consiste en que un interesado pueda recibir los datos personales que le incumban y que ha facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y de lectura mecánica, y a transmitirlos a otro responsable siempre que el tratamiento esté basado en el consentimiento y se efectúe por medios automatizados. El interesado puede solicitar que los datos personales se transmitan de manera directa de responsable a responsable.

 

A la vista de lo expuesto, vemos que con el nuevo Reglamento se mantienen en su contenido los actuales derechos ARCO, que a su vez se ven ampliados con otros derechos, incrementando el nivel de protección de los afectados o interesados. 

Twitter
Facebook