Los derechos de acceso, rectificación, supresión, y oposición, son derechos cuyo ejercicio es personalísimo. Es decir, que sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado, de forma que el responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.
El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos y gratuitos puestos a disposición por el responsable del fichero. Y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendido en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la Agencia Española de Protección de Datos (AEPD).
Derecho de Acceso
El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
- Justificación: no es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.
- Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.
- Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.
Derecho de Rectificación
Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
- Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.
- Plazo: 10 días hábiles.
- Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.
Derecho de Cancelación
Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos (de aquí surge el llamado “derecho al olvido“).
- Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación
- Plazo: 10 días hábiles.
- Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.
Derecho de Oposición
Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, se trate de ficheros de prospección comerciales o tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.
- Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.
- Plazo : 10 días hábiles.
- Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.
NUEVOS DERECHOS EN EL RGPD
Derecho de limitación
Se trata de un nuevo derecho introducido por el RGPD que supone que los afectados puedan solicitar la limitación del tratamiento de sus datos personales.
«Limitación» significa que sus datos personales solo pueden ser tratados con su consentimiento para la formulación, el ejercicio o la defensa de reclamaciones, con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público.
Este derecho existe en los casos siguientes:
- cuando la exactitud de los datos de que se trate esté en duda,
- si no queremos que se borren nuestros datos,
- cuando los datos ya no sean necesarios para el fin original, pero no se pueden borrar por motivos jurídicos,
- en caso de que la decisión de su objeción al tratamiento esté pendiente.
- Plazo : 10 días hábiles.
- Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.
Derecho de portabilidad
El interesado tendrá derecho a que el Responsable transmita sus datos a otro Responsable del tratamiento o al mismo interesado, mediante un formato estructurado de uso habitual y lectura mecánica, cuando el tratamiento se efectúe por medios automatizados y se base en:
- El consentimiento del interesado para fines específicos.
- La ejecución de un contrato o precontrato con el interesado.
El derecho a la portabilidad de datos no se aplicará cuando:
- Sea técnicamente imposible la transmisión.
- Pueda afectar negativamente a los derechos y libertades de terceros.
- El tratamiento tenga una misión de interés público fundamentado en la legislación vigente.
El plazo para contestar a la solicitud de portabilidad es de un mes, exceptuando aquellos casos más complejos para los que se concede un plazo de tres meses, pero siempre informando dentro del primer mes de las razones para dicho retraso.
CARACTERÍSTICAS DE ESTOS DERECHOS
Las características comunes a todos estos derechos son:
- Derechos personalísimos. Esto supone que solamente pueden ejercerse por el titular de los datos, su representante legal, en caso de menores o incapacitados, o su representante voluntario designado específicamente para ejercer uno de estos derechos. Según esto, el responsable del fichero denegará el ejercicio de esos derecho si lo solicita una persona que no sea el titular de los datos o que no acredite adecuadamente que actúa en representación de éste.
- Derechos independientes. Esto significa que no es necesario ejercer ninguno de ellos previamente para ejercer otro, cada uno se ejerce por separado y de forma independiente.
- Obligaciones del responsable del fichero. El responsable del fichero está obligado a facilitar el ejercicio de estos derechos a los afectados y a responder a su solicitud en los plazos previstos legalmente. Con independencia del procedimiento utilizado por el interesado y aunque el responsable del fichero no posea datos personales de aquel.
- Procedimiento. El ejercicio de estos derechos debe realizarse mediante procedimientos sencillos y gratuitos.
- Tutela por la Agencia Española de Protección de Datos. Si el responsable del fichero no atiende el ejercicio de estos derechos dentro del plazo legalmente establecido o lo deniega total o parcialmente, los afectados tienen la posibilidad de solicitar tutela ante la AEPD. Esta estudiará los hechos y, si estima la reclamación, dictará resolución exigiendo al responsable del fichero que haga efectivo el derecho concreto en un plazo determinado.
PROCEDIMIENTO PARA EJERCER ESTOS DERECHOS
El ejercicio de estos derechos debe realizarse mediante solicitud dirigida al responsable del fichero que debe contener:
- Nombre y apellidos del interesado.
- Fotocopia de su DNI, de su pasaporte u otro documento válido que permita identificarle y, en su caso, de la persona que le represente, o instrumentos electrónicos equivalentes. Así como el documento o mecanismo electrónico justificativo de esa representación. La utilización de firma electrónica identificativa del afectado exceptuará de presentar las fotocopias del DNI o documento equivalente.
- Petición en que se concreta la solicitud.
- Domicilio a efectos de comunicaciones, fecha y firma del solicitante.
- Documentos acreditativos de la petición que formula, en su caso.
El responsable del fichero, al recibir la solicitud, debe comprobar la legitimidad del solicitante y que se cumplan todos los requisitos exigidos. Debe contestar obligatoriamente a todas las solicitudes independientemente de que tenga o no en sus ficheros datos personales del solicitante y debe guardar un justificante de esa respuesta.
Excepciones a estos derechos
Estos derechos pueden ser modulados por razones de seguridad pública con los requisitos establecidos legalmente.
Se limitará el ejercicio de estos derechos cuando sea una medida necesaria para:
- La salvaguarda de la seguridad del Estado.
- Defensa y seguridad pública.
- Prevención, averiguación, detección y castigo de infracciones penales
PROTOCOLO DE RESPUESTA A LA SOLICITUD DE CANCELACIÓN (EJEMPLO PRÁCTICO) Pongamos como ejemplo el caso de un gimnasio. Un cliente se matricula en el centro, este ingresa sus datos en una base de datos y le manda periódicamente información sobre ofertas y promociones. En este caso, lo primero que tiene que hacer el gimnasio es informar al cliente que al facilitar sus datos (al matricularse), estos van a ser utilizados también con fines publicitarios y requerirle consentimiento para tal fin. Es importante también darle la opción de desistir de comunicaciones comerciales, es un primer paso cuando se trata de respetar derechos. Una vez solicitada la baja El gimnasio debe validar la identidad del cliente que solicita la baja y asegurarse que es el titular de los datos que desea cancelar para evitar la usurpación de identidad. Para ello debe requerirle DNI o documento oficial que acredite su identidad. Una vez constatada la identidad del cliente le debe enviar un formulario o solicitud de cancelación en donde el interesado deberá indicar a qué datos se refiere, aportando al efecto la documentación que lo justifique, si procediera, aunque no es indispensable. El gimnasio resolverá sobre la solicitud de cancelación en el plazo máximo de diez días hábiles a contar desde la recepción de la solicitud, aportando al cliente un escrito en donde confirma la cancelación de sus datos. ¿Y si se hubieran cedido o compartido esos datos con terceros? Si los datos cancelados hubieran sido cedidos previamente, por ejemplo, a una asesoría que gestiona las facturas, el gimnasio deberá comunicar la cancelación efectuada a la asesoría, en idéntico plazo, para que esta, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, también, a cancelar los datos. ¿Y si el gimnasio no responde? Si en el plazo de diez días el gimnasio no responde o la respuesta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación. A partir de allí, es cuando las cosas se complican para el gimnasio, que muy probablemente acabará sancionado por incumplir la normativa de Protección de Datos.
INFRACCIONES
Impedir u obstaculizar el ejercicio de estos derechos se considera una infracción grave.
Comments are closed