Protocolo de atención al interesado
EJERCICIO Y TUTELA DE LOS DERECHOS DE LOS AFECTADOS
CARÁCTER PERSONAL DE LOS DERECHOS
Los derechos de oposición y acceso a los registros, así como los de rectificación y cancelación de datos son personalísimos y se ejercerán por el afectado frente al RESPONSABLE DEL TRATAMIENTO, sin otras limitaciones que las que se prevén en la Legislación aplicable. Podrá actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos.
CONTENIDO DE LA INFORMACIÓN
La información, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa trascripción en claro de los datos del registro, en su caso.
La información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso ENCARGADO DE TRATAMIENTO, así como el origen de los datos, los cesionarios de los mismos y la especificación de los usos y finalidades para los que se almacenaron los datos.
DENEGACIÓN DEL ACCESO
Únicamente se denegará el acceso cuando la solicitud sea formulada por persona distinta del afectado.
El RGPD y la LOPDͲGDD contienen además de los tradicionales derechos ARCO, 3 nuevos derechos: el derecho al olvido (que para la AEPD se encontraba incluido en el de cancelación), a la limitación y el derecho de portabilidad Además, establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos. Del mismo modo que otros derechos fundamentales el derecho a la protección de datos no es absoluto y se contienen en la norma excepciones a los derechos basadas en la defensa del Estado, la seguridad pública, la protección de los derechos y libertades de 3º, la Hacienda Pública, la persecución de infracciones penales o administrativas, así como la limitación por parte de la Unión o de los Estados miembros.
PROCEDIMIENTO Y OBLIGACIONES PARA EL EJERCICIO
Los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas, notificando esta ampliación dentro del primer mes). Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios, articulando procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos.
Cuando el responsable tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud, puede solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, pudiendo el responsable cobrar un canon que compense los costes administrativos de atender a la petición o bien negarse a actuar (el canon no podrá implicar un ingreso adicional, sino que deberá corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud), debiendo demostrar el carácter infundado o excesivo de las solicitudes que tengan un coste para el interesado.
El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
DERECHOS DE LOS INTERESADOS:
A.DERECHO DE ACCESO (art. 15)
1.El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control; g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2.Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
3.El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4.El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.
En resumen, cualquier interesado tiene derecho a que, además de que se le facilite una copia de los datos personales objeto del tratamiento, se le informe de los siguiente: Ͳ Los fines del tratamiento, categorías de datos que se traten y las comunicaciones de datos y sus destinatarios.
Ͳ Plazo de conservación de sus datos, si es posible; en caso contrario, los criterios que se usarán para determinar el plazo
Ͳ El derecho que le asiste de solicitar la rectificación o supresión de los datos, la limitación al tratamiento y/o la oposición al mismo
Ͳ El derecho a presentar una reclamación ante la Autoridad de Control
Ͳ Si se produce una transferencia internacional de datos, recibir información de las garantías adecuadas
Ͳ En caso de existencia de decisiones automatizadas (incluyendo perfiles), la lógica aplicada y las consecuencias de este tratamiento.
B.DERECHO DE RECTIFICACION (art. 16)
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Por tanto, el interesado tendrá derecho, además de a rectificar datos inexactos, a que se complete los datos personales incompletos, inclusive mediante una declaración adicional.
C.DERECHO DE SUPRESIÓN (“DERECHO AL OLVIDO”) (art. 17)
1.El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
2.Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
3.Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario: a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.
El “derecho al olvido” se considera la consecuencia de la aplicación del derecho al borrado de los datos personales, siendo por tanto una manifestación de los derechos de cancelación u oposición en el entorno online (según lo indicado por el Tribunal de Justicia de la Unión Europea en el caso Google Spain).
Por tanto, el derecho a supresión de datos personales, podrá solicitarlo el interesado en los supuestos en que el tratamiento de los datos sea ilícito; cuando desaparezca la finalidad que motivó el tratamiento o recogida de sus datos; cuando se revoque el consentimiento o cuando se oponga a su tratamiento. En todos los casos, la supresión deberá realizarse sin dilación indebida.
D. LIMITACION AL TRATAMIENTO (art. 18)
1.El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; d)el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
2.Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
3.Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.
Por tanto, la limitación del tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían (no deber confundirse con el bloqueo de datos). Este derecho permite al interesado solicitar que se suspenda el tratamiento de sus datos cuando:
Ͳ Se impugne la exactitud de los datos, mientras se verifica por parte del responsable Ͳ Se haya ejercitado el derecho de oposición, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado
Además, el interesado podrá solicitar al responsable que conserve sus datos cuando: Ͳ El tratamiento sea ilícito, pero se oponga a su supresión y solo quiera su limitación de uso Ͳ El responsable ya no los necesite, pero el interesado sí para la formulación, ejercicio o defensa de sus reclamaciones.
En el tiempo que dure la limitación, el responsable sólo podrá tratar los datos afectados, más allá de su conservación:
• Con el consentimiento del interesado
• Para la formulación, el ejercicio o la defensa de reclamaciones
• Para proteger los derechos de otra persona física o jurídica
• Por razones de interés público importante de la Unión o del Estado miembro correspondiente.
Como consecuencia de esta regulación, se impide la práctica habitual consistente en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.
E.DERECHO A LA PORTABILIDAD DE LOS DATOS (art. 20)
1.El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b)el tratamiento se efectúe por medios automatizados.
2.Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
3.El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4.El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
El derecho a la portabilidad de los datos es el derecho del interesado a recibir un subconjunto de datos personales que le conciernan, procesados por un responsable del tratamiento, y a almacenar dichos datos para un uso personal posterior. Dicho almacenamiento podrá realizarse en un dispositivo privado o en una nube privada, sin tener que transmitir necesariamente los datos a otro responsable del tratamiento. Si bien, también se estipula la opción de que se transmitan directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible, por lo que se considera una herramienta que respaldará la libre circulación de datos personales en la UE y promoverá la competencia entre los responsables del tratamiento.
Es obligatorio responder en los plazos establecidos, incluso si se trata de dar una negativa
No es aplicable:
• A los datos de terceras personas que un interesado haya facilitado a un responsable. • En caso de que el interesado haya solicitado la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.
Este derecho sólo puede ejercerse:
• Cuando el tratamiento se efectúe por medios automatizados
• Cuando el tratamiento se base en el consentimiento o en un contrato
• Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado
Es importante destacar que no existe el requisito adicional de retener los datos más allá de los periodos de retención aplicables simplemente para dar respuesta a una posible futura solicitud de portabilidad de datos.
Cuando una persona ejerce su derecho a la portabilidad de los datos lo hace sin perjuicio de ningún otro derecho (como es el caso de cualquier otro derecho contemplado en el RGPD). Un interesado puede seguir usando el servicio del responsable del tratamiento y beneficiándose de él incluso después de una operación de portabilidad de datos. La portabilidad de los datos no conlleva su supresión automática de los sistemas del responsable del tratamiento, ni afecta al periodo de retención original aplicable a los datos que se han transmitido. El interesado puede ejercer sus derechos en tanto el responsable de los datos siga tratándolos.
Del mismo modo, si el interesado desea ejercer su derecho de supresión («derecho al olvido» en virtud del artículo 17), el responsable del tratamiento no podrá utilizar la portabilidad de los datos como medio para retrasar o negarse a dicha supresión. Si un interesado descubre que los datos personales solicitados de acuerdo con el derecho a la portabilidad de los datos no responden plenamente a su solicitud, deberá darse plena satisfacción a cualquier solicitud posterior de datos personales conforme al derecho de acceso, según lo estipulado por el artículo 15 del RGPD.
A tener en cuenta que la portabilidad de los datos no cubre los datos de contactos profesionales tratados en una relación entre empresas en los casos en los que el tratamiento no está basado en el consentimiento del interesado ni en un contrato del que este sea parte. En muchas circunstancias, los responsables del tratamiento tratarán información que contenga los datos personales de varios interesados. En ese caso, los responsables del tratamiento no deben hacer una interpretación excesivamente restrictiva de la frase «datos personales que incumban al interesado». A modo de ejemplo, los registros telefónicos, de mensajería interpersonal o de transmisión de voz por internet pueden incluir (en el historial de la cuenta del abonado) detalles de terceros participantes en llamadas entrantes y salientes. Aunque los registros contendrán, por tanto, datos personales concernientes a muchas personas, los abonados deben tener la posibilidad de que se les proporcionen dichos registros en respuesta a solicitudes de portabilidad de los datos, puesto que los registros incumben (también) al interesado. No obstante, cuando dichos registros se transmiten a un nuevo responsable del tratamiento, dicho nuevo responsable no debe tratarlos para ningún fin que pueda afectar negativamente a los derechos y libertades de terceros.
Finalmente, puntualizar que el derecho a la portabilidad de los datos se aplica únicamente al tratamiento que se «efectúe por medios automatizados» y, por tanto, no incluye la mayor parte de los archivos en papel. Además debe considerarse que la expresión “facilitados por” debe incluir, además de los facilitados de modo consciente y activo por el interesado, los datos personales que se observen a partir de la observación de sus actividades, tales como datos en bruto procesados por un contador inteligente u otros tipos de objetos conectados, registros de actividad, historial de uso de sitios web o actividades de búsqueda.
F.DERECHO DE OPOSICIÓN (art. 21)
1.El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
2.Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
3.Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
4.A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
5.En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
6.Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Por tanto, el interesado podrá oponerse al tratamiento de sus datos personales:
Ͳ Cuando por motivos relacionados con su situación personal, deba cesarse el tratamiento de sus datos salvo que se acredite un interés legítimo, o sea necesario para el ejercicio o defensa de reclamaciones.
Ͳ Cuando el tratamiento tengo por objeto la mercadotecnia directa.
G. DECISIONES INDIVIDUALIZADAS AUTOMATIZADAS (elaboración de perfiles)
1.Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2.El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3.En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4.Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.