GDPR 5. Els drets de l'interessat

26/07/2016 | Josep Aragonés Salvat



Exercici dels drets de l'interessat


El Reglament dedica tot el Capítol III als "Drets de l'interessat" disposant que els interessats tindran dret a ser informats del tractament de les seves dades personals i a obtenir del Responsable del tractament el govern de les mateixes sempre que ho permeti la legislació vigent.

La informació ha de ser concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill i es facilitarà per escrit o per mitjans electrònics, inclòs verbalment si ho demana l'interessat.

El Responsable del tractament haurà de respondre les sol·licituds de l'interessat sense demora injustificada i com a màxim en el termini d'un mes, i haurà d'explicar els seus motius en cas de no atendre-les.

Els drets que el Reglament atribueix a l'interessat són:
 
  • Accés a les dades
  • Rectificació de les dades
  • Supressió de les dades
  • Portabilitat de les dades
  • Limitació del tractament
  • Oposició al tractament
  • A no ser objecte d'una elaboració de perfils
  • A presentar una reclamació davant l'Autoritat de control
  • A interposar un recurs judicial
  • A indemnització i responsabilitat
 

Dret d'accés a les dades


L'interessat té dret a que el Responsable li comuniqui si s'estan tractant o no les seves dades personals, i en cas que es confirmi el tractament, possibilitarà el seu accés facilitant-li la següent informació:
 
  • Els fins del tractament.
  • Les categories de dades de què es tracti.
  • El termini o criteris de conservació.
  • L'exercici dels drets de rectificació o supressió de les dades personals i de la limitació o oposició al tractament.
  • El dret a presentar una reclamació a l'Autoritat de control.

I quan:
 
  • Les dades no s'obtenen de l'interessat: informació de la font de procedència.
  • Hi hagi una comunicació de dades: els Destinataris o categories de destinataris, inclosos els internacionals.
  • Hi hagi una transferència internacional de dades: informació de les garanties adequades de protecció de dades.
  • S'elaborin perfils: informació significativa sobre la lògica aplicada i la importància i conseqüències previstes d'aquest tractament per a l'interessat.

El Responsable haurà de facilitar a l'interessat una còpia gratuïta de les dades personals sotmeses a tractament. Per a més còpies, podrà cobrar una taxa raonable basada en els costos administratius.

Quan l'interessat faci la sol·licitud en format electrònic, li facilitarà la informació estructurada, si és possible, en el mateix format, llevat que demani que es procedeixi d'una altra manera.

El dret d'accés no ha d'afectar negativament els drets i llibertats de tercers.

 

Dret de rectificació de les dades


L'interessat té dret que el Responsable rectifiqui les seves dades quan siguin inexactes o incompletes mitjançant una declaració rectificativa addicional.

En el cas que hi hagi una comunicació prèvia de dades a Destinataris, el Responsable haurà informar-los perquè procedeixin a la rectificació de les mateixes, llevat que sigui impossible o exigeixi un esforç desproporcionat.

 

Dret de supressió de les dades (dret a l'oblit)


L'interessat té dret que el Responsable suprimeixi les seves dades, quan:
 
  • El tractament sigui il·lícit.
  • L'interessat hagi retirat el seu consentiment.
  • Ja no siguin necessaries en relació amb els fins per a les quals van ser recollides o tractades.
  • Les dades s'hagin obtingut en relació amb l'oferta de serveis de la societat de la informació (e-comerce).
  • L'interessat hagi exercit el dret d'oposició i no prevalguin altres motius legítims per al tractament.
  • Les dades han de suprimir-se per complir una obligació jurídica del Responsable.

L'interessat no tindrà dret a que el Responsable suprimeixi les seves dades quan el tractament sigui necessari:
 
  • Per exercir el dret a la llibertat d'expressió i informació.
  • Per complir una obligació jurídica del Responsable.
  • Per a la formulació, exercici o defensa de reclamacions.
  • Per interès públic fonamentat en la legislació vigent per raons de salut pública o per a fins d'investigació històrica, estadística o científica.

En el cas que hi hagi una comunicació prèvia de dades a Destinataris, el Responsable haurà informar-los perquè procedeixin a la supressió de les mateixes, llevat que sigui impossible o exigeixi un esforç desproporcionat.

 

Dret a la portabilitat de les dades


L'interessat té dret que el Responsable transmeti les seves dades a un altre Responsable del tractament o al mateix interessat, mitjançant un format estructurat d'ús habitual i lectura mecànica, quan el tractament s'efectuï per mitjans automatitzats i es basi en:
 
  • El consentiment de l'interessat per a fins específics.
  • L'execució d'un contracte o precontracte amb l'interessat.
  • El dret a la portabilitat de dades no s'aplica quan:
  • Sigui tècnicament impossible la transmissió.
  • Pugui afectar negativament els drets i llibertats de tercers.
  • El tractament tingui una missió d'interès públic fonamentat en la legislació vigent.



Dret a la limitació del tractament


L'interessat té dret que el Responsable marqui les seves dades amb la finalitat de limitar el tractament quan:
 
  • L'interessat impugni l'exactitud de les dades.
  • El tractament sigui il·lícit i l'interessat s'oposi a la supressió de les dades i sol·liciti en el seu lloc la limitació del seu ús.
  • L'interessat s'ha oposat al tractament, mentre es verifica si els motius legítims del Responsable prevalen sobre els de l'interessat.
  • El Responsable ja no necessiti les dades per a les finalitats del tractament, però l'interessat les necessiti per al reconeixement, exercici o defensa d'un dret en un procediment judicial.

Quan s'hagi procedit a limitar el tractament, només es pot aixecar la restricció, prèvia comunicació a l'interessat, si existeix:
 
  • El consentiment de l'interessat.
  • La possibilitat que el tractament afecti la protecció dels drets d'una altra persona física o jurídica.
  • Un procediment judicial que ho justifiqui.
  • Un motiu important d'interès públic fonamentat en la legislació vigent.

En el cas que hi hagi una comunicació prèvia de dades a Destinataris, el Responsable haurà informar-los perquè procedeixin a la limitació del tractament, llevat que sigui impossible o exigeixi un esforç desproporcionat.

 

Dret d'oposició al tractament


L'interessat tindrà dret a oposar-se al tractament de les seves dades realitzat per un Responsable per motius relacionats amb la seva situació particular, quan el tractament es basi en:
 
  • Màrqueting directe.
  • Elaboració de perfils.
  • Interès legítim del Responsable o tercers, sempre que no prevalguin els interessos o els drets i llibertats de la persona interessada, especialment si és un nen.
  • Investigació històrica, estadística o científica, llevat que el tractament sigui necessari per motius d'interès públic.

Encara que l'interessat s'oposi al tractament de les seves dades, el Responsable podrà seguir tractant-les sempre que l'interès legítim del Responsable imperi sobre els interessos o els drets i llibertats de l'interessat en un procediment judicial que ho justifiqui.

El Responsable ha d'informar a l'interessat del dret a oposar-se al tractament de les seves dades de manera explícita, clara i separada de qualsevol altra informació, en el moment de la primera comunicació.

En el context dels serveis de la societat de la informació (e-comerce), l'oposició al tractament es podrà realitzar per mitjans automatitzats recorrent a especificacions tècniques.

 

Dret a no ser objecte d'una elaboració de perfils


L'interessat tindrà dret a no ser objecte d'una elaboració de perfils amb la finalitat d'adoptar decisions individuals basades en un tractament automatitzat de dades i destinades a avaluar, analitzar o predir els següents aspectes personals:
 
  • Rendiment professional.
  • Situació econòmica.
  • Salut.
  • Preferències o interessos personals.
  • Fiabilitat.
  • Comportament.
  • Ubicació o moviments de la persona.

Quan l'elaboració de perfils es basi únicament en un tractament automatitzat:
 
  • L'interessat tindrà dret a estar informat si la decisió que pugui ser presa pugui produir-li efectes jurídics que l'afectin significativament.
  • L'interessat té dret a obtenir la intervenció humana per part del Responsable, a expressar el seu punt de vista i a impugnar la decisió, si el tractament ha estat autoritzat mitjançant:
    • El consentiment explícit de l'interessat.
    • Un contracte entre el Responsable i l'interessat.

No s'aplicarà al dret a no ser objecte d'una elaboració de perfils quan la decisió que pugui ser presa a conseqüència de la mateixa estigui autoritzada mitjançant:
 
  • El consentiment explícit de l'interessat.
  • Un contracte entre el responsable i l'interessat.
  • Un tractament fonamentat en la legislació vigent.
 

Dret a presentar una reclamació davant l'Autoritat de control


L'interessat tindrà dret a estar informat pel Responsable de que pot presentar una reclamació davant l'Autoritat de control de qualsevol Estat de la UE, si considera que el tractament de les seves dades personals no s'ajusta al que disposa el Reglament.

 

Dret a interposar un recurs judicial

 
  • Contra una Autoritat de control
L'interessat tindrà dret a un recurs judicial efectiu en contra de l'Autoritat de control quan aquesta no doni curs a una reclamació o no l'hagi informat en 3 mesos.
 
  • Contra un Responsable o un Encarregat del tractament
L'interessat tindrà dret a un recurs judicial efectiu contra un Responsable o un Encarregat del tractament quan consideri que el tractament de les seves dades personals no s'ajusta al que disposa el Reglament. Les accions contra aquests es poden exercir davant els òrgans jurídics de l'Estat de la UE on resideixi l'interessat, sempre que no sigui una autoritat pública que actuï en exercici del seu poder públic.

 

Dret a indemnització i responsabilitat


L'interessat tindrà dret a rebre una indemnització del Responsable o del Encarregat si ha patit un perjudici material o immaterial com a conseqüència d'una vulneració del Reglament.

Quan en el tractament participin més d'un Responsable o encarregat, cada un d'ells serà considerat responsable de la totalitat del perjudici ocasionat davant l'interessat, i haurà de discernir entre ells el grau de responsabilitat que els pertoca a cadascú.
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 4. La informació del tractament     Tema següent: 6. La responsabilitat del tractament



Informació relacionada