Aplicación del GDPR: 6. Derechos del interesado
Josep Aragonés Salvat 16/11/2016
Los derechos del interesado
Los interesados tendrán derecho, siempre que lo permita la legislación vigente, a ser informados del tratamiento de sus datos personales y a obtener del Responsable del tratamiento el gobierno de los mismos.
Para ello, el Responsable del tratamiento deberá implementar una política de información al interesado para establecer la manera de comunicar los derechos y la forma de ejercerlos.
Comunicación de los derechos del interesado
El interesado tendrá derecho a obtener en todo momento una información clara y transparente del tratamiento de sus datos que incluya los derechos que le otorga el Reglamento. Para ello, deberá comunicar al interesado los derechos que le asisten. Éstos son:
En cualquier tratamiento:
- Acceso: facilitar información del tratamiento.
- Rectificación: actualizar los datos inexactos o incompletos.
- Supresión: eliminar los datos.
- Limitación: marcado de datos para restringir parte del tratamiento.
- Oposición: no proseguir con el tratamiento.
En tratamientos
automatizados específicos:
- Portabilidad: transmisión de datos a otro proveedor de servicios o al mismo interesado.
- Elaboración de perfiles: oponerse a un tratamiento cuya finalidad sea adoptar decisiones individuales destinadas a evaluar, analizar o predecir aspectos personales.
Derecho |
Procedimiento |
Observaciones |
Acceso |
- Comprobar si se realiza un tratamiento de datos personales.
- Comunicar la resolución al interesado.
|
Datos que deben comunicarse al interesado:
- Los fines del tratamiento.
- Las categorías de datos de que se trate.
- El plazo o criterios de conservación.
- El ejercicio de los derechos de rectificación o supresión de los datos personales y de la limitación u oposición al tratamiento.
- El derecho a presentar una reclamación a la Autoridad de control.
- Y cuando:
- Los datos no se obtienen del interesado: información de la fuente de procedencia.
- Exista una comunicación de datos: los destinatarios o categorías de destinatarios , incluidos los internacionales.
- Exista una transferencia internacional de datos: información de las garantías apropiadas de protección de datos.
- Se elaboren perfiles: información significativa sobre la lógica aplicada y la importancia y consecuencias previstas de dicho tratamiento para el interesado.
|
Rectificación |
- Rectificar los datos inexactos o incompletos.
- Comunicar la resolución al interesado.
- Comunicar la rectificación a los destinatarios que haya cedido los datos.
|
|
Supresión |
- Suprimir los datos, excepto si existen motivos legítimos para no hacerlo.
- Comunicar la resolución al interesado.
- Comunicar la supresión a los destinatarios que haya cedido los datos.
|
Derecho de supresión:
- Tratamiento sea ilícito.
- El interesado haya retirado su consentimiento.
- No sean necesarios en relación con los fines para los que fueron recogidos o tratados.
- Los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.
- El interesado haya ejercido el derecho de oposición al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
- Los datos deban suprimirse para cumplir una obligación jurídica del Responsable del tratamiento.
Sin derecho de supresión:
- Ejercer el derecho a la libertad de expresión e información.
- Cumplir una obligación jurídica del Responsable del tratamiento.
- Formulación, ejercicio o defensa de reclamaciones.
- Interés público fundamentado en la legislación vigente.
|
Limitación |
- Limitar el tratamiento.
- Comunicar la resolución al interesado.
- Comunicar al interesado el levantamiento de la restricción.
- Comunicar la limitación del tratamiento a los destinatarios que haya cedido los datos.
|
Derecho a restringir el tratamiento:
- El interesado impugne la exactitud de los datos.
- El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos y solicite en su lugar la limitación de su uso.
- El interesado se ha opuesto al tratamiento, mientras se verifica si los motivos legítimos del Responsable del tratamiento prevalecen sobre los del interesado .
- El Responsable del tratamiento ya no necesite los datos para los fines del tratamiento, pero el interesado los necesite para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
Derecho del Responsable a levantar la restricción (previa comunicación al interesado):
- Con el consentimiento del interesado.
- Posibilidad que el tratamiento afecte a la protección de los derechos de otra persona física o jurídica.
- Por un procedimiento judicial que lo justifique.
- Por un motivo importante de interés público fundamentado en la legislación vigente.
|
Oposición |
- Cancelar el tratamiento de datos.
- Comunicar la resolución al interesado.
- Comunicar la oposición a los destinatarios que haya cedido los datos.
|
Derecho a oponerse al tratamiento:
- Mercadotecnia directa.
- Elaboración de perfiles.
- Interés legítimo del Responsable del tratamiento o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, especialmente si es un niño.
- Investigación histórica, estadística o científica, salvo que el tratamiento sea necesario por motivos de interés público.
Derecho del Responsable a seguir con el tratamiento:
- Por un interés legítimo del Responsable del tratamiento que impere sobre los intereses o los derechos y libertades del interesado en un procedimiento judicial que lo justifique.
|
Portabilidad |
- Transmisión de datos a otro proveedor de servicios o al mismo interesado.
- Comunicar la resolución al interesado.
|
Derecho a la transmisión de datos:
- El tratamiento esté estructurado de forma automatizada y se base en:
- El consentimiento del interesado.
- La ejecución de un contrato o precontrato con el interesado.
Sin derecho a la transmisión de datos:
- El tratamiento no esté estructurado de forma automatizada.
- Sea técnicamente imposible la transmisión.
- Pueda afectar negativamente a los derechos y libertades de terceros.
- El tratamiento tenga una misión de interés público fundamentado en la legislación vigente.
|
Perfiles |
- Cancelar el tratamiento de la elaboración de perfiles.
- Comunicar la resolución al interesado.
|
Derecho a no ser objeto de una elaboración de perfiles:
- El tratamiento esté estructurado de forma automatizada y se base en adoptar decisiones individuales destinadas a evaluar, analizar o predecir los siguientes aspectos personales:
- Rendimiento profesional.
- Situación económica.
- Salud.
- Preferencias o intereses personales.
- Fiabilidad.
- Comportamiento.
- Ubicación o movimientos de la persona
Derechos cuando la elaboración de perfiles se base únicamente en un tratamiento automatizado:
- Estar informado si la decisión que pueda ser tomada pueda producirle efectos jurídicos que le afecten significativamente.
- Obtener la intervención humana por parte del Responsable, a expresar su punto de vista y a impugnar la decisión, si el tratamiento ha sido autorizado mediante:
- El consentimiento explícito del interesado.
- Un contrato entre el Responsable y el interesado.
No se aplicará el derecho a no ser objeto de una elaboración de perfiles, cuando:
- El tratamiento esté estructurado de forma automatizada y la decisión que pueda ser tomada a consecuencia de la misma esté autorizada mediante:
- El consentimiento explícito del interesado.
- Un contrato entre el Responsable del tratamiento y el interesado.
- Un tratamiento fundamentado en la legislación vigente.
|
Medidas para proteger los derechos del interesado
El Responsable del tratamiento deberá prever que se puedan ejercer los derechos del interesado en cualquier fase del tratamiento. Para ello, el Reglamento establece que se deberán adoptar las siguientes medidas de protección:
Desde el diseño y por defecto
El Responsable del tratamiento deberá diseñar las operaciones de tratamiento implementando medidas técnicas y organizativas adecuadas para garantizar que el interesado pueda ejercer sus derechos.
Aunque no estén definidos como derechos del interesado, el Reglamento dispone de otros derechos para cuando el interesado da su consentimiento explícito para tratar sus datos, por lo que el diseño del tratamiento también debe incorporar soluciones para darles curso:
- Revocación: Retirar en cualquier momento el consentimiento dado, sin que afecte al tratamiento efectuado hasta entonces. Debe ser tan fácil retirar el consentimiento como el haberlo dado.
- Reclamación: Informar del derecho a presentar una reclamación ante la Autoridad de control si considera que el tratamiento no se ajusta al Reglamento.
Encargados del tratamiento
El Responsable del tratamiento deberá asegurarse que los Encargados del tratamiento contratados ofrecen suficientes garantías para proteger los derechos del interesado y disponer una cláusula, en los contratos de prestación de servicios, que les obligue a crear las condiciones técnicas y organizativas necesarias para permitirle dar curso a las solicitudes de los derechos de los interesados.
Corresponsables del tratamiento
Cuando varios Responsables del tratamiento determinen los fines y los medios del tratamiento deberán formalizarán un acuerdo, que estará a disposición de los interesados, donde se reflejen los procedimientos y mecanismos para el ejercicio de los derechos del interesado.
Destinatarios de datos
En el caso que exista una comunicación previa de datos a destinatarios, el Responsable del tratamiento deberá informarles para que procedan a la atención del derecho solicitado. Los derechos que afectan a los destinatarios son la rectificación o supresión de los datos y la limitación al tratamiento.
Transferencias internacionales de datos
En ausencia de una decisión de adecuación, el Responsable del tratamiento solo podrá realizar transferencias internacionales de datos a países u organizaciones internacionales que dispongan de recursos legales para ejercer los derechos de los interesados.
Tratamiento de datos sin identificación del interesado (seudonimización)
Cuando el Responsable del tratamiento sea capaz de demostrar que no puede identificar al interesado, se lo comunicará y dejaran de aplicarse los derechos del interesado.
Protocolo para atender los derechos del interesado
El Responsable del tratamiento deberá crear un procedimiento para dar curso a los derechos de los interesados de manera que pueda responder las solicitudes sin demora y garantizar que se ejecutan los derechos conforme el Reglamento. Para ello deberá establecer un protocolo de registro y resolución de las peticiones.
Registro de peticiones
El Responsable del tratamiento deberá llevar un registro de las peticiones de derechos para saber en todo momento el estado de las solicitudes y las resoluciones efectuadas. Este registro deberá contener, como mínimo:
- Fecha de la solicitud
- La identidad del solicitante
- Formato de la solicitud (electrónico, carta, etc.)
- Descripción de la solicitud
- Ficheros afectados
- Persona o equipo encargado de resolver la solicitud
- Medidas tomadas
- Resolución de la solicitud
- Fecha de comunicación al interesado
- Formato de la comunicación (electrónico, carta, etc.)
Confirmar la identidad del interesado
Los derechos del interesado solo los puede ejercer el mismo afectado. Cuando se tengan dudas razonables para identificar al interesado que cursa la solicitud, podrá solicitar información complementaria para su confirmación.
Dar curso a la petición
Cuando la petición se ajuste a derecho, se deberá responder sin demora, en un máximo de 1 mes a partir de su recepción, facilitando al interesado la información requerida o, si no fuera posible, los motivos del retraso (prorrogable un máximo de 2 meses en casos complejos).
Cuando la petición no se ajuste a derecho, no se dará curso a la solicitud, pero se informará sin demora (máximo de 1 mes a partir de su recepción) de las razones para no haber actuado y de la posibilidad de presentar una reclamación ante la Autoridad de control o de interponer un recurso judicial.
Resolución de la petición
Cuando el interesado haga la solicitud en formato electrónico, se facilitará la información estructurada, si es posible en el mismo formato, a menos que solicite que se proceda de otro modo.
Una vez resuelta la petición, se adoptarán las medidas adecuadas para el ejercicio del derecho solicitado, aplicándolas a los ficheros inmediatamente de manera que se pueda garantizar su cumplimiento.
Sanciones por no atender los derechos del interesado
La no atención o comunicación de los derechos del interesado es considerada una infracción grave del Reglamento y puede acarrear, según estime la Autoridad de control en cada caso individual, una multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 2% del volumen de negocio total anual global del ejercicio financiero anterior.
Información relacionada
Seguimiento del curso Aplicación del GDPR
Tema anterior: 5. Categorías de tratamiento Tema siguiente: 7. Garantías de cumplimiento (documentación)