Derecho de Acceso, Borrado o Rectificación de sus Datos Personales

El RGPD establece los requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y gestión de los datos personales. Se aplican tanto a las organizaciones europeas que tratan datos personales de ciudadanos en la UE como a las organizaciones que tienen su sede fuera de la UE y cuya actividad se dirige a personas que viven en la UE.

¿Cuándo está permitido el tratamiento de datos?

Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y solo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:

  • el interesado ha dado su consentimiento
  • los datos personales son necesarios para respetar una obligación contractual con el interesado
  • los datos personales son necesarios para cumplir una obligación legal
  • los datos personales son necesarios para proteger los intereses vitales del interesado
  • los datos personales se tratan para una misión de interés público
  • se actúa en interés legítimo de la empresa, siempre que en el tratamiento de los datos del interesado no se vean gravemente afectados los derechos y libertades fundamentales de este; si los derechos de esa persona prevalecen sobre los intereses de la empresa, no se pueden tratar sus datos personales.

Autorizar el tratamiento de datos: consentimiento

El Reglamento general de protección de datos aplica normas estrictas para el tratamiento de datos basadas en el consentimiento. El objetivo de estas normas es garantizar que el interesado comprenda lo que está consintiendo. Eso significa que el consentimiento debe darse de manera libre, específica, informada e inequívoca, mediante una solicitud presentada en un lenguaje claro y sencillo. El consentimiento se expresará mediante un acto afirmativo, como marcar una casilla online o firmar un formulario.

Cuando una persona consienta el tratamiento de sus datos personales, solo se podrán tratar para los fines para los que haya dado su consentimiento. También debe ofrecérsele la posibilidad de retirar su consentimiento.

Proporcionar información transparente

Los interesados deben recibir información clara sobre quién trata sus datos personales y por qué. Deben saber al menos lo siguiente:

  • la identidad del responsable
  • por qué se tratan sus datos personales
  • la base jurídica del tratamiento
  • quién recibirá los datos (si procede).

En algunos casos, la información proporcionada también debe incluir:

  • la información de contacto del delegado de protección de datos (en su caso)
  • los intereses legítimos de la empresa si se acoge a esta base jurídica para efectuar el tratamiento
  • las medidas aplicadas para la transferencia de los datos a un país no perteneciente a la UE
  • el periodo de almacenamiento de los datos
  • los derechos del interesado en materia de protección de datos (por ejemplo, acceso, rectificación, supresión, limitación, oposición, portabilidad, etc.)
  • el derecho a retirar el consentimiento (cuando el consentimiento sea la base jurídica para el tratamiento)
  • si la comunicación de datos es un requisito legal o contractual
  • en caso de decisiones automatizadas, información sobre la lógica aplicada, la importancia y las consecuencias de la decisión.

Toda la información debe presentarse en un lenguaje claro y sencillo.

Normas específicas para menores

Cuando se recogen datos personales de menores que se basan en el consentimiento, por ejemplo para utilizar una red social o para una cuenta de descarga de contenidos, es preciso obtener primero la autorización parental, por ejemplo enviando una notificación al padre, madre o tutor. La edad hasta la cual una persona se considera menor varía según el país de residencia, pero se sitúa entre los 13 y los 16 años de edad.

Derecho de acceso y derecho a la portabilidad de los datos

Los ciudadanos deben tener derecho a acceder a sus datos personales gratuitamente. Cuando se recibe una petición de este tipo es necesario:

  • indicar si se están tratando los datos personales
  • informar sobre el tratamiento (finalidad, categorías de datos personales, destinatarios de los datos, etc.)
  • entregar una copia de los datos personales objeto de tratamiento (en un formato accesible).

Cuando el tratamiento se base en el consentimiento o en un contrato, el interesado también puede pedir que se le devuelvan sus datos personales o se transmitan a otra empresa. Es lo que se conoce como derecho a la portabilidad de los datos. Los datos deben facilitarse en un formato utilizado habitualmente y de lectura automática.

Derecho de rectificación y derecho de oposición

Si una persona considera que sus datos personales son incorrectos, incompletos o inexactos, tiene derecho a rectificarlos o completarlos sin demoras indebidas.

En ese caso, se debe notificar a todos los destinatarios de los datos personales si alguno de los datos compartidos con ellos se ha modificado o suprimido. Si los datos personales compartidos son incorrectos, puede ser necesario también informar a todos los que los hayan consultado (a menos que se considere que supone un esfuerzo desproporcionado).

Una persona también puede oponerse en todo momento al tratamiento de sus datos personales para un uso específico si la empresa los trata sobre la base de un interés legítimo o para una actividad de interés público. La empresa debe dejar de tratar los datos personales a menos que el interés legítimo prevalezca sobre el interés del interesado.

Del mismo modo, una persona puede solicitar que se limite el tratamiento de sus datos personales mientras se determina si el interés legítimo de la empresa prevalece sobre su interés individual. No obstante, en caso de fines comerciales directos, la empresa siempre tiene la obligación de dejar de tratar los datos personales si lo solicita el interesado.

Derecho de supresión (derecho al olvido)

En determinadas circunstancias, una persona puede solicitar al responsable del tratamiento que suprima sus datos personales, por ejemplo si los datos ya no son necesarios para cumplir la finalidad del tratamiento. Sin embargo, la empresa no tiene la obligación de hacerlo si:

  • el tratamiento es necesario para respetar la libertad de expresión y de información
  • deben conservarse los datos personales para cumplir una obligación legal
  • existen otras razones de interés público para almacenar los datos personales, como de salud pública o con fines de investigación científica e histórica
  • deben conservarse los datos personales para emprender una acción legal.

Decisiones automatizadas y elaboración de perfiles

Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado. No obstante, hay algunas excepciones a esta regla, como en los casos en que se haya dado un consentimiento explícito a la decisión automatizada. Salvo cuando una decisión automatizada se base en una ley, la empresa debe:

  • informar al interesado sobre las decisiones automatizadas
  • dar al interesado el derecho a que una persona revise la decisión automatizada
  • dar al interesado la posibilidad de impugnar la decisión automatizada.

Por ejemplo, si un banco automatiza su decisión de conceder o no un préstamo a una persona, esta debe ser informada de la decisión automatizada y tener la posibilidad de impugnar la decisión y solicitar la intervención humana.

Violación de datos: proporcionar la notificación adecuada

Se considera violación de datos la divulgación accidental o ilegal a destinatarios no autorizados de datos que sean responsabilidad de una empresa, así como su indisponibilidad temporal o su modificación.

Si se produce una violación de datos que representa un riesgo para los derechos y las libertades individuales, es preciso notificarlo a la autoridad de protección de datos competente en un plazo de 72 horas a partir del momento en que se conozca la infracción.

En caso de que la violación de datos personales entrañe un alto riesgo para las personas afectadas, la empresa también puede estar obligada a informar a todos los afectados.

Responder a las solicitudes

Si la empresa recibe una solicitud de un particular que desea ejercer sus derechos, debe responder a la solicitud sin demoras indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse por un periodo de dos meses en caso de solicitudes complejas o múltiples, siempre y cuando se informe de la prórroga al interesado. Las solicitudes se tramitan gratuitamente.

Si la empresa rechaza una solicitud, debe informar al interesado de las razones y de su derecho a presentar una reclamación ante la autoridad de protección de datos.

Evaluación de impacto

Es obligatorio realizar una evaluación de impacto sobre la protección de datos siempre que el tratamiento previsto pueda representar un alto riesgo para los derechos y libertades de las personas, por ejemplo cuando se utilizan nuevas tecnologías.

Existe ese alto riesgo cuando:

  • se utilicen el tratamiento automatizado y los mecanismos de elaboración de perfiles para evaluar a las personas
  • se observe a gran escala una zona de acceso público (por ejemplo con circuito cerrado de televisión)
  • se traten a gran escala categorías especiales de datos (por ejemplo, datos sanitarios) o datos personales relativos a condenas e infracciones penales.

Nota: las autoridades de protección de datos pueden considerar de alto riesgo otras categorías de tratamiento de datos.

Si las medidas indicadas en la evaluación del impacto sobre la protección no eliminan todos los altos riesgos identificados, debe consultarse a la autoridad de protección de datos antes de que se lleve a cabo el tratamiento.

Mantenimiento de registros

La empresa debe demostrar que actúa de conformidad con el Reglamento general de protección de datos y cumple todas las obligaciones aplicables, especialmente a petición o bajo la inspección de la autoridad de protección de datos.

Una manera de hacerlo es mantener registros detallados de aspectos tales como:

  • nombre y datos de contacto de la empresa que intervenga en el tratamiento de datos
  • razones para el tratamiento de los datos personales
  • descripción de las categorías de personas que proporcionan datos personales
  • categorías de organizaciones que reciben los datos personales
  • transferencia de datos personales a otro país u organización
  • periodo de almacenamiento de los datos personales
  • descripción de las medidas de seguridad utilizadas en el tratamiento de los datos personales.

La empresa debe también conservar, y actualizar periódicamente, las directrices y procedimientos escritos y darlos a conocer a sus empleados.

Advertencia

Si se trata de una pyme o una empresa más pequeña, no es necesario mantener registros de las actividades de tratamiento siempre que:

  • no se hagan habitualmente
  • no afecten a los derechos o libertades de los interesados
  • no traten datos confidenciales o registros de antecedentes penales.

Protección de datos desde el diseño y por defecto

La protección de datos desde el diseño significa que la empresa debe tener en cuenta la protección de datos desde las primeras etapas de la planificación de una nueva forma de tratamiento de los datos personales. Según este principio, un responsable del tratamiento debe adoptar todas las medidas técnicas y organizativas necesarias para aplicar los principios de protección de datos y proteger los derechos de las personas. Estas medidas pueden consistir, por ejemplo, en la seudonimización.

La protección de datos por defecto significa que la empresa debe siempre adoptar por defecto las configuraciones que más defiendan la privacidad. Por ejemplo, si dos configuraciones de privacidad son posibles y una de las configuraciones impide que accedan terceras personas a los datos personales, esta debería utilizarse como configuración por defecto.

Infracción de las normas y sanciones

El incumplimiento del Reglamento general de protección de datos puede dar lugar a multas de hasta 20 millones de euros o del 4% del volumen de negocios mundial de la empresa, en determinadas infracciones. La autoridad de protección de datos puede imponer medidas correctivas adicionales, como obligar a poner término al tratamiento de los datos personales.

*** RESPONSABLE: Juan Jurado Luthier (Jurado Violines) *** FINALIDAD: enviarte presupuesto solicitado. *** LEGITIMACIÓN: tu consentimiento (que estás de acuerdo) *** DESTINATARIOS: tus datos estarán ubicados en los servidores de Elementor aprobado por el Comité Europeo de protección de datos. *** DEECHOS: acceder a tus datos personales, rectificar, limitar o borrar.