Control de los datos personales

El control sobre tus datos personales lo tienes tú

¿Quién tiene el control de los datos personales?

Podría parecer que se ha perdido el control de los datos personales.

Es más, parece que, por usar constantemente Internet, en el móvil y ordenador, mediante apps y redes sociales, tus datos personales han escapado a tu control y ya cualquiera puede utilizarlos y acceder a ellos.

Pero ya te avanzo que en Europa no es así.

Precisamente, el Reglamento Europeo de Protección de Datos (también llamado RGPD), reconoce a las personas más derechos sobre el tratamiento de sus datos personales de los que tenían antes de su aprobación en el 2016.

 

El RGPD nos ha dado el control de los datos personales

Ya en el primer “considerando” del RGPD, se reconoce como un derecho fundamental la protección de las personas en relación con el tratamiento de sus datos personales.

Es un derecho fundamental, pero no un derecho absoluto. Siempre debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

A partir de su artículo 15, el RGPD reconoce hasta ocho derechos a cada persona sobre sus datos y sobre el tratamiento de los mismos. Además, impone a las empresas la obligación de facilitar el ejercicio de estos derechos a los usuarios de los que traten sus datos personales.

 

Derechos de los usuarios sobre el tratamiento de sus datos personales

Estos ocho derechos son los siguientes:

  • Derecho de acceso: Derecho del afectado a obtener información sobre si sus datos personales son objeto de tratamiento y la finalidad del mismo.
  • Derecho de rectificación: El afectado puede solicitar que se modifiquen sus datos, cuando éstos resulten inexactos o incompletos.
  • Derecho de supresión: Derecho del afectado a la supresión de aquellos datos personales suyos que sean inadecuados o excesivos.
  • Derecho de oposición: Derecho del afectado a oponerse a que se realice tratamiento de sus datos personales o a detener dicho tratamiento en determinados supuestos.
  • Derecho de portabilidad: Derecho a ordenar que el Responsable del tratamiento, transmita sus datos personales a otro Responsable, de acuerdo con las particularidades establecidas en la Ley.
  • Derecho de limitación: Permite solicitar al responsable del tratamiento de los datos personales que aplique medidas para evitar la modificación, borrado o supresión de dichos datos.
  • Derecho a no ser objeto de decisiones individuales automatizadas (incluida la elaboración de perfiles): derecho a no ser objeto de una decisión basada en el tratamiento automatizado que produzca efectos o afecte significativamente.
  • Derecho al olvido: Derecho a solicitar la supresión de los datos personales en cualquier momento. Este derecho, un poco especial, se puede ejercitar en cualquiera de los siguientes supuestos:
    • Cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos.
    • Si el interesado retira el consentimiento que servía de base al tratamiento y éste no pueda fundarse en otro fundamento jurídico (obligación legal).
    • Cuando el interesado se oponga al tratamiento teniendo derecho a ello, y no prevalezcan otros motivos legítimos para el tratamiento.
    • En caso de que los datos personales hayan sido tratados ilícitamente.
    • Cuando los datos personales deban suprimirse para el cumplimiento de una obligación derivada del Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento.
    • Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información, en el caso de oferta directa a niños.

 

Un ejemplo sobre el derecho al olvido

Para mostrar con un ejemplo la importancia que tiene el derecho al olvido, vamos a hablar de la reciente sanción interpuesta a Google.

En este reciente caso, un hombre que cometió un delito en el año 1981, pero que fue indultado en el año 1999, solicitaba a Google desde el año 2010 que se eliminara su huella digital en referencia al delito y al indulto. Esto es, que se eliminara el rastro digital sobre su información personal que aparecía en las indexaciones y cachés de Google en relación al delito y al indulto.

Como se puede apreciar, este hombre pretendía ejercer su derecho al olvido, con la finalidad de eliminar esos datos. No obstante, Google ignoró sus peticiones, impidiendo el ejercicio de este derecho por parte del interesado. Por este motivo, la Audiencia Provincial de Barcelona ha dictado sentencia condenando a Google a indemnizar a esta persona con 10.000 euros.

 

La obligación de las empresas

Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

La empresa responsable del tratamiento de datos personales tiene obligación de facilitar a las personas cuyos datos trate el ejercicio de los derechos anteriormente nombrados.

La única razón por la que podría no facilitar este ejercicio de derechos es porque pudiera demostrar que no está en condiciones de identificar al interesado.

Si la empresa responsable del tratamiento de datos sí tiene datos personales suficientes del interesado que permiten identificarlo, entonces tiene un plazo de un mes a partir de la recepción de la solicitud de ejercicio de derechos para contestarla.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

Cuando el interesado presente la solicitud por medios electrónicos (como email), la información ha de facilitarse por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

Si la empresa responsable del tratamiento de datos no da curso a la solicitud del interesado, le tiene que informar, a más tardar, transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control (Agencia Española de Protección de Datos) y de ejercitar acciones judiciales.

La información que se facilite ha de ser a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

Cuando la empresa responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud de ejercicio de derechos, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

 

Facilitar el ejercicio de derechos es sólo uno de los puntos para que tu empresa cumpla con el RGPD.

 

Descubre los demás puntos imprescindibles en este otro artículo:

Adaptación a RGPD. La normativa sobre protección de datos

 

 



Compartir
Abrir chat
Bienvenidos a Emprender Seguro
Hola
¿En qué podemos ayudarte?