Protección de datos personales

¿Qué derechos tenemos cuando cedemos nuestros datos?

derechos rights cedemos datos

Existen multitud de situaciones cotidianas en las que cedemos nuestros datos personales o autorizamos a la otra parte para recabarlos, todo sin ser plenamente conscientes de lo que harán, o de nuestros derechos.

En ocasiones, esta cesión de datos es evidente y la reconocemos rápido, por ejemplo, cuando nos registramos para pasar la noche en un hotel o cuando pedimos cita con nuestro dentista.

Otras veces sin embargo no somos realmente conscientes de que hay alguien detrás recabando nuestros datos. Así ocurre, por ejemplo, cuando adquirimos un producto del IoT (Internet de las cosas), como un smartphone o un smartwatch.

En estos casos el dispositivo inteligente contiene un software que puede estar diseñado para transferir nuestros datos personales al fabricante; y lo mismo ocurre cuando descargamos una aplicación para ese dispositivo, solo que en este caso transferiremos nuestros datos al diseñador de la aplicación y no al fabricante del producto.

Un ejemplo de lo anterior lo explica Chema Alonso, CDO de Telefónica, en el siguiente video:

 

Marco jurídico de la protección de datos personales

A nivel comunitario, el derecho a la protección de datos de carácter personal está regulado y reconocido como derecho fundamental por el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea, que establecen que toda persona tiene derecho a la protección de sus datos personales.

Las anteriores disposiciones son desarrolladas por el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta el tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD).

A nivel interno, el derecho a la protección de datos de carácter personal deriva directamente de la Constitución Española y, por el momento (pues esto cambiará pronto), está regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 170/2007, de 21 de diciembre, que desarrolla la citada ley.

En este artículo explicamos qué derechos nos asisten como interesados del tratamiento de nuestros datos personales según la regulación del RGPD, que será la principal norma de referencia a partir del 25 de mayo de 2018, sin perjuicio de que el ejercicio de nuestros derechos pueda cambiar cuando finalmente se apruebe la nueva Ley Orgánica de Protección de Datos Personales.

 

Antes de empezar… ¿qué es un dato personal?

Conviene aclarar este concepto pues es sobre estos datos que podremos ejercer nuestros derechos. Básicamente, es cualquier información sobre una persona física que la identifique o la haga identificable.

El RGPD establece que se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

 

¿Cuáles son y cómo se exigen esos derechos?

El ejercicio de los derechos que detallaremos a continuación es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo. En estos casos el responsable del tratamiento podrá o bien cobrarnos un canon o bien negarse a actuar respecto de la solicitud.

Para ejercerlos, basta con dirigir una solicitud al responsable, que deberá responder en el plazo de un mes a partir de la recepción, prorrogable en otros dos meses según la complejidad y el número de solicitudes, siempre y cuando se nos notifique dicha prórroga antes de transcurrir ese mes.

Si el responsable decidiera no dar curso a nuestra solicitud, deberá de notificarnos dicha decisión, en el mismo plazo de un mes, e informarnos de las razones que justifican su falta de actuación y de nuestro derecho a presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales.

¿Y qué requisitos debo cumplir para presentar mi solicitud? Pues muy pocos, de hecho es muy sencillo. Puedes presentar tu solicitud tanto de forma escrita, verbal o por medios electrónicos, y tendrás derecho a recibirla por cualquiera de esos medios siempre que acredites tu identidad.

Los mencionados derechos son los siguientes:

 

I. Derecho de transparencia (información)

Hay un conjunto de información que el responsable del tratamiento tiene la obligación de facilitarnos en el momento en que obtenga nuestros datos y nos la debe proporcionar en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Es la siguiente:

  • su identidad e información de contacto.
  • los datos de contacto del delegado de protección de datos, en su caso.
  • los fines del tratamiento así como la base jurídica.
  • las categorías de datos personales.
  • los destinatarios a quienes se comunican o se van a comunicar nuestros datos y, si se transfieren a países u organizaciones no miembros del Espacio Económico Europeo, la base que legitima esa transferencia.
  • el plazo de conservación de dichos datos.
  • la existencia de otros derechos que nos asisten, como el de rectificación, supresión, limitación del tratamiento, portabilidad o el derecho poner una reclamación ante la autoridad de control.
  • El origen de nuestros datos en caso de que no hayan sido obtenidos directamente de nosotros.
  • Nuestro derecho a retirar el consentimiento en cualquier momento.
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, la lógica aplicada, su importancia y consecuencias.
  • Información sobre tratamientos para fines distintos de aquel para el que se recogieron.

 

II. Derecho de acceso

Es nuestro derecho a confirmar si nuestros datos personales están siendo tratados y en caso afirmativo, a obtener una copia. La primera copia será gratuita y se nos deberá facilitar prácticamente toda la información vista en el punto anterior.

 

III. Derecho de rectificación

Como su propio nombre indica, es el derecho a exigir al responsable del tratamiento la rectificación de nuestros datos personales cuando estos sean inexactos.

 

IV. Derecho de supresión ( derecho al olvido)

El derecho de supresión o derecho al olvido nos faculta a exigir la supresión de los datos personales que nos conciernan cuando concurra alguna de las siguientes circunstancias:

  • los datos personales ya no son necesarios en relación con el fin para el que fueron recabados.
  • hemos retirado el consentimiento para su tratamiento y este no puede basarse en otro fundamento jurídico.
  • ejercemos nuestro derecho de oposición al tratamiento.
  • los datos han sido tratados ilícitamente.
  • una ley obliga a su supresión.
  • se obtuvieron de persona menor de 16 años sometida a nuestra tutela o patria potestad sin haberse recabado previamente nuestra autorización o consentimiento.

Este derecho también puede exigirse a los motores de búsqueda de internet, que lo llevarán a cabo desindexando la información. Finalmente, debe tenerse en cuenta que este derecho no es absoluto, sino que debe ponderarse con el derecho a la libertad de expresión e información.

 

V. Derecho a la limitación del tratamiento

Este derecho nos faculta para exigir al responsable que no aplique a nuestros datos personales las operaciones de tratamiento que en cada caso corresponderían. Se puede ejercer cuando:

  1. ejercemos nuestros derechos de rectificación u oposición y el responsable está en proceso de verificar si procede nuestra solicitud.
  2. el tratamiento es ilícito y nos interesa que, en lugar de suprimir los datos, estos sean conservados.
  3. los datos ya no son necesarios para el tratamiento y, aunque deberían ser borrados, nos interesa que se conserven para la formulación, el ejercicio o la defensa de reclamaciones.

 

VI. Derecho a la portabilidad de los datos

Es nuestro derecho a recibir nuestros datos personales que hayamos facilitado al responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a que estos sean transmitidos directamente a otro responsable, siempre que sea técnicamente posible.

Este derecho puede ejercerse cuando:

  1. el tratamiento está basado en nuestro consentimiento o en un contrato, y;
  2. el tratamiento se efectúa por medios automatizados.

 

VII. Derecho de oposición

Mediante este derecho podremos oponernos al tratamiento de nuestros datos personales cuando:

  • se trate de tratamientos basados en el interés público o el interés legítimo y así lo justifique nuestra situación personal, salvo que el responsable acredite motivos legítimos imperiosos que prevalezcan sobre nuestros intereses, derechos y libertades, o para la formulación, ejercicio o defensa de reclamaciones.
  • el tratamiento tenga por objeto la mercadotecnia directa.

 

VIII. Derecho a no ser objeto de decisiones individualizadas

Es nuestro derecho  a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o nos afecte significativamente.

Lo anterior se exceptúa cuando:

  • sea necesario para la celebración o ejecución de un contrato.
  • esté permitido por el Derecho de la UE o de los Estados miembros, siempre que el responsable establezca medidas adecuadas para salvaguardar nuestros derechos, libertades e intereses legítimos, o
  • hayamos otorgado nuestro consentimiento explícito.

 

Estos son los derechos que nosotros, como interesados en el tratamiento, podemos exigir, y que los responsables del tratamiento tienen la obligación de garantizar implementando las medidas adecuadas y necesarias.

 


Foto de cabecera de Johannes Groll en Unsplash.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *