¿Qué derechos de las personas se recogen en el RGPD?
El RGPD otorga los siguientes derechos a los interesados, es decir, a las personas cuyos datos se tratan:
- Derecho a ser informado
- Derecho de acceso
- Derecho de rectificación
- Derecho a la supresión (derecho al olvido)
- Derecho a la restricción del tratamiento
- Derecho a la portabilidad de los datos
- Derecho de oposición
- Derecho a no estar sujeto a una decisión basada únicamente en el tratamiento automatizado
Ten en cuenta que algunos de esos derechos no se aplican en todas las situaciones, puedes ver los derechos de los interesados para cada base jurídica para obtener más información.
El responsable del tratamiento tiene la obligación de responder a las solicitudes de los interesados que ejercen sus derechos y debe facilitar el ejercicio de estos derechos. El encargado del tratamiento debe ayudar al responsable del tratamiento en esta tarea.
Lista de verificación de qué hacer en relación con los derechos de los interesados:
- Prepárate: Desarrolla sistemas y procedimientos para responder a las solicitudes de derechos de los interesados y capacita a tu personal para integrar las solicitudes de derechos de los interesados en sus flujos de trabajo internos.
- Facilita el ejercicio de los derechos: Facilita a los interesados el conocimiento de sus derechos y cómo ponerse en contacto contigo para ejercerlos.
- Conoce tus flujos de datos: Mantén tu registro actualizado para identificar rápidamente los datos que tratas y para localizar y recuperar información de manera eficiente.
- Se transparente: Informa siempre a los interesados de una manera clara y comprensible sobre los datos personales que tratas, antes del tratamiento (por ejemplo, en tu política de privacidad) y durante el tratamiento (por ejemplo, al cumplir con una solicitud de acceso del interesado).
- Responde dentro de 1 mes: Responde siempre a una solicitud del interesado en el plazo de un mes. Si necesitas tiempo adicional para responder o si no puedes cumplir con la solicitud: informa de ello al interesado en el plazo de un mes.
- Informa a los destinarios sobre el resultado de una solicitud: Cuando recibas una solicitud sobre datos personales que hayas transferido a otros destinatarios, no olvides, si es necesario, informar a los destinatarios del resultado de la solicitud.
- Seguimiento: Lleva a cabo un seguimiento de las solicitudes de los interesados y registra sus respuestas. Realiza asimismo un seguimiento de tu razonamiento cuando no respondas a una solicitud.
Cómo manejar la solicitud de derechos de los interesados
La transparencia es clave en la protección de datos en general y, por supuesto, en el contexto de los derechos de los interesados.
El responsable del tratamiento deberá:
- comunicarse con los interesados en un lenguaje claro y comprensible (esto es especialmente importante en los casos de responsables del tratamiento cuya actividad se dirija a los niños); y
- facilitar el ejercicio de estos derechos, en particular a través de medios electrónicos. Por ejemplo, puedes proporcionar un formulario online en tu sitio web, a través del cual los interesados puedan ejercer fácilmente sus derechos de protección de datos.
Responder por escrito
La regla general es que el responsable del tratamiento debe responder a la solicitud de acceso de una persona de la misma manera en la que aquella hizo la solicitud, o en la forma en la que el interesado solicitó específicamente una respuesta. Preferiblemente, debes responder por escrito, incluso cuando proceda por medios electrónicos. Una respuesta a una solicitud de derecho del interesado podría tener lugar verbalmente, si bien, ello no es aconsejable, ya que tienes que ser capaz de demostrar que has respondido a la solicitud.
Responder en el plazo de un mes
El RGPD especifica el plazo dentro del cual el el responsable del tratamiento debe responder a una solicitud, y en qué casos puede cobrar un canon.
Cuando los interesados ejerzan uno de sus derechos, el responsable del tratamiento deberá responder en el plazo de un mes. Si la solicitud es demasiado compleja y necesitas más tiempo para responder, puedes ampliar el plazo dos meses más, siempre que el interesado sea informado en el plazo de un mes a partir de la recepción de la solicitud. Si puedes demostrar que la solicitud es manifiestamente infundada o excesiva, especialmente debido a su carácter repetitivo, puedes cobrar un canon razonable o negarte a tramitar la solicitud.
Si tienes dudas razonables sobre la identidad de la persona que realiza la solicitud (por ejemplo, la solicitud se realiza desde una dirección de correo electrónico distinta a la que tu cliente utiliza habitualmente, o se realiza desde una cuenta de cliente no autenticada), puedes solicitar información adicional para confirmar la identidad del interesado antes de responder.
Si no tienes intención de cumplir con la solicitud específica del interesado, debes informar a aquel en el plazo de un mes a partir de la recepción de la solicitud, de los motivos por los que no tramitarás la solicitud (por ejemplo, las razones por las que no estás borrando los datos solicitados). Además, debes informar a los interesados de la posibilidad de presentar una reclamación ante una autoridad de control de su país y de ejercitar acciones judiciales.
No cobres un canon
No puedes reclamar ningún pago a un interesado que solicite ejercer uno de sus derechos. Sin embargo, puedes cobrar un canon si la solicitud del interesado es manifiestamente infundada o excesiva, en particular debido a su carácter repetitivo. El cálculo de la tasa debe tener en cuenta el coste administrativo afrontado para responder a la solicitud. Conforme se ha explicado anteriormente, también es posible negarse a responder a una solicitud manifiestamente infundada o excesiva. En tal situación, debes ser capaz de demostrar que ese es tu caso.
En la práctica
- Un interesado presenta solicitudes de acceso cada dos meses al carpintero que fabricó su mesa. El carpintero respondió adecuadamente a la primera petición. Dado que el carpintero no trata datos personales como parte de su actividad principal y no prestó más de un servicio al interesado, es poco probable que se hayan producido cambios en el conjunto de datos relativos al interesado. El interesado ha aclarado que la nueva solicitud se refiere a la misma información que aquella que fue tratada en la última solicitud. Por consiguiente, esta solicitud puede considerarse excesiva debido a su carácter repetitivo.
- Si el carpintero decide proporcionar los datos personales al interesado, pero a cambio de un canon, es aconsejable informarle con antelación, dándole así la oportunidad de retirar la solicitud para evitar costes. Alternativamente, el carpintero puede informar al interesado de los motivos por los que no responderá a su solicitud, así como de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
Derecho a ser informado
El derecho a ser informado permite a las personas entender lo que se hará con sus datos y, en consecuencia, tomar decisiones informadas y tener más control sobre sus datos personales. Todos los interesados tienen derecho a recibir información cuando proceses sus datos.
Como responsable del tratamiento, tienes la obligación de informar a los interesados.
¿Qué información?
La información que debe proporcionarse varía en función de si los datos personales se han obtenido directamente del interesado (recopilación directa, regulada en el artículo 13 del RGPD) o si se han obtenido de otra fuente (recopilación indirecta, regulada en el artículo 14 del RGPD). Las siguientes tablas ofrecen una visión general de la información que debes proporcionar al interesado:
Además, el RGPD requiere que proporciones la siguiente información para garantizar un tratamiento justo y transparente:
Debes proporcionar nuevamente la información de esta segunda tabla en caso de tratamiento ulterior para un nuevo fin compatible que difiera del fin original. Esta información debe facilitarse con carácter previo a dicho tratamiento ulterior. En este caso, también debes proporcionar al interesado una explicación sobre cómo los fines nuevos y anteriores son compatibles entre sí.
¿Cuándo debe proporcionarse la información?
Cuando los datos personales se obtengan directamente del interesado, debes proporcionar la información necesaria en el momento en el que estos son obtenidos.
En caso de recopilación indirecta de datos personales, debes facilitar la información en el plazo máximo de un mes a partir de la obtención inicial de los datos personales. Este período máximo de un mes se reduce:
- si los datos personales se utilizan para fines de comunicación con el interesado. En tal caso, debes informar al interesado a más tardar en el momento de la primera comunicación a aquel;
- si los datos se transmiten a otro destinatario, debes informar de ello a los interesados a más tardar en el momento en el que los datos personas sean comunicados.
En ningún caso se podrá prorrogar el plazo máximo de un mes.
En caso de cualquier cambio posterior en el tratamiento (por ejemplo, nuevos destinatarios, finalidad compatible, transferencia fuera del EEE, etc.), debes informar al interesado en cualquier caso antes de que el cambio entre en vigor y con suficiente antelación. Cuanto más sustancial sea el cambio, antes deberás informar al interesado para que este último tenga un tiempo razonable para apreciar el impacto de dicho cambio y ejercer sus derechos.
¿Cuándo no estás obligado a comunicar información?
No estás obligado a informar al interesado si esta persona ya ha recibido la información necesaria.
En el caso de la obtención indirecta de datos personales, se aplican excepciones adicionales. En este supuesto, no será necesario facilitar información si:
- la comunicación de dicha información resulta imposible o supone esfuerzos desproporcionados. Sin embargo, esta excepción solo podrá ser alegada por el responsable del tratamiento excepcionalmente;
- la obtención o la comunicación de datos está expresamente regulada por la ley;
- los datos personales deben seguir teniendo carácter confidencial sobre la base de una obligación legal de secreto profesional.
En la práctica
- En algunos países de la UE, la legislación nacional puede obligar a las autoridades fiscales a solicitar a los empleadores determinada información sobre los trabajadores. En tal caso, las autoridades tributarias no tienen que informar al empleado. Sin embargo, como parte de su deber de informar, el empleador informará al trabajador que las autoridades fiscales son uno de los destinatarios de los datos personales.
¿Cómo debe facilitarse la información al interesado?
Una buena manera de proporcionar información es trabajar con diferentes capas de información. Esto evita que se proporcione una cantidad excesiva de información al mismo tiempo, lo que puede ser perjudicial para la transparencia y saturar al interesado con información. El uso de un enfoque por capas sigue tanto el requisito de la concisión como el requisito de proporcionar toda la información necesaria. Esto no solo simplifica la tarea del responsable del tratamiento, sino que también permite al interesado comprender la información esencial de forma rápida y eficiente. La presentación de la información podría ser la siguiente:
- Una primera capa de información básica
- ¿QUÉ? El responsable del tratamiento proporciona un resumen de la información básica que el interesado necesita para evaluar el impacto y el alcance del tratamiento (es decir, la identidad del responsable del tratamiento, los fines del tratamiento, las categorías de destinatarios, la fuente de datos, los derechos de los interesados, etc.).
- ¿CÓMO? Por ejemplo, en un formato de tabla, en un lugar claramente visible con el título «Información básica de protección de datos» o a través de ventanas emergentes que proporcionan explicaciones cuando se recopilan datos personales. Si el tratamiento se basa en el consentimiento, es preferible mencionar esta información en el lugar en el que el interesado tiene que dar su consentimiento (cerca del botón «consentimiento»).
- Una segunda capa de información adicional más detallada
- ¿QUÉ? Esta parte presenta de manera comprensible y completa la información restante que debes proporcionar en virtud de los artículos 13 y 14 del RGPD.
- ¿CÓMO? Se puede proporcionar información adicional de varias maneras, por ejemplo, mediante hipervínculos incluidos en la información básica o descargando un documento. El suministro de esta información adicional debe proporcionar un equilibrio entre la concisión, por una parte, y la exhaustividad y la exactitud, por otra. La información debe estructurarse de tal manera que sea fácilmente legible. No olvide adaptar la información al grupo destinatario (por ejemplo: si su servicio se dirige a los niños, escriba la información de una manera que puedan entender).
- ¿QUÉ? Esta parte presenta de manera comprensible y completa la información restante que debes proporcionar en virtud de los artículos 13 y 14 del RGPD.
Derecho de acceso
Al ejercer su derecho de acceso, los interesados pueden verificar la licitud de cada actividad de tratamiento que les afecte.
Cuando ejerzan su derecho de acceso, los interesados deben obtener una confirmación del responsable del tratamiento sobre si se están tratando o no sus datos personales. Si este es el caso, los interesados tienen acceso a sus datos personales y a la siguiente información:
- los fines del tratamiento;
- las categorías de datos personales de que se trate;
- los destinatarios (o las categorías de destinatarios) de los datos personales;
- el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar dicho plazo;
- la existencia del derecho a solicitar al responsable del tratamiento la rectificación o supresión de los datos personales, o la limitación del tratamiento de los datos personales relativos al interesado, o a oponerse a dicho tratamiento;
- la existencia del derecho a presentar una reclamación ante una autoridad de control;
- la fuente de la que proceden los datos (cuando los datos personales no se han obtenidos directamente del interesado);
- la existencia de decisiones automatizadas, incluida la elaboración de perfiles, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado;
- cuando se transfieren datos personales fuera de la Unión Europea, se establecen todas las garantías adecuadas (de conformidad con el artículo 46 del RGPD relativo a las transferencias de datos).
Además, los interesados tienen derecho a recibir (gratuitamente) una copia de los datos personales relacionados con ellos que estás tratando. Si el interesado solicita copias adicionales, podrías decidir cobrar un canon razonable, que se calcula sobre la base del coste administrativo de hacer copias. Ha de tenerse en cuenta que en la mayoría de los casos, no se puede exigir a las personas que paguen una tarifa para acceder a su información personal.
Cuando una solicitud se hace electrónicamente, debes proporcionar la información requerida en un formato electrónico de uso común, a menos que el interesado solicite lo contrario.
Importante para tener en cuenta
Antes de proporcionar una copia de los datos personales, debes comprobar que ello no afectará a los derechos y libertades de otras partes (por ejemplo, si la información relativa a más de una persona es tratada en el mismo archivo, o información relacionada con secretos comerciales y propiedad intelectual).
Derecho de rectificación
El interesado tiene derecho a solicitar y obtener del responsable del tratamiento la corrección de los datos inexactos y la cumplimentación de los datos incompletos. Si has transmitido los datos personales a terceros, debes informarles de la rectificación, a menos que esto resulte imposible o requiera esfuerzos desproporcionados.
En la práctica
- Un cliente te informa que se ha mudado a otra ciudad. Estás obligado a cambiar su dirección en tu base de datos de clientes.
Derecho a la supresión (derecho al olvido)
Un interesado puede solicitar que un responsable del tratamiento elimine los datos personales que le conciernan en las siguientes situaciones:
- los datos personales ya no son necesarios para la finalidad para la que fueron recogidos
- el responsable trata los datos personales de forma ilegal
- el responsable tiene que borrar los datos personales debido a una obligación legal
- el interesado retira el consentimiento y el tratamiento no tiene otra base legal
- el interesado ha ejercido correctamente el derecho de oposición
- los menores que hayan dado su consentimiento para utilizar un servicio online siempre pueden solicitar la supresión de dichos datos personales (independientemente de su edad actual)
Cuando los datos personales que se van a borrar hayan sido transferidos previamente a otras organizaciones, debes informar a dichos destinatarios de que el interesado ha solicitado la supresión, a menos que ello resulte imposible o requiera esfuerzos desproporcionados.
Cuando estés obligado a borrar los datos personales que hiciste públicos, debes tomar todas las medidas razonables para informar a otros responsables que estén tratando los datos personales, de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
Solo puedes negarte a borrar datos personales en un número limitado de casos, tales como:
- el ejercicio del derecho a la libertad de expresión e información;
- la formulación, el ejercicio o la defensa de reclamaciones;
- el cumplimiento de una obligación legal a la que estés sujeto, o el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos que te hayan sido conferidos;
- razones de interés público en el ámbito de la salud pública;
- fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (en condiciones específicas).
En la práctica
- Uno de tus empleados ha sido despedido. El empleado solicita que sus datos personales se eliminen de su archivo de personal. Sin embargo, la legislación laboral exige que conserve varios documentos de recursos humanos (registro de miembros del personal, copias de las declaraciones salariales, etc.) durante un cierto período de tiempo. Para estos documentos, debes rechazar la solicitud de eliminación de los datos.
- Un antiguo cliente ya no desea recibir correos electrónicos de marketing y te solicita que borres sus datos de contacto. Como no hay razones convincentes para que continúes tratando los datos de contacto, debes borrarlos.
Derecho a la limitación del tratamiento
En determinadas circunstancias, los interesados pueden solicitar la limitación del tratamiento de sus datos. Como resultado, aún puedes conservar los datos personales, pero debes cesar todas las demás actividades de tratamiento.
El interesado tiene derecho a obtener la limitación del tratamiento de datos cuando:
- el interesado impugna la exactitud de los datos personales;
- el tratamiento es ilícito: en lugar de suprimir los datos, el interesado puede solicitar la limitación del uso de los datos personales;
- el responsable ya no necesita los datos personales, pero los datos siguen siendo necesarios para que el interesado pueda ejercer una reclamación;
- el interesado ha ejercido el derecho de oposición. La limitación se aplica durante el tiempo necesario para verificar si los motivos legítimos perseguidos por el responsable prevalecen sobre los del interesado.
Si el interesado ejerce adecuadamente su derecho a la limitación del tratamiento, solo puedes utilizar los datos en determinadas circunstancias específicas, por ejemplo, con el consentimiento del interesado o para la defensa de reclamaciones. ¿Has transmitido previamente los datos «restringidos» a otros destinatarios? Debes informar acto seguido a dichos destinatarios de la restricción del tratamiento, a menos que ello resulte imposible o requiera esfuerzos desproporcionados.
Antes de levantar la restricción, asegúrate de informar al interesado de tu intención de hacerlo.
Derecho a la portabilidad de los datos
El derecho a la portabilidad de los datos permite a los interesados obtener sus datos personales en un formato estructurado, de uso común y lectura mecánica. De esta manera pueden reutilizar fácilmente los datos y, si lo desean, transmitir sus datos a un responsable del tratamiento diferente. El derecho a la portabilidad de los datos solo puede ejercerse si se cumplen al mismo tiempo estas tres condiciones:
- el tratamiento se basa en el consentimiento o en un contrato;
- el tratamiento es automatizado (es decir, no hay documentos en papel);
- y los interesados han facilitado los datos ellos mismos. Esto incluye también cualquier dato que hayas observado en función del comportamiento del interesado (por ejemplo, con accesorios conectados).
Por lo tanto, este derecho no se refiere a los datos que el responsable del tratamiento crea sobre la base de los datos antes mencionados.
Más concretamente, los interesados tienen derecho a:
- obtener sus datos personales en un formato estructurado, de uso común y lectura mecánica. El formato debe permitir al interesado reutilizar los datos personales para otro servicio.
Ejemplo: XML, JSON y CSV son formatos comunes que cumplen con este criterio. También deben proporcionarse metadatos para que los datos puedan utilizarse en otra plataforma. Un formato PDF no es suficiente. - para que sus datos personales sean transferidos directamente a otro responsable del tratamiento. Solo debes hacerlo si tal transferencia directa es técnicamente posible.
En la práctica
- Tu organización proporciona servicios de transmisión de música en línea. Tus clientes pueden solicitar la transferencia de sus listas de canciones a otro servicio de transmisión de música.
- Eres una pyme que ofrece un servicio de webmail. Si tu cliente, quien tiene una cuenta de correo electrónico para necesidades puramente personales o domésticas. lo solicita, debes transferir su lista de direcciones y sus correos electrónicos a otro servicio de correo web, siempre que ello sea técnicamente factible. Si esto no es posible, debes proporcionar al cliente la lista de direcciones y correos electrónicos en un formato digital reutilizable.
Derecho de oposición
Los interesados podrán oponerse al tratamiento de los datos personales que les conciernan «por motivos relacionados con su situación particular». El derecho de oposición solo puede ejercerse si el tratamiento se basa en una de las siguientes bases jurídicas:
- el interés legítimo del responsable o de un tercero; o
- la realización de una tarea realizada en interés público o en el ejercicio del poder público.
En otras situaciones, el interesado no puede hacer uso del derecho de oposición porque, para las demás bases jurídicas, existen alternativas para lograr la misma finalidad: en caso de consentimiento, el interesado puede simplemente retirar el consentimiento. El interesado no puede oponerse a un tratamiento impuesto por la ley.
Cuando los interesados ejercen su derecho de oposición, debes equilibrar los intereses de ambas partes. Cesará todo tratamiento de estos datos personales a menos que puedas demostrar razones legítimas imperiosas que anulan los derechos y libertades del interesado (por ejemplo, estás ejerciendo una acción legal). Debes documentar y comunicar estos motivos al interesado.
Importante para tener en cuenta
Cuando los datos son tratados con fines de marketing, el interesado tiene derecho a oponerse a ese tratamiento sin necesidad de explicar ningún motivo. En este caso, las razones por las que estás tratando esos datos no son relevantes, sino que la objeción debe conducir al cese inmediato del tratamiento para ese fin.
En la práctica
- Eres una pequeña empresa de marketing de eventos. Cuando una persona compra a través de internet una entrada para el concierto de una banda, recibe anuncios de otros conciertos similares. Si la persona desea dejar de recibir esos anuncios, debes detener el marketing directo.
- Eres una pyme activa en la industria de seguros. En dicha industria, los datos personales son necesarios en ciertas situaciones para luchar contra las prácticas de blanqueo de capitales. Puedes, como agente de seguros, negarte a llevar a cabo un seguimiento de un derecho de oposición, puesto que la legislación de tu país contra el blanqueo de capitales, te obligan a tratar los datos.
Leer más
Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado
Una persona tiene derecho a no ser objeto de una decisión totalmente automática (es decir, sin intervención humana en el proceso de toma de decisiones), que tenga efectos jurídicos o afecte significativamente a la persona en cuestión.
La toma de decisiones automatizada suele ir unida a la elaboración de perfiles, que se define en el RGPD como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física» (artículo 4, apartado 4, del RGPD).
Para que este derecho sea aplicable, el tratamiento automatizado debe implicar:
- una decisión basada exclusivamente en el tratamiento automatizado, sin intervención humana. Esto significa que ninguna persona física tiene ningún control significativo sobre la decisión y no puede, por ejemplo, modificarla o revocarla;
- una decisión que tenga efectos jurídicos para los interesados o que les afecte significativamente.
En la práctica
- Un ejemplo de efectos legales podría ser la terminación automática de un contrato de telefonía porque el cliente no ha pagado la factura mensual.
- Una decisión que afecta significativamente a la persona podría encontrarse en los siguientes ejemplos (aunque, por supuesto, el contexto siempre debe tenerse en cuenta al evaluar si el impacto en el interesado es significativo):
- decisiones que afectan a las circunstancias financieras de las personas, como su elegibilidad para retirar el crédito;
- denegación automática de los solicitantes que lleven a cabo una solicitud a través de una plataforma online;
- diferenciación de precios basada en el historial de navegación y los hábitos de compra de un consumidor;
- decisiones que afectan el acceso de alguien a la educación, por ejemplo, las admisiones universitarias.
- decisiones que afectan a las circunstancias financieras de las personas, como su elegibilidad para retirar el crédito;
Hay tres situaciones en las que aún se puede tomar una decisión individual automatizada:
- si lo permite la ley (por ejemplo, prevención del fraude o evasión fiscal);
- si la decisión se basa en el consentimiento explícito del interesado; o
- si es necesario para la celebración o ejecución de un contrato. Sin embargo, ten en cuenta que en esta última situación, siempre dependerá de una evaluación individualizada. Tan pronto como existan métodos menos invasivos de privacidad para concluir o ejecutar el contrato, la decisión automatizada ya no se considera «necesaria».
Si se trata de datos sensibles, la toma de decisiones automatizada solo es posible sobre la base del consentimiento explícito o de un interés público sustancial en virtud del Derecho de la Unión o la legislación nacional.