Los INTERESADOS tendrán derecho a ser informados del tratamiento de sus datos personales y a obtener del RT el gobierno de los mismos, siempre que lo permita la legislación vigente.
Recepción de solicitudes
- Registrar las solicitudes recibidas.
- Identificar al INTERESADO de manera inequívoca.
- Comprobar que la solicitud se ajuste al GDPR.
- Comprobar que el derecho no afecte negativamente los derechos y libertades de terceros.
- Responder sin demora injustificada, como máximo en el plazo de 1 mes:
• Atendiendo los derechos: comunicar la información del tratamiento.
• Prorrogando la atención: comunicar los motivos del retraso (máximo 2 meses para casos complejos).
• No atendiendo los derechos: razonar los motivos e informar del derecho a presentar una reclamación a la AC y a ejercitar acciones judiciales.
Atención de los derechos
Forma de facilitar la información:
• Concisa, transparente, inteligible y de fácil acceso.
• Lenguaje claro y sencillo.
Medios para facilitar la información:
El RT deberá informar al INTERESADO sobre los medios para ejercer los derechos, que podrán ser:
• Por escrito.
• Medios electrónicos (obligatorio si se solicita por este medio).
• Oralmente, si lo solicita el INTERESADO.
Ejercicio de los derechos:
• Se podrán ejercer directamente o por medio de un representante legal o voluntario.
• Para menores de 14 años, los titulares de la patria potestad podrán ejercitar los derechos del interesado en su nombre y representación.
• Cuando el RT o ET hayan designado un DPO, el INTERESADO podrá dirigirse directamente al DPO para ejercer sus derechos o presentar una reclamación.
DERECHOS
Derecho de acceso (art. 15 GDPR)
El INTERESADO tendrá derecho a que el RT le comunique si se están tratando o no sus datos personales, y en caso de que se confirme el tratamiento, posibilitará su acceso facilitándole la información del tratamiento.
Cuando el RT trate una gran cantidad de datos de un INTERESADO, podrá solicitarle antes de facilitar la información que especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
El derecho de acceso se entenderá por atendido cuando el RT comunique al INTERESADO un enlace a un sistema de acceso remoto, directo y seguro a los datos que garantice, de modo permanente, el acceso a su totalidad.
En el caso de fallecidos, este derecho lo podrán ejercitar las personas vinculadas al mismo por razones familiares o de hecho, así como sus herederos o las que hubiere designado expresamente para ello, excepto si el causante lo hubiese prohibido expresamente o así lo establezca una ley.
Motivos para ejercer el derecho
• Confirmar si se están tratando o no sus datos personales.
• Comunicar los datos personales que posee el RT.
• Informar del tratamiento efectuado con sus datos.
Razones para no dar curso al derecho
• Cuando no se traten sus datos.
• Cuando afecte negativamente los derechos y libertades de terceros.
Ejercicio del derecho
• Facilitar una copia de los datos personales sometidos a tratamiento.
• Facilitar la información básica del tratamiento:
◦ Los fines del tratamiento.
◦ Las categorías de datos.
◦ El plazo o criterios de conservación.
◦ El ejercicio de los derechos de rectificación o supresión de los datos personales y de la limitación u oposición al tratamiento.
◦ El derecho a presentar una reclamación a la AC.
• Facilitar información específica del tratamiento (si existe):
◦ Cuando exista una comunicación de datos:
▪ Los DESTINATARIOS o categorías de DESTINATARIOS, incluidos los internacionales.
◦ Cuando exista una TRANSFERENCIA internacional de datos:
▪ Información de las garantías adecuadas de protección de datos.
◦ Cuando exista una elaboración de PERFILES basada en un tratamiento AUTOMATIZADO:
▪ Información significativa sobre la lógica aplicada para tomar decisiones.
▪ Información sobre la importancia y las consecuencias previstas de dicho tratamiento para el INTERESADO.
▪ Información sobre si la decisión que se pueda tomar pudiera producirle efectos jurídicos que le afectaran significativamente.
◦ Cuando los datos no se obtienen del INTERESADO:
▪ Información de la fuente de procedencia.
Derecho de rectificación de los datos (art. 16 y 19 GDPR)
El INTERESADO tendrá derecho a que el RT rectifique sus datos sin demora injustificada cuando resulten inexactos o incompletos mediante una declaración rectificativa adicional.
El RT podrá solicitar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de rectificación.
En el caso de fallecidos, este derecho lo podrán ejercitar las personas vinculadas al mismo por razones familiares o de hecho, así como sus herederos o las que hubiere designado expresamente para ello, excepto si el causante lo hubiese prohibido expresamente o así lo establezca una ley.
Motivos para ejercer el derecho
• Cuando los datos resulten inexactos o incompletos.
Razones para no dar curso al derecho
• Cuando no existan motivos para ejercer el derecho.
• Cuando el tratamiento no admita manipulación de los datos (por ejemplo, las imágenes de videovigilancia).
Ejercicio del derecho
• Confirmar la rectificación de sus datos.
• Posibilitar el acceso a formularios electrónicos para actualizar los datos.
• Si existe una comunicación previa a DESTINATARIOS, informarles para que procedan a la rectificación (excepto si es imposible o exige un esfuerzo desproporcionado).
Derecho de supresión de los datos (derecho al olvido) (art. 17 y 19 GDPR)
El INTERESADO tendrá derecho a que el RT suprima sus datos sin demora injustificada.
Cuando la supresión derive del ejercicio del derecho de oposición, el RT podrá conservar los datos identificativos del INTERESADO con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
En el caso de fallecidos, este derecho lo podrán ejercitar las personas vinculadas al mismo por razones familiares o de hecho, así como sus herederos o las que hubiere designado expresamente para ello, excepto si el causante lo hubiese prohibido expresamente o así lo establezca una ley.
Motivos para ejercer el derecho
• El tratamiento sea ilícito.
• El INTERESADO haya retirado su consentimiento.
• Los datos ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
• Los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información (e-commerce).
• El INTERESADO haya ejercido el derecho de oposición y no prevalezcan otros motivos legítimos para el tratamiento.
• Los datos deban suprimirse para cumplir una obligación jurídica del RT.
Razones para no dar curso al derecho
• Cuando no existan motivos para ejercer el derecho.
• Cuando prevalezca el derecho a la libertad de expresión e información.
• Cuando exista una obligación jurídica del RT.
• Cuando sea necesario para la formulación, ejercicio o defensa de reclamaciones.
• Cuando exista un interés PÚBLICO fundamentado en la legislación vigente por razones de salud pública o para fines de investigación histórica, estadística o científica.
Ejercicio del derecho
• Supresión o seudonimización efectiva de los datos.
• Si existe una comunicación previa a DESTINATARIOS, informarles para que procedan a la supresión (excepto si es imposible o exige un esfuerzo desproporcionado).
Derecho al olvido en búsquedas de Internet (art. 93. LOPDGDD)
Toda persona tiene derecho a que los motores de búsqueda de Internet eliminen los resultados obtenidos tras una búsqueda efectuada a partir de su nombre, si los enlaces mostrados contienen información relativa a esa persona cuando fuesen:
• inadecuados
• inexactos
• no pertinentes
• no actualizados
• excesivos
• o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta:
◦ los fines para los que se recogieron o trataron
◦ el tiempo transcurrido
◦ la naturaleza e interés público de la información
• o las circunstancias personales del interesado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda de Internet
Este derecho subsistirá aun cuando sea lícita la conservación de la información publicada en el sitio web al que se dirija el enlace y no se proceda por la misma a su borrado previo o simultáneo.
Este derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerza el derecho.
Derecho al olvido en servicios de redes sociales y servicios equivalentes (art. 94. LOPDGDD)
Toda persona tiene derecho a que los servicios de redes sociales y servicios de la sociedad de la información equivalentes supriman los datos personales publicados cuando hayan sido facilitados:
• Por el mismo interesado. En este caso, se suprimirán a su simple solicitud.
• Por el mismo interesado o por terceros, durante su minoría de edad. En este caso, se suprimirán a su simple solicitud.
• Por terceros, cuando fuesen:
◦ inadecuados
◦ inexactos
◦ no pertinentes
◦ no actualizados
◦ excesivos
◦ o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta:
▪ los fines para los que se recogieron o trataron
▪ el tiempo transcurrido
▪ la naturaleza e interés público de la información
◦ o las circunstancias personales del interesado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio
Se exceptúan de este Derecho los datos que hayan sido facilitados por personas físicas en el ejercicio de actividades personales o domésticas.
Derecho a la portabilidad de los datos (en tratamientos AUTOMATIZADOS) (art. 20 GDPR)
El INTERESADO tendrá derecho a que el RT transmita sus datos a otro RT o al mismo INTERESADO, mediante un formato estructurado de uso habitual y lectura mecánica
Motivos para ejercer el derecho
• Cuando el tratamiento se efectúe por medios AUTOMATIZADOS y se base en:
◦ El consentimiento del INTERESADO para fines específicos.
◦ La ejecución de un contrato o precontrato con el INTERESADO.
Razones para no dar curso al derecho
• Cuando no existan motivos para ejercer el derecho.
• Cuando sea técnicamente imposible la transmisión.
• Cuando pueda afectar negativamente a los derechos y libertades de terceros.
• Cuando el tratamiento tenga una misión de interés PÚBLICO fundamentado en la legislación vigente.
Ejercicio del derecho
• Transmitir los datos a otro RT o al mismo INTERESADO.
◦ Con un formato estructurado de uso habitual y lectura mecánica.
Derecho de portabilidad en servicios de redes sociales y servicios equivalentes (art. 95. LOPDGDD)
Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho, siempre que sea técnicamente posible, a:
• Recibir los contenidos que les hubieran facilitado.
• Que se transmitan dichos contenidos directamente a otro prestador designado por el usuario.
Los prestadores podrán conservar, sin difundirla a través de Internet, la copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal.
Derecho a la limitación del tratamiento (art. 18 y 19 GDPR)
El INTERESADO tendrá derecho a que el RT marque sus datos con el fin de limitar el tratamiento.
Cuando un tratamiento esté limitado, deberá constar claramente en los sistemas de información del RT.
Motivos para ejercer el derecho
• El INTERESADO impugne la exactitud de los datos.
• El tratamiento sea ilícito y el INTERESADO se oponga a la supresión de los datos y solicite en su lugar la limitación de su uso.
• El INTERESADO se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del RT prevalecen sobre los del INTERESADO.
• El RT ya no necesite los datos para los fines del tratamiento, pero el INTERESADO los necesite para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
Razones para no dar curso al derecho
• Cuando no existan motivos para ejercer el derecho.
• Cuando exista una justificación lícita para levantar la restricción y esta se haya comunicado al INTERESADO.
Ejercicio del derecho
• Marcar los datos solicitados con el fin de limitar temporalmente su tratamiento.
• Si existe una comunicación previa a DESTINATARIOS, informarles para que procedan a limitar el tratamiento (excepto si es imposible o exige un esfuerzo desproporcionado).
Justificación para levantar la restricción, previa comunicación al INTERESADO
• Porque el INTERESADO ha dado el consentimiento.
• Cuando exista la posibilidad de que el tratamiento afecte a la protección de los derechos de otra persona física o jurídica.
• Por un procedimiento judicial que lo justifique.
• Por un motivo importante de interés PÚBLICO fundamentado en la legislación vigente.
Derecho de oposición al tratamiento (art. 21 GDPR)
El INTERESADO tendrá derecho a oponerse al tratamiento de sus datos realizado por un RT por motivos relacionados con su situación particular.
Motivos para ejercer el derecho
• Mercadotecnia directa.
• Servicios de la sociedad de información (e-commerce).
• Tratamiento basado en la satisfacción de intereses legítimos del RT o de terceros, siempre que estos no prevalezcan sobre los intereses o los derechos y libertades del INTERESADO, especialmente si es un menor*.
• Elaboración de PERFILES.
• Tratamientos con fines de investigación histórica, estadística o científica, salvo que el tratamiento sea necesario por motivos de interés PÚBLICO.
Menor*: En el artículo 8 del GDPR se establece la edad de los niños, como norma general, a los menores de 16 años, aunque cada Estado miembro puede establecer por ley una edad inferior a tales fines, siempre que no sea inferior a 13 años. En España se ha establecido en 14 años.
Razones para no dar curso al derecho
• Cuando no existan motivos para ejercer el derecho.
• Cuando el RT acredite motivos legítimos imperiosos que prevalezcan sobre los intereses o los derechos y las libertades del INTERESADO.
Ejercicio del derecho
• Marcar los datos con el fin de no realizar ningún tratamiento posterior.
Derecho a no ser objeto de una elaboración de PERFILES basada en un tratamiento AUTOMATIZADO (art. 22 GDPR)
El INTERESADO tendrá derecho a no ser objeto de una elaboración de PERFILES cuya finalidad sea adoptar decisiones individuales basadas en un tratamiento AUTOMATIZADO de datos.
Motivos para ejercer el derecho
• Cuando la finalidad del tratamiento sea adoptar decisiones individuales basadas en un tratamiento AUTOMATIZADO de datos y destinadas a evaluar, analizar o predecir alguno de los siguientes aspectos personales:
◦ Rendimiento profesional.
◦ Situación económica.
◦ Salud.
◦ Preferencias o intereses personales.
◦ Fiabilidad.
◦ Comportamiento.
◦ Ubicación o movimientos de la persona.
Razones para no dar curso al derecho
• Cuando no existan motivos para ejercer el derecho.
• Cuando la decisión individual tomada no se base únicamente en un tratamiento AUTOMATIZADO.
• Cuando la decisión se base en un consentimiento explícito o sea necesaria para la celebración de un contrato entre el RT y el INTERESADO, y el RT haya adoptado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del INTERESADO, como mínimo, el derecho a obtener intervención humana por parte del RT, a expresar su punto de vista y a impugnar la decisión.
• Cuando la decisión se base en un tratamiento fundamentado en la legislación vigente.
Ejercicio del derecho
• Informar si la decisión que pueda ser tomada puede producir efectos jurídicos que afecten significativamente al INTERESADO.
• Cuando el tratamiento haya sido autorizado mediante un consentimiento explícito o un contrato entre el RT y el INTERESADO, posibilitar el derecho a obtener la intervención humana por parte del RT y a que el INTERESADO pueda expresar su punto de vista e impugnar la decisión tomada.
• Según solicite el INTERESADO, ejercitar el derecho de acceso, rectificación, supresión o portabilidad de los datos; o el de limitación u oposición al tratamiento.