Entrada en vigor del Reglamento
La entrada en vigor y posterior aplicación -a partir del 25 de mayo de 2018- del Reglamento General de Protección de Datos (RGPD) ha traído consigo la ampliación del catálogo de derechos que puede ejercitar el interesado o titular de los datos personales frente al Responsable del Tratamiento.
Originariamente y conforme a la normativa actual en España (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal), se reconocía la existencia de los denominados Derechos ARCO a favor de los interesados, esto es, los Derechos de Acceso, Rectificación, Cancelación y Oposición.
El primero de ellos, el derecho de acceso, consiste en el derecho del ciudadano a obtener información sobre el tratamiento que se está haciendo de sus datos personales; principalmente, acerca de la finalidad de dicho tratamiento, el origen y las posibles cesiones o comunicaciones realizadas sobre los mismos. El ejercicio de este derecho es personalísimo, al igual que el del resto de derechos, es personalísimo, no pudiendo afectar a datos personales de terceros. Con el nuevo RGPD, el derecho de acceso facilitará también la obtención de una copia de los datos tratados, por parte del interesado, cuestión que hasta ahora sólo resultaba posible en casos de historiales clínicos de pacientes.
De otro lado, el derecho de rectificación implica para el interesado, la posibilidad de modificar sus datos personales cuando éstos resulten inexactos o incompletos. Al igual que para el caso anterior, el ejercicio de este derecho es personalísimo.
Por su parte, el derecho de cancelación, permite al interesado solicitar que sus datos personales se supriman cuando resulten inadecuados o excesivos. La cancelación da lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de las mismas.
Finalmente, el derecho de oposición, habilita al afectado para que no se lleve a cabo el tratamiento de sus datos o se cese en el mismo cuando no sea necesario su consentimiento para el tratamiento, en base a la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que justifique dicha petición.
Nuevos derechos recogidos en el Reglamento
Con el nuevo RGPD, se ha intentado extender el actual catálogo de derechos, con la inclusión de otras tipologías que, en parte, responden a la realidad tecnológica que vivimos. De este modo, se conceden a favor del interesado o titular de los datos, los siguientes nuevos derechos:
- Derecho a la portabilidad de los datos: se trata de una forma avanzada o cualificada del derecho de acceso, que permite la transmisión directa de datos personales del interesado (sin transmisión previa al titular de los datos), de un Responsable del tratamiento a otro Responsable, siempre que resulte técnicamente posible. Este derecho solamente se ejercitará si el tratamiento se efectúa por medios automatizados, cuando se base en el consentimiento o en un contrato, y cuando el titular de los datos lo solicita respecto a datos proporcionados al Responsable, incluidos los que puedan derivarse o ser resultado de la propia actividad de aquél.
- Derecho de supresión (el ya conocido derecho al olvido, famoso por su aplicación en el caso de gigantes tecnológicos como Google): se trata de una manifestación de los derechos de oposición y cancelación al tratamiento de datos en el entorno online. Procederá siempre que los datos sean inexactos o la finalidad que motivó su tratamiento haya desaparecido, así como cuando no sean pertinentes o estén desactualizados. En todo caso, habrá que ponderar si prevalecen otros intereses o derechos (Ej: la libertad de expresión o la libertad de información).
- Derecho a la limitación del tratamiento: este derecho se despliega, fundamentalmente, en dos vertientes (suspensión / conservación), de conformidad con las siguientes circunstancias:
- El interesado impugna la exactitud de los datos tratados, y mientras esta solicitud se verifica, pide que se suspenda o limite el tratamiento de los mismos.
- El interesado se opone al tratamiento de sus datos, y mientras se verifica qué intereses prevalecen, solicita la suspensión o limitación del tratamiento.
- El interesado solicita al Responsable que conserve sus datos personales cuando el tratamiento es ilícito (lo cual originaría su borrado), pero el titular de los datos escoge que se limite el tratamiento (previsiblemente para la formulación de reclamaciones).
- El interesado es consciente de que el Responsable ya no necesita o requiere sus datos (lo cual también originaría su borrado, pero solicita la limitación del tratamiento para el ejercicio de derechos o defensa de reclamaciones).
- Derecho a no ser objeto de decisiones individualizadas: se trata del derecho a no ser objeto de una decisión exclusivamente basada en una elaboración de perfiles (automatizada), que pueda ocasionar efectos jurídicos sobre el interesado, salvo que exista consentimiento expreso por parte del titular de los datos, habilitación por normativa europea o de los Estados Miembros, o sea necesario para la celebración o ejecución de un contrato.
Complementariamente a la ampliación del catálogo de derechos, cabe señalar que éstos podrán seguir ejercitándose como viene siendo de forma habitual, frente al Responsable del Tratamiento, si bien con las modificaciones introducidas en materia de Encargos de tratamiento de datos, en los propios acuerdos o contratos suscritos para tal fin, se podrá especificar concretamente si tales derechos serán atendidos por el Responsable o por el Encargado del Tratamiento, y en el segundo supuesto, de qué forma y bajo qué medidas de comunicación al Responsable de las solicitudes o peticiones recibidas. También en todo caso, cabría acudir a la AEPD en caso de contestación fuera de plazo, negativa o no contestación a dichas solicitudes.
Sin duda y a modo de conclusión, cabe afirmar que con el nuevo RGPD y su futura aplicación, se refuerza la protección conferida al titular de los datos, permitiéndole además adaptar la salvaguarda de sus intereses a la evolución tecnológica.
Fuentes
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
Reglamento General de Protección de Datos (RGPD)
Guía del RGPD para Responsables de Tratamiento (AGPD)
Directrices sobre el Derecho a la Portabilidad de los Datos (Grupo de Trabajo del Artículo 29 – GT 29)