DERECHOS DEL INTERESADO EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
1. INTRODUCCIÓN
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), dedica su Capítulo III a regular los Derechos de las personas.
A los tradicionales derechos existentes en la normativa de protección de datos, los derechos ARCO, acceso, rectificación, cancelación y oposición, regulados en el TIII de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD) y en el Real Decreto 1720/2007, de 21 de diciembre, por el que aprobó el Reglamento de desarrollo de la LOPD, el RGPD añade nuevos derechos como son el derecho a la portabilidad del dato, el derecho a la limitación en el tratamiento y el derecho al olvido, derecho que se ha venido considerado incluido dentro del derecho de cancelación y oposición.
El derecho a la protección de datos de carácter personal como derecho fundamental, en España, se ha ido construyendo, por el Tribunal Constitucional (en adelante TC) a través de su sentencias, considerándose un derecho derivado del artículo 18.4 CE, el cual dispone: <<La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos>>. Así, el TC en su Sentencia 94/1998, de 4 de mayo, señalaba que nos encontramos ante un derecho fundamental a la protección de datos y en Sentencias STC 254/1993 y 292/2000[1], de 30 de noviembre, lo consideró como un derecho autónomo e independiente.
Los límites entre el derecho a la protección de datos y otros derechos como el derecho a la intimidad o el derecho a la transparencia no son siempre del todo claros. Sin embargo en este artículo no voy a tratar este tema, del que ya se ha escrito con anterioridad. Sirva de ejemplo la publicación de COLOM PLANAS, José Luis “Conflicto jurídico entre el derecho a la intimidad y el derecho a la información”[2] y la de ORTEGA EXPÓSITO, Gema “Transparencia versus Protección de Datos”[3].
Tampoco analizaremos en este artículo el derecho a la información, al que dedicaremos otro artículo y en relación al cual la AEPD ha publicado la Guía para el cumplimiento del deber de informar[4].
El derecho a la protección de datos no es un derecho fundamental absoluto, podrán verse limitado, siempre que el contenido esencial del mismo no quede afectado. El RGPD regula las excepciones en el ejercicio de derechos e introduce novedades que trataremos en este artículo.
2. LOS DERECHOS EN EL RGPD
Como hemos señalado, el RGPD amplía el catálogo de derechos, añadiendo a la regulación nuevos elementos que mejoran la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.
2.1. Derecho de Acceso
El derecho de acceso viene regulado en al art. 15 del RGPD y se recoge en los considerandos 63 y 64, como un derecho del interesado a obtener, del responsable del tratamiento, confirmación de si se están tratando o no datos personales que le conciernen.
El RGPD amplía la información a la que ha de acceder el interesado, respecto de la que venía recogida en el artículo 12 de la Directiva 95/46 y artículo 15 LOPD. Así, de la regulación del Derecho de Acceso contenida en el RGPD se desprende que, en caso de que se estén tratando sus datos personales, el interesado puede acceder a los mismos y a la siguiente información:
- Finalidad del tratamiento
- Categoría de los datos personales que se tratan
- Destinatarios o categorías de destinatarios a los que se les comunicará estos datos
- Plazo previsto de conservación o, si no es posible, los criterios para su determinación
- La existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de datos personales o la restricción del tratamiento de los datos personales relativos al interesado o a oponerse al tratamiento de dichos datos.
- Existencia del derecho a presentar una reclamación ante la autoridad de control.
- Cuando los datos personales no se hayan obtenido del interesado, se le facilitará cualquier información disponible sobre su origen.
- En el caso de las decisiones basadas en un tratamiento automatizado que comprenda la elaboración de perfiles, información sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento la importancia y las consecuencias previstas de dicho tratamiento.
- Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías apropiadas.
El derecho de rectificación, viene regulado en el Artículo 16 del RGPDUE, como el derecho que tiene el interesado a solicitar del responsable del tratamiento la rectificación de sus datos cuando sean inexactos. Ante esta solicitud el responsable deberá satisfacer este derecho sin dilación indebida. Derecho que en idénticos términos recoge el Considerando (65).
Teniendo en cuenta los fines para los cuales hayan sido tratados los datos, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular por medio de la entrega de una declaración.
2.3. Derecho de Supresión
El derecho a la supresión, derecho al olvido, regulado en el artículo 17 del RGPD, es la denominación que da el Reglamento al tradicional derecho de cancelación, que regula la LOPD y su Reglamento de desarrollo.
En base al mismo el interesado tendrá derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
- Cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
- Cuando el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico.
- Cuando el interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
- Cuando los datos personales hayan sido tratados ilícitamente.
- Cuando los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
- Cuando los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información dirigidos a menores.
El responsable del tratamiento estará obligado a suprimir sin dilación indebida los datos personales, ante la solicitud de un derecho de supresión en la que se den las circunstancias que recoge el RGPD.
2.4. Derecho de oposición
El derecho de oposición viene regulado en el artículo 21del RGPD y en los Considerandos (69) y (70). Podemos decir que es el derecho del interesado a oponerse, en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento.
Ante el ejercicio del derecho de oposición el responsable del tratamiento dejará de tratar los datos personales. Sin embargo no es este un derecho absoluto del interesado, por lo que procederá, en algunos supuestos realizar una ponderación con el fin de considerar si prevalece o no el derecho del interesado.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines. Así pues en estos casos no procederá realizar ponderación alguna.
2.5. Derecho a la Portabilidad
El derecho a la portabilidad es uno de los nuevos derechos que regula el RGPD, en su artículo 20 como un derecho autónomo e independiente, aunque algunos autores lo han visto como una mera concreción del principio de consentimiento y se ha visto como una forma avanzada el derecho de acceso, como señala la propia AEPD en su Guía para responsables[5].
A tenor del Considerando (68) con este derecho se refuerza en mayor medida el control del interesado sobre sus propios datos. Así con el fin de que se logre una mayor efectividad del mismo se alentará a los responsables a crear formatos interoperables que permitan la portabilidad de datos.
Como se verá con la posibilidad de ejercer este derecho se incrementa la capacidad de decisión del interesado sobre sus datos personales.
Señala el artículo 20.1 RGPD << El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.>>
De la lectura del artículo podemos señalar que el derecho a la portabilidad es el derecho que permite al interesado recibir los datos que ha proporcionado al responsable y le faculta a transmitirlos, a otro responsable del tratamiento, sin impedimentos.
La interpretación e implementación de este derecho ha sido objeto de consideración por el Grupo de Trabajo del Artículo 29, que ha publicado sus Directrices sobre el derecho a la portabilidad de los datos[6]. Directrices que tendré en consideración para desarrollar, en otro artículo, el derecho a la portabilidad de los datos y los principales elementos que lo constituyen.
2.6. Derecho a la Limitación
El derecho a la limitación del tratamiento de los datos personales es otro de los nuevos derechos que recoge el RGPD en su artículo 18, como un derecho del interesado que podrá solicitar ante el responsable del tratamiento.
El artículo 4 del RGPD, en sus definiciones incluye la de limitación del tratamiento: << el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro>>. Se trata de una medida cautelar que reduce el tratamiento de los datos personales a la conservación.
Los supuestos en los que el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos están tasados por la norma y son:
- Cuando el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.
- Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
- Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
- Cuando el interesado se haya opuesto al tratamiento ejercitando su derecho de oposición, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
2.7. Derecho a no ser objeto de decisiones individualizadas
El derecho a limitar las decisiones individuales automatizadas se regula en el artículo 22 del RGPD, como el derecho de todo interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
Sin embargo el RGPD recoge unos supuestos en los que es lícito efectuar el tratamiento y tomar una decisión automatizada:
- Cuando está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
- Cuando sea necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
- Cuando se basa en el consentimiento explícito del interesado.
3. NOTAS COMUNES AL EJERCICIO DE DERECHOS
El RGPD no sólo modifica el catálogo de derechos, sino que además introduce novedades en el procedimiento para su ejercicio.
Siguiendo la Guía del Reglamento General de Protección de Datos para responsables de tratamiento, publicada por las autoridades de control, AEPD, APDCAT, Agencia Vasca de Protección de Datos [7] voy a señalar las notas comunes al procedimiento de ejercicio de derechos:
- En primer lugar tenemos que señalar con el fin de hacer efectivo el ejercicio de derechos por el interesado se ha de aplicar en todo momento el Principio de Transparencia. Toda la información que se dirija al interesado ha de ser concisa, de fácil acceso y a través de un lenguaje claro y sencillo. Se intenta evitar las políticas de privacidad excesivamente largas o difíciles de entender. Además, especialmente se establece que en el caso de que vayan dirigidas a menores, la información deberá ser también entendible por éstos últimos.
- Los responsables deben facilitar a los interesados el ejercicio de sus derechos. Este mandado contenido en el artículo 12.2 RGPD supone que los procedimientos y las formas que se faciliten a los interesados, para el ejercicio de sus derechos, deben ser visibles, accesibles y sencillos.
Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.
A diferencia de la actual regulación, en el RGPD se establece como una obligación expresa de los responsables hacer efectivos los derechos del interesado.
En este punto voy a referirme al Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante APLOPD) que, en su artículo 22.3 señala:<<El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.>>.
- El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, el responsable podrá cobrar un canon que compense lo costes administrativos de atender a la petición o negarse a actuar (el canon no podrá implicar un ingreso adicional para el responsable, sino que deberá corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud), artículo 12.5 RGPD.
Recaerá sobre el responsable la carga de demostrar el carácter infundado o excesivo de las solicitudes que tengan un coste para el interesado.
- Se trata de derechos independientes, es decir, que el ejercicio de ninguno de ellos es requisito previo para el ejercicio del otro.
- El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
- El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
En esta línea el artículo 22.4 APLOPD señala: <<El encargado podrá atender, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.>>
- Ante la solicitud de ejercicio de derechos el responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes, artículo 12.3 RGPD. Este plazo de un mes, común al ejercicio de todos los derechos, supone una novedad, dado que en la actual regulación se establecían distintos plazos para atender la solicitud y dar respuesta a la misma.
Este plazo podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. En este caso el responsable deberá notificar, al interesado, esta ampliación dentro del primer mes.
- Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación e informará de la posibilidad de presentar una reclamación ante las autoridades de control, artículo 12.4 RGPD.
- En caso que la solicitud no contemple la información requerida, el responsable deberá solicitar la subsanación de la misma.
- La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable.
4. EXCEPCIONES AL EJERCICIO DE DERECHOS
Como ya he señalado el RGPD introduce una novedad en materia de excepciones a los derechos, esta novedad consiste en que permite previsiones normativas por parte de los Estados miembros, que limiten el alcance de las obligaciones y de los derechos de los interesados, establecidos en los artículos 12 a 22, así como limitaciones a los principios relativos al tratamiento (artículo 5 RGPD) y al deber de notificar al interesado brechas de seguridad en el tratamiento (artículo 34 RGPD).
Según el artículo 23 del RGPD los Estados de la UE podrán llevar a cabo esta regulación, cuando la limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada que salvaguarde:
<<a) la seguridad del Estado;
- b) la defensa;
- c) la seguridad pública;
- d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
- e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
- f) la protección de la independencia judicial y de los procedimientos judiciales;
- g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
- h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
- i) la protección del interesado o de los derechos y libertades de otros;
- j) la ejecución de demandas civiles.>>
El mismo artículo señala los aspectos y disposiciones específicas que debe regular:
- La finalidad del tratamiento o de las categorías de tratamiento.
- Las categorías de datos personales de que se trate.
- El alcance de las limitaciones establecidas.
- Las garantías para evitar accesos o transferencias ilícitos o abusivos.
- La determinación del responsable o de categorías de responsables.
- Los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza alcance y objetivos del tratamiento o las categorías de tratamiento
- Los riesgos para los derechos y libertades de los interesados
- El derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.
El RGPD en su articulado regula la previsión de otras concretas excepciones:
- En tratamientos de datos personales realizados con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados de la UE podrán establecer exenciones o excepciones de lo dispuesto en relación con los derechos, si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.
- En tratamientos de datos personales realizados con fines de archivo en interés público, los Estados de la UE podrá prever excepciones a los derechos de los interesados, sujetas a las condiciones y garantías del RGPD, siempre que esos derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.
La posibilidad de que los Estados de la UE legislen regulando excepciones a los derechos de los interesados también se contempla en el Considerando (153), en el que prevé que las exenciones o excepciones que se regulen podrán diferir de un Estado miembro a otro y señala que, en esos casos <<debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento>>.
[1] STC 292/2000 Fundamento Jurídico Séptimo <<el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero>>.
[2] COLOM PLANAS, José Luis http://www.aspectosprofesionales.info/2013/10/conflicto-juridico-entre-el-derecho-la.html Última consulta efectuada el 13/17/2017.
[3] ORTEGA EXPÓSITO, Gema http://www.elderecho.com/tribuna/administrativo/Transparencia-versus-Proteccion-Datos_11_1032805002.html Última consulta efectuada el 13/17/2017.
[4] Guía para el cumplimiento del deber de informar publicada por las autoridades de control, AEPD, APDCAT, Agencia Vasca de Protección de Datos https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf Última consulta efectuada el 17/10/2017.
[5] Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento, AEPD, APDCAT, Agencia Vasca de Protección de Datos. Puede consultarse en https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf Última consulta efectuada el 17/10/2017.
[6] Directrices sobre el derecho a la portabilidad de los datos. Grupo de Trabajo Artículo 29 https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricesportabilidad.pdf Última consulta efectuada el 17/10/2017.
[7] Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento, AEPD, APDCAT, Agencia Vasca de Protección de Datos. Puede consultarse en https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf Última consulta efectuada el 17/10/2017.
Nieves Chaveli Donet
Legal Advisor – Govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.