El RGPD recoge derechos ya existentes y los amplía, pero también crea nuevos. Así, regula los derechos siguientes:
- El derecho de acceso
- El derecho de rectificación
- El derecho de supresión
- El derecho de oposición
- El derecho a la limitación del tratamiento
- El derecho a la portabilidad
- Derecho a no ser objeto de decisiones individuales automatizadas
El RGPD reconoce el derecho a ser informado sobre las condiciones en que se lleva a cabo el tratamiento de los datos personales.
La información se tiene que proporcionar de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente cuando la información se dirige a un menor.
La información tiene que hacer referencia a:
- La identidad y datos de contacto del responsable y, si corresponde, de su representante.
- Los datos de contacto del delegado de protección de datos.
- Las finalidades y la base jurídica del tratamiento.
- Los destinatarios o categorías de destinatarios de los datos.
- La intención de transferir los datos a un tercer país o a una organización internacional y la base para hacerlo, si corresponde.
- El plazo durante el cual se conservarán los datos o los criterios para determinarlo.
- El derecho a solicitar el acceso a los datos, a rectificarlos o a suprimirlos, a limitar el tratamiento, a oponerse y a solicitar la portabilidad.
- El derecho a retirar en cualquier momento el consentimiento que se ha prestado.
- Si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos y está informado de las consecuencias de no hacerlo.
- El derecho a presentar una reclamación ante una autoridad de control, o, si corresponde, ante el Delegado de protección de datos.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y la información sobre la lógica aplicada y sus consecuencias.
Derecho de acceso: derecho de la persona interesada a saber si el responsable del tratamiento trata datos personales suyos y, si es así, a acceder a estos datos y obtener la información sobre cómo se están tratando.
Derecho de rectificación: derecho a rectificar los datos personales inexactos y que se completen las que sean incompletas, incluso mediante una declaración adicional.
Derecho de supresión (derecho al olvido): derecho a obtener la supresión de los datos personales ("derecho al olvido"), cuándo ya no son necesarias para la finalidad para la cual se recogieron; se revoca el consentimiento en el cual se basaba el tratamiento; hay oposición al tratamiento; los datos se han tratado ilícitamente; los datos se han tratado para cumplir una obligación legal o se han obtenido en relación con la oferta de servicios de la sociedad de la información dirigida a menores.
Cuándo el responsable ha hecho públicos los datos personales y se tienen que suprimir, tiene que adoptar medidas razonables para informar de la supresión a otros responsables que están tratando estos datos.
Derecho de oposición: derecho a oponerse al tratamiento de los datos personales por motivos relacionados con la situación personal de la persona interesada.
Cuando el tratamiento tiene por objeto el marketing directo, incluida la elaboración de perfiles relacionados con este marketing, los datos se tienen que dejar de tratar de manera inmediata.
Derecho a la limitación del tratamiento: derecho consistente en el marcado de los datos de carácter personal conservados, con la finalidad de limitar el tratamiento en el futuro.
La limitación del tratamiento supone que, a petición de la persona interesada, sus datos personales se dejarán de tratar.
Derecho a la portabilidad de los datos: derecho a recibir los datos personales que ha facilitado a un responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y a transmitirlas a otro responsable, si se cumplen los requisitos siguientes:
- El tratamiento se basa en el consentimiento o en un contrato.
- El tratamiento se hace por medios automatizados.
Derecho a no ser objeto de decisiones individuales automatizadas: derecho a no ser objeto de una decisión basada sólo en el tratamiento automatizado de los datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre la persona interesada o que lo afecte negativamente, a no ser que la decisión sea necesaria para formalizar o ejecutar un contrato entre el interesado y un responsable de tratamiento, se base en el consentimiento explícito del interesado o esté autorizada por el derecho de la Unión o del estado miembro correspondiente.
Todos estos derechos se tienen que ejercer ante la entidad responsable del tratamiento (Generalitat, diputación, ayuntamiento, consorcio, universidad, etc.) que corresponda.
El derecho a la portabilidad de los datos no es exigible cuando el tratamiento de los datos personales es necesario para el cumplimiento de una misión realizada en interés público, para el ejercicio de poder públicos conferidos al responsable del tratamiento, o cuando el tratamiento de los datos personales es necesario para el cumplimiento de una obligación legal. Como las administraciones públicas realizan la mayoría de sus tratamientos de datos basados en estas bases jurídicas, se puede decir que, en general, el derecho a la portabilidad no será exigible a las administraciones públicas en el ejercicio de sus competencias.
Pero no se puede obviar que, en determinados supuestos de actuación administrativa en los que el tratamiento además de efectuarse por medios automatizados tenga como base jurídica el consentimiento del interesado o sea necesario para la ejecución de un contrato en el que el interesado sea parte, este derecho sí será exigible. En consecuencia, en estos casos las administraciones deben informar del derecho a la portabilidad y facilitar su ejercicio.
Para más información consultar el Dictamen CNS 54/2018.
La Autoridad Catalana de Protección de Datos no dispone de información sobre qué entidades tienen los datos personales que conciernen a una persona particular.
Si queréis saber si una entidad dispone de vuestros datos personales, podéis ejercer, gratuitamente, el derecho de acceso ante el responsable del tratamiento. Mediante este derecho podéis obtener una copia de los datos que se tratan e información sobre:
- Si se tratan vuestros datos personales, con qué finalidad y qué usos concretos.
- Las categorías de datos que se tratan.
- De dónde se han obtenido y si se han comunicado o se pretenden comunicar, y a quién.
- El plazo de conservación de los datos o los criterios para determinarlo.
- El derecho a solicitar el acceso a los datos, a rectificarlos o a suprimirlos, a limitar el tratamiento, a oponerse y a solicitar la portabilidad.
- El derecho a presentar una reclamación ante una autoridad de control, o, si corresponde, delante del Delegado de protección de datos.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y la información sobre la lógica aplicada y sus consecuencias.
El responsable tiene que atender la solicitud de ejercicio del derecho en el plazo de un mes desde que la recibe, prorrogable dos meses más si es necesario, según la complejidad y el número de solicitudes.
Se tiene que informar el interesado de la prórroga dentro del plazo del primer mes (desde que se recibe la solicitud) e indicar los motivos de la dilación.
El RGPD introduce nuevos derechos para las personas afectadas, como el derecho al olvido, a los cuales se vincula al derecho de supresión, el derecho a la portabilidad o el derecho a la limitación del tratamiento.
Pero, además, el Reglamento establece otras garantías para las personas afectadas:
Por una parte, establece la aplicabilidad de la normativa europea no sólo cuando el establecimiento del responsable o del encargado esté en un estado de la Unión Europea, sino en cualquier otro caso en que el tratamiento se haga con ocasión de una oferta de bienes y servicios o del control del comportamiento de interesados que se encuentran en la Unión Europea. Eso refuerza especialmente la aplicabilidad de la normativa europea en los servicios prestados a la red.
Por otra parte, también les garantiza el derecho a ser informados sin dilaciones indebidas de las violaciones de seguridad que comportan un riesgo alto para sus derechos y libertades, para que puedan adoptar las medidas pertinentes.
Finalmente, en tratamientos en que pueda haber elementos de internacionalidad, el mecanismo de la ventanilla única (one stop shop) que prevé el RGPD permite que los ciudadanos no se tengan que relacionar con autoridades de control diferentes de la del estado en que residen, para plantear reclamaciones o denuncias.
La recepción de mensajes y comunicaciones publicitarias puede producirse en supuestos en los que has prestado tu consentimiento, también en supuestos en los que la publicidad esté relacionada con productos o servicios similares a los que tienes contratados con una determinada empresa o como consecuencia del interés legítimo de la entidad que promueve el envío.
En función de cuál sea la base jurídica en que se funde el envío puedes emplear una u otra de las siguientes vías para dejar de recibir publicidad:
- Inscríbete en un sistema de exclusión publicitaria (Lista Robinson)
Si no deseas recibir publicidad en casos en que no hayas prestado tu consentimiento inscribirte en una Lista Robinson puede ser una buena solución. Estas listas deben ser consultadas por las empresas que quieran realizar una campaña publicitaria y deben excluir de la campaña a las personas inscritas.
Sin embargo, la inscripción en estas listas no evitará que recibas publicidad si se trata de una empresa de la que eres cliente y afecta a productos relacionados con los que tienes contratados o si has prestado tu consentimiento a este tipo de envíos.
La inscripción en estas listas es gratuita.
Actualmente sólo existe el sistema de exclusión publicitaria, denominado Lista Robinson, gestionado por la Asociación Española de Economía Digital (ADIGITAL).
Al inscribirte en esta lista puedes decidir dejar de recibir publicidad por cualquier medio o bien elegir el medio o el canal de comunicación a través del que no quieres recibir publicidad (correo postal, llamadas telefónicas, correo electrónico u otro medio).
Debes tener en cuenta que la inscripción en la Lista Robinson es eficaz a partir del tercer mes desde la fecha en que se notifique la exclusión. Por ello, es posible que durante este plazo sigas recibiendo alguna comunicación comercial.
Es importante que los datos facilitados en el momento de inscribirse en la lista sean exactos, dado que la exclusión sólo produce efecto respecto las direcciones o número de teléfono que coincidan, en todos sus caracteres, con las facilitadas por el interesado.
Te puedes inscribir en la Lista Robinson a través de este enlace.
- Revoca tu consentimiento
El envío de información publicitaria puede basarse en el consentimiento de la persona afectada.
Este consentimiento debe ser expreso cuando se trate de llamadas telefónicas automáticas sin intervención humana o cuando se trate de comunicaciones comerciales por medio de correo electrónico, sms, mms u otro medio de comunicación electrónica, salvo que se trace de una entidad de la que seas cliente y las comunicaciones publicitarias se refieran a productos o servicios similares a los contratados.
Si diste tu consentimiento para utilizar tus datos con fines publicitarios y no deseas seguir recibiendo publicidad, en cualquier momento puedes revocar el consentimiento prestado, a través de un medio sencillo y gratuito, como puede ser la llamada a un teléfono gratuito o los servicios de atención al público que haya establecido el responsable del tratamiento. Cuando las comunicaciones hayan sido enviadas por correo electrónico, el envío debe incluir una dirección de correo electrónico u otra dirección electrónica válida donde se pueda revocar el consentimiento.
- Ejerce tu derecho de oposición
Si no quieres que una determinada empresa trate tus datos con fines publicitarios, puedes ejercer en cualquier momento tu derecho de oposición ante este responsable, a través de un medio sencillo y gratuito, para que te excluya de las campañas publicitarias que realice.
Al ejercer tu derecho de oposición indica claramente en la solicitud que no quieres que se traten tus datos con fines publicitarios, indica el canal o canales a los que se refiere la oposición, y los datos que no quieres que se traten.
Cuando se trate de comunicaciones enviadas por correo electrónico, el ejercicio del derecho de oposición debe poder realizarse a través de la dirección de correo electrónico u otra dirección electrónica válida que necesariamente debe incluirse en las mismas comunicaciones electrónicas con fines publicitarios.
- Ejerce tu derecho a no figurar en las guías telefónicas
Puedes ejercer, de manera gratuita, tu derecho a no aparecer en las guías telefónicas o, si lo prefieres, a seguir formando parte de ellas, pero sin que se puedan emplear tus datos con fines publicitarios. También puedes pedir que se omita parcialmente la dirección o algún otro dato de los que figuren.
Para ejercer este derecho puedes dirigirte a la operadora con la que tienes contratado el servicio telefónico y comunicarle que no quieres que tus datos personales sean publicados en las guías de abonados o que no sean utilizadas con fines publicitarios.
Tus datos serán retirados o excluidos de fines publicitarios de la versión en línea de las guías telefónicas y también en la siguiente edición de las que se editan en papel o en algún otro soporte físico.
Si bien la normativa de protección de datos no se aplica a los tratamiento de los datos de personas difuntas, la LOPDGDD prevé que, a menos que la persona difunta lo haya prohibido expresamente, las personas vinculadas a la persona difunta, por razones familiares o de hecho, así como sus herederos pueden solicitar al responsable o encargado del tratamiento el acceso a los datos personales de su familiar muerto o, en su caso ejercer en su nombre los derechos de rectificación o supresión de estos.
También se prevé la posibilidad de que se pueda hacer una designación póstuma para que determinadas personas o instituciones puedan acceder a los datos personales de la persona difunta y ejercer, en su caso los derechos de rectificación o supresión de estos.
En el caso de los menores estas funciones se pueden realizar por sus representantes legales o por el Ministerio Fiscal.
Cualquier persona tiene derecho a acceder a la documentación de su historia clínica y a obtener una copia de los datos que figuran. No obstante, este derecho nunca puede ser en perjuicio del derecho de terceras personas a la confidencialidad de sus datos que figuran en esta documentación, ni del derecho de los profesionales que han intervenido en la elaboración de la documentación, que pueden invocar la reserva de sus observaciones, apreciaciones o anotaciones subjetivas.
Los menores de edad que sean mayores de 14 años, que no se encuentren incapacitados, deben poder ejercer los derechos inherentes a la autodeterminación informativa por ellos mismos.
Sin embargo, los padres que ejerzan la patria potestad o los representantes legales del menor -incluido el menor que sea mayor de 14 años-, precisamente por esta condición de representantes legales, pueden acceder a la información del menor sin que ello suponga una vulneración de la confidencialidad de la información. Sin perjuicio de ello, cuando una ley lo prevea o en aquellos casos en que pueda haber un conflicto de intereses entre los padres o representantes legales y el propio menor, el ejercicio de los derechos por parte de aquellos respecto a determinados datos de salud del menor, puede verse limitado, por aplicación del principio de protección del interés superior del menor, en atención a las circunstancias del caso concreto.
Si desea saber más sobre este tema, puede consultar el Dictamen CNS 10/2018.
El derecho de acceso no incluye la obligación del centro sanitario de comunicar la identidad de las personas concretas que, como personal propio de aquel centro sanitario, hayan podido acceder a la historia clínica. En cambio, el centro sí debe informar de las comunicaciones de datos del paciente que se hayan producido respecto de un destinatario externo al mismo centro.
Al respecto se puede consultar el Dictamen CNS 8/2019.
Las personas vinculadas por razones familiares o de hecho con un paciente fallecido, deben poder pedir al responsable (un centro sanitario) acceso a los datos de la historia clínica del paciente siempre que no afecte a la intimidad de la persona fallecida, ni a las anotaciones subjetivas de los profesionales, ni perjudique a terceros, dado que así lo prevé la normativa de autonomía del paciente y la normativa de protección de datos.
Al respecto se puede consultar el Dictamen CNS 8/2019.