Contacto
El RGPD introduce nuevos derechos para las personas afectadas, como el derecho al olvido, que se vincula al derecho de supresión, el derecho a la portabilidad o el derecho a la limitación del tratamiento.
También amplía la aplicabilidad, en determinadas circunstancias, a responsables y encargados del tratamiento que no están en un Estado de la Unión Europea; esto refuerza especialmente la aplicabilidad de la normativa europea en los servicios prestados en la red. También garantiza el derecho de las personas afectadas a ser informadas sin dilaciones indebidas de las violaciones de seguridad que conllevan un riesgo alto para sus derechos y libertades, para que puedan adoptar las medidas pertinentes.
Finalmente, en tratamientos en los que pueda haber elementos de internacionalidad, el mecanismo de la ventanilla única (one stop shop) previsto en el RGPD permite que los ciudadanos no tengan que relacionarse con autoridades de control diferentes de la del Estado en el que residen, para plantear reclamaciones o denuncias.
El RGPD recoge derechos ya existentes y los amplía, pero también crea otros nuevos. Así, regula:
- El derecho de acceso
Derecho de la persona afectada a saber si el responsable del tratamiento trata datos personales suyos y, si es así, acceder a estos datos y obtener la información sobre cómo se están tratando.
- El derecho de rectificación
Derecho a rectificar los datos personales inexactos y que se completen los que estén incompletos, incluso mediante una declaración adicional.
- El derecho de supresión (derecho al olvido)
Derecho a obtener la supresión de los datos personales, cuando: ya no son necesarios para la finalidad para la que se recogieron; se revoca el consentimiento en el que se basaba el tratamiento; hay oposición al tratamiento; los datos se han tratado ilícitamente; los datos se han tratado para cumplir una obligación legal o se han obtenido en relación con la oferta de servicios de la sociedad de la información dirigida a menores.
Cuando el responsable ha hecho públicos los datos personales y deben suprimirse, debe adoptar medidas razonables para informar de la supresión a los responsables que están tratando los datos.
- El derecho de oposición
Derecho a oponerse al tratamiento de los datos personales por motivos relacionados con la situación personal de la persona afectada.
Cuando el tratamiento tiene por objeto el marketing directo, incluida la elaboración de perfiles relacionados con este marketing, los datos se dejarán de tratar inmediatamente.
- El derecho a la limitación del tratamiento
Derecho consistente en marcar los datos de carácter personal conservados, con el fin de limitar su tratamiento en el futuro.
La limitación del tratamiento supondrá que, a petición de la persona afectada, sus datos personales se dejarán de tratar.
- El derecho a la portabilidad de los datos
Derecho a recibir los datos personales que ha facilitado a un responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y a transmitirlos a otro responsable, si se cumplen los siguientes requisitos:
- El tratamiento se basa en el consentimiento o en un contrato.
- El tratamiento se lleva a cabo por medios automatizados.
- El derecho a no ser objeto de decisiones individuales automatizadas
Derecho a no ser objeto de una decisión basada solo en el tratamiento automatizado de los datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre la persona afectada o que la afecte negativamente. Eso, a no ser que la decisión sea necesaria para formalizar o ejecutar un contrato entre el interesado y un responsable de tratamiento, se base en el consentimiento explícito del interesado o esté autorizada por el derecho de la Unión o del Estado miembro correspondiente.
Todos estos derechos se ejercerán ante la entidad responsable del tratamiento (Generalitat, diputación, ayuntamiento, consorcio, universidad, etc.) que corresponda.
El derecho de acceso no incluye el derecho a conocer la identidad de las personas concretas al servicio del responsable o del encargado del tratamiento que han accedido a la información. En este sentido, la Autoridad se ha pronunciado en los dictámenes CNS 8/2019 y CNS 53/2019.
El derecho a la portabilidad de los datos no es exigible cuando: el tratamiento de los datos personales es necesario para cumplir una misión realizada en interés público; para ejercer poderes públicos conferidos al responsable del tratamiento; o cuando el tratamiento de los datos personales es necesario para cumplir una obligación legal. Como las administraciones públicas hacen la mayoría de sus tratamientos de datos fundamentadas en estas bases jurídicas, se puede decir que, en general, el derecho a la portabilidad no es exigible a las administraciones públicas en el ejercicio de sus competencias.
Sin embargo, este derecho sí será exigible cuando el tratamiento, además de efectuarse por medios automatizados, tenga como base jurídica el consentimiento del interesado o sea necesario para la ejecución de un contrato en el que el interesado sea parte. En consecuencia, en estos casos las Administraciones informarán del derecho a la portabilidad y facilitarán su ejercicio.
El responsable atenderá la solicitud de ejercicio del derecho en el plazo de un mes desde que la recibe, prorrogable dos meses más si es necesario, según la complejidad y el número de solicitudes.
Se informará al interesado de la prórroga en el plazo del primer mes (desde que se recibe la solicitud) y se indicarán los motivos de la dilación.
La Autoridad Catalana de Protección de Datos no dispone de información sobre qué entidades tienen los datos personales concernientes a una persona particular.
Si desea saber si una entidad dispone de sus datos personales, puede ejercer, gratuitamente, el derecho de acceso ante el responsable del tratamiento. Mediante este derecho, podrá obtener una copia de los datos que se tratan e información sobre:
- Si se tratan sus datos personales, con qué finalidad y qué usos concretos.
- Las categorías de datos de que se trate.
- De dónde se han obtenido y si se han comunicado o se pretenden comunicar, y a quién.
- El plazo de conservación de los datos o los criterios para su determinación.
- El derecho a solicitar el acceso a los datos, a rectificarlos o suprimirlos, a limitar su tratamiento, a oponerse a él y a solicitar su portabilidad.
- El derecho a presentar una reclamación ante una autoridad de control, o, si procede, ante el delegado de protección de datos.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y la información sobre la lógica aplicada y sus consecuencias.
Sí, las personas vinculadas al difunto por razones familiares o de hecho, así como sus herederos pueden dirigirse a la persona responsable o encargada del tratamiento con el objeto de solicitar el acceso a los datos personales de aquél y, en su caso, su rectificación o supresión. Como excepción, las personas a las que se refiere el párrafo anterior no pueden acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo haya prohibido expresamente o así lo establezca una ley (art. .3 LOPDGDD).
El RGPD dispone que tanto las actuaciones como las comunicaciones hechas en virtud de los derechos regulados en el RGPD son gratuitas, a menos que las solicitudes sean manifiestamente infundadas o excesivas, especialmente si son repetitivas. En este caso, el responsable del tratamiento tiene dos posibilidades: cobrar un canon razonable o negarse a actuar respecto a la solicitud.