Derechos de la autodeterminación informativa . Autoridad Catalana de Protección de Datos

Cuando trates datos personales, debes atender a las solicitudes de ejercicio de los derechos de protección de datos que te dirija la persona afectada, los llamados derechos de la autodeterminación informativa. Son los que permiten a la persona acceder a sus datos, rectificarlos, suprimirlos, etc.

Cuando la persona te presente la solicitud por medios electrónicos, deberás facilitarle la información por este medio, salvo que te solicite otro. En el caso del derecho de acceso puede facilitarse mediante un sistema de acceso remoto, directo y seguro a los datos personales. La comunicación de la forma de acceder a este sistema puede servir para considerar atendida la solicitud de ejercicio del derecho.

Plazo para responder

Tienes que informar a la persona interesada sobre las actuaciones derivadas de su petición en el plazo de un mes, que se puede ampliar dos meses más cuando se trata de solicitudes especialmente complejas. Esta ampliación del plazo debe notificarse dentro del primer mes. Si decides no atender la solicitud, debes informarle y motivar la negativa dentro del plazo de un mes desde que presentó la petición, y explicarle que puede presentar una reclamación ante la autoridad de protección de datos competente, como la APDCAT.

Verificar la identidad

Además, debes tomar todas las medidas razonables para verificar la identidad de las personas afectadas que solicitan acceso y que ejercen el resto de derechos previstos en la norma. Si tratas una gran cantidad de información sobre una persona interesada, puedes pedirle que especifique la información a la que se refiere su solicitud de acceso.

Colaboración entre responsable y encargado

Como entidad responsable del tratamiento, puedes contar con la colaboración de los encargados del tratamiento para atender al ejercicio de derechos de las personas interesadas. Esta colaboración puede incluirse en el contrato de encargo de tratamiento.

Gratuidad de la solicitud

Será necesario que la solicitud para ejercer los derechos sea gratuita, y solo podrás cobrar un canon si es manifiestamente repetitiva o infundada. El canon debe corresponder al coste de la tramitación de la solicitud. En el caso del derecho de acceso, podrá considerarse repetitivo su ejercicio en más de una ocasión durante el plazo de seis meses, salvo causa legítima para ello.

Facilitar el ejercicio de los derechos

Además de atender las solicitudes, también debes facilitar a las personas el ejercicio de sus derechos. Esto supone que los procedimientos y mecanismos para ello deben ser visibles, accesibles y sencillos. El RGPD no establece una forma concreta para ejercer los derechos, pero sí que es necesario permitir presentar las solicitudes por medios electrónicos, especialmente cuando el tratamiento se efectúa por estos medios.

Derecho de acceso

Derecho de rectificación

Derecho de supresión (Derecho al olvido)

Derecho de oposición

Derecho a limitar el tratamiento

Derecho a la portabilidad de los datos

Derecho a no ser objeto de decisiones individuales automatizadas