Aplicació del GDPR: 6. Drets de l'interessat


Josep Aragonés Salvat     16/11/2016


 

Els drets de l'interessat


Els interessats tenen el dret, sempre que ho permeti la legislació vigent, a ser informats del tractament de les seves dades personals i a obtenir del Responsable del tractament el govern dels mateixes.

Per a això, el Responsable del tractament haurà d'implementar una política d'informació a l'interessat per establir la manera de comunicar els drets i la forma d'exercir-los.

 

Comunicació dels drets de l'interessat


L'interessat tindrà dret a obtindre en tot moment una informació clara i transparent del tractament de les seves dades que inclogui els drets que li atorga el Reglament. Per a això, haurà de comunicar a l'interessat els drets que l'assisteixen. Aquests són:

En qualsevol tractament:
 
  • Accés: facilitar informació del tractament.
  • Rectificació: actualitzar les dades inexactes o incompletes.
  • Supressió: eliminar les dades.
  • Limitació: marcat de dades per a restringir part del tractament.
  • Oposició: no prosseguir amb el tractament.

En tractaments automatitzats específics:
 
  • Portabilitat: transmissió de dades a un altre proveïdor de serveis o al mateix interessat.
  • Elaboració de perfils: oposar-se a un tractament amb finalitat d'adoptar decisions individuals destinades a avaluar, analitzar o predir aspectes personals.
 
Dret Procediment Observacions

Accés
 
  • Comprovar si es realitza un tractament de dades personals.
  • Comunicar la resolució a l'interessat.

Dades que s'han de comunicar a l'interessat:
  • Els fins del tractament.
  • Les categories de dades de què es tracti.
  • El termini o criteris de conservació.
  • L'exercici dels drets de rectificació o supressió de les dades personals i de la limitació o oposició al tractament.
  • El dret a presentar una reclamació a l'Autoritat de control.
  • I quan:
    • Les dades no s'obtenen de la persona interessada: informació de la font de procedència.
    • Hi hagi una comunicació de dades: els destinataris o categories de destinataris, inclosos els internacionals.
    • Hi hagi una transferència internacional de dades: informació de les garanties apropiades de protecció de dades.
    • S'elaborin perfils: informació significativa sobre la lògica aplicada i la importància i conseqüències previstes d'aquest tractament per a l'interessat.

Rectificació
 
  • Rectificar les dades inexactes o incompletes.
  • Comunicar la resolució a l'interessat.
  • Comunicar la rectificació als destinataris que hagi cedit les dades.

Supressió
 
  • Suprimir les dades, excepte si hi ha motius legítims per no fer-ho.
  • Comunicar la resolució a l'interessat.
  • Comunicar la supressió als destinataris que hagi cedit les dades.

Dret de supressió:
  • Tractament il·lícit.
  • L'interessat hagi retirat el seu consentiment.
  • No siguin necessaris en relació amb els fins per als quals van ser recollides o tractades.
  • Les dades s'hagin obtingut en relació amb l'oferta de serveis de la societat de la informació.
  • L'interessat hagi exercit el dret d'oposició al tractament i no prevalguin altres motius legítims per al tractament.
  • Les dades han de suprimir-se per complir una obligació jurídica del Responsable del tractament.

Sense dret de supressió:
  • Exercir el dret a la llibertat d'expressió i informació.
  • Complir una obligació jurídica del Responsable del tractament.
  • Formulació, exercici o defensa de reclamacions.
  • Interès públic fonamentat en la legislació vigent.

Limitació
 
  • Limitar el tractament.
  • Comunicar la resolució a l'interessat.
  • Comunicar a l'interessat l'aixecament de la restricció.
  • Comunicar la limitació del tractament als destinataris que hagi cedit les dades.

Dret a restringir el tractament:
  • L'interessat impugni l'exactitud de les dades.
  • El tractament sigui il·lícit i l'interessat s'oposi a la supressió de les dades i sol·liciti en el seu lloc la limitació del seu ús.
  • L'interessat s'ha oposat al tractament, mentre es verifica si els motius legítims del Responsable del tractament prevalen sobre els de l'interessat.
  • El Responsable del tractament ja no necessiti les dades per a les finalitats del tractament, però l'interessat les necessiti per al reconeixement, exercici o defensa d'un dret en un procediment judicial.

Dret del Responsable a aixecar la restricció (prèvia comunicació a l'interessat):
  • Amb el consentiment de l'interessat.
  • Possibilitat que el tractament afecti la protecció dels drets d'una altra persona física o jurídica.
  • Per un procediment judicial que ho justifiqui.
  • Per un motiu important d'interès públic fonamentat en la legislació vigent.

Oposició
 
  • Cancel·lar el tractament de dades.
  • Comunicar la resolució a l'interessat.
  • Comunicar l'oposició als destinataris que hagi cedit les dades.

Dret a oposar-se al tractament:
  • Màrqueting directe.
  • Elaboració de perfils.
  • Interès legítim del Responsable del tractament o tercers, sempre que no prevalguin els interessos o els drets i llibertats de l'interessat, especialment si és un nen.
  • Investigació històrica, estadística o científica, llevat que el tractament sigui necessari per motius d'interès públic.

Dret del Responsable a seguir amb el tractament:
  • Per un interès legítim del Responsable del tractament que imperi sobre els interessos o els drets i llibertats de l'interessat en un procediment judicial que ho justifiqui.

Portabilitat
 
  • Transmissió de dades a un altre proveïdor de serveis o al mateix interessat.
  • Comunicar la resolució a l'interessat.

Dret a la transmissió de dades:
  • El tractament estigui estructurat de forma automatitzada i es basi en:
    • El consentiment de l'interessat.
    • L'execució d'un contracte o precontracte amb l'interessat.

Sense dret a la transmissió de dades:
  • El tractament no estigui estructurat de forma automatitzada.
  • Sigui tècnicament impossible la transmissió.
  • Pugui afectar negativament els drets i llibertats de tercers.
  • El tractament tingui una missió d'interès públic fonamentat en la legislació vigent.

Perfils
 
  • Cancel·lar el tractament de l'elaboració de perfils.
  • Comunicar la resolució a l'interessat.

Dret a no ser objecte d'una elaboració de perfils:
  • El tractament estigui estructurat de forma automatitzada i es basi en adoptar decisions individuals destinades a avaluar, analitzar o predir els següents aspectes personals:
    • Rendiment professional.
    • Situació econòmica.
    • Salut.
    • Preferències o interessos personals.
    • Fiabilitat.
    • Comportament.
    • Ubicació o moviments de la persona

Drets quan l'elaboració de perfils es basi únicament en un tractament automatitzat:
  • Estar informat si la decisió que pugui ser presa pugui produir-li efectes jurídics que l'afectin significativament.
  • Obtenir la intervenció humana per part del Responsable, a expressar el seu punt de vista i a impugnar la decisió, si el tractament ha estat autoritzat mitjançant:
    • El consentiment explícit de l'interessat.
    • Un contracte entre el Responsable i l'interessat.

No s'aplicarà el dret a no ser objecte d'una elaboració de perfils, quan:
  • El tractament estigui estructurat de forma automatitzada i la decisió que pugui ser presa a conseqüència de la mateixa estigui autoritzada mitjançant:
    • El consentiment explícit de l'interessat.
    • Un contracte entre el Responsable del tractament i l'interessat.
    • Un tractament fonamentat en la legislació vigent.





 

 

Mesures per protegir els drets de l'interessat

 
El Responsable del tractament ha de preveure que es puguin exercir els drets de l'interessat en qualsevol fase del tractament. Per a això, el Reglament estableix que s'hauran d'adoptar les següents mesures de protecció:
 

Des del disseny i per defecte

El Responsable del tractament haurà de dissenyar les operacions de tractament implementant mesures tècniques i organitzatives adequades per garantir que l'interessat pugui exercir els seus drets.

Tot i que no estiguin definits com a drets de la persona interessada, el Reglament disposa d'altres drets per quan l'interessat dóna el seu consentiment explícit per tractar les seves dades, de manera que el disseny del tractament també ha d'incorporar solucions per donar-los curs:
 
  • Revocació: Retirar en qualsevol moment el consentiment donat, sense que afecti al tractament efectuat fins aleshores. Ha de ser tan fàcil retirar el consentiment com l'haver-ho donat.
  • Reclamació: Informar del dret a presentar una reclamació davant l'Autoritat de control si considera que el tractament no s'ajusta al Reglament.  



Encarregats del tractament

El Responsable del tractament s'ha d'assegurar que els Encarregats del tractament contractats ofereixen suficients garanties per protegir els drets de l'interessat i disposar una clàusula, en els contractes de prestació de serveis, que els obligui a crear les condicions tècniques i organitzatives necessàries per permetre donar curs a les sol·licituds dels drets dels interessats.
 

Corresponsables del tractament

Quan diversos Responsables del tractament determinin els fins i els mitjans del tractament hauran de formalitzar un acord, que estarà a disposició dels interessats, on es reflecteixin els procediments i mecanismes per a l'exercici dels drets de l'interessat.
 

Destinataris de dades

En el cas que hi hagi una comunicació prèvia de dades a destinataris, el Responsable del tractament ha informar perquè procedeixin a l'atenció del dret sol·licitat. Els drets que afecten els destinataris són la rectificació o supressió de les dades i la limitació al tractament.
 

Transferències internacionals de dades

En absència d'una decisió d'adequació, el Responsable del tractament només podrà realitzar transferències internacionals de dades a països o organitzacions internacionals que disposin de recursos legals per exercir els drets dels interessats.
 

Tractament de dades sense identificació de l'interessat (seudonimització)

Quan el Responsable del tractament sigui capaç de demostrar que no pot identificar a l'interessat, li ho comunicarà i es deixaran d'aplicar els drets de l'interessat.


 

Protocol per a atendre els drets de l'interessat


El Responsable del tractament haurà de crear un procediment per donar curs als drets dels interessats de manera que pugui respondre les sol·licituds sense demora i garantir que s'executen els drets d'acord amb el Reglament. Per a això, haurà d'establir un protocol per al registre i resolució de les peticions.
 

Registre de peticions

El Responsable del tractament haurà de portar un registre de les peticions de drets per a saber en tot moment l'estat de les sol·licituds i les resolucions efectuades. Aquest registre ha de contenir, com a mínim:
 

  • Data de la sol·licitud
  • La identitat del sol·licitant
  • Format de la sol·licitud (electrònic, carta, etc.)
  • Descripció de la sol·licitud
  • Fitxers afectats
  • Persona o equip encarregat de resoldre la sol·licitud
  • Mesures preses
  • Resolució de la sol·licitud
  • Data de comunicació a l'interessat
  • Format de la comunicació (electrònic, carta, etc.)

Confirmar la identitat de l'interessat

Els drets de l'interessat només el pot exercir el mateix afectat. Quan es tinguin dubtes raonables per identificar l'interessat que fa la sol·licitud, podrà sol·licitar informació complementària per a la seva confirmació.
 

Donar curs a la petició

Quan la petició s'ajusti a dret, s'haurà de respondre sense demora, en un màxim d'1 mes a partir de la seva recepció, facilitant a l'interessat la informació requerida o, si no fos possible, els motius del retard (prorrogable a un màxim de 2 mesos en casos complexos).

Quan la petició no s'ajusti a dret, no es donarà curs a la sol·licitud, però s'informarà sense demora (màxim d'1 mes a partir de la seva recepció) de les raons per no haver actuat i de la possibilitat de presentar una reclamació davant la Autoritat de control o d'interposar un recurs judicial.
 

Resolució de la petició

Quan l'interessat faci la sol·licitud en format electrònic, es facilitarà la informació estructurada, si és possible en el mateix format, llevat que demani que es procedeixi d'una altra manera.

Un cop resolta la petició, s'adoptaran les mesures adequades per a l'exercici del dret sol·licitat, aplicant-les als fitxers immediatament de manera que es pugui garantir el seu compliment.


 

Sancions per no atendre els drets de la persona interessada


La no atenció o comunicació dels drets de l'interessat és considerada una infracció greu del Reglament i pot comportar, segons estimi l'Autoritat de control en cada cas individual, una multa administrativa amb un màxim de l'import més elevat entre 20.000.000 € i el 2 % del volum de negoci total anual global de l'exercici financer anterior.

 

Informació relacionada

  



Seguiment del curs Aplicació del GDPR


Tema anterior: 5. Categories de tractament   Tema següent: 7. Garanties de compliment (documentació)