GDPR 5. Los derechos del interesado


Josep Aragonés Salvat     26/07/2016

Ejercicio de los derechos del interesado


El Reglamento dedica todo el Capítulo III a los “Derechos del interesado” disponiendo que los interesados tendrán derecho a ser informados del tratamiento de sus datos personales y a obtener del Responsable del tratamiento el gobierno de los mismos siempre que lo permita la legislación vigente.

La información deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo y se facilitará por escrito o por medios electrónicos, inclusive verbalmente si lo solicita el interesado.

El Responsable del tratamiento deberá responder las solicitudes del interesado sin demora injustificada y como máximo en el plazo de un mes,  y tendrá que explicar sus motivos en caso de que no atenderlas.

Los derechos que el Reglamento atribuye al interesado son:
 
  • Acceso a los datos
  • Rectificación de los datos
  • Supresión de los datos
  • Portabilidad de los datos
  • Limitación del tratamiento
  • Oposición al tratamiento
  • A no ser objeto de una elaboración de perfiles
  • A presentar una reclamación ante la Autoridad de control
  • A interponer un recurso judicial
  • A indemnización y responsabilidad
 
 

Derecho de acceso a los datos


El interesado tendrá derecho a que el Responsable le comunique si se están tratando o no sus datos personales, y en caso de que se confirme el tratamiento, posibilitará su acceso facilitándole la siguiente información:
 
  • Los fines del tratamiento.
  • Las categorías de datos de que se trate.
  • El plazo o criterios de conservación.
  • El ejercicio de los derechos de rectificación o supresión de los datos personales y de la limitación u oposición al tratamiento.
  • El derecho a presentar una reclamación a la Autoridad de control.

Y cuando:
 
  • Los datos no se obtienen del interesado: información de la fuente de procedencia.
  • Exista una comunicación de datos: los Destinatarios o categorías de destinatarios, incluidos los internacionales.
  • Exista una transferencia internacional de datos: información de las garantías adecuadas de protección de datos.
  • Se elaboren perfiles: información significativa sobre la lógica aplicada y la importancia y consecuencias previstas de dicho tratamiento para el interesado.

El Responsable deberá facilitará al interesado una copia gratuita de los datos personales sometidos a tratamiento. Para más copias, podrá cobrar una tasa razonable basada en los costes administrativos.

Cuando el interesado haga la solicitud en formato electrónico, le facilitará la información estructurada, si es posible, en el mismo formato, a menos que solicite que se proceda de otro modo.

El derecho de acceso no deberá afectar negativamente a los derechos y libertades de terceros.

 

Derecho de rectificación de los datos


El interesado tendrá derecho a que el Responsable rectifique sus datos cuando resulten inexactos o incompletos mediante una declaración rectificativa adicional.

En el caso que exista una comunicación previa de datos a Destinatarios, el Responsable deberá informarles para que procedan a la rectificación de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.

 

Derecho de supresión de los datos (derecho al olvido)


El interesado tendrá derecho a que el Responsable suprima sus datos, cuando:
 
  • El tratamiento sea ilícito.
  • El interesado haya retirado su consentimiento.
  • Ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
  • Los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información (e-commerce).
  • El interesado haya ejercido el derecho de oposición y no prevalezcan otros motivos legítimos para el tratamiento.
  • Los datos deban suprimirse para cumplir una obligación jurídica del Responsable.

El interesado no tendrá derecho a que el Responsable suprima sus datos cuando el tratamiento sea necesario:
 
  • Para ejercer el derecho a la libertad de expresión e información.
  • Para cumplir una obligación jurídica del Responsable.
  • Para la formulación, ejercicio o defensa de reclamaciones.
  • Por interés público fundamentado en la legislación vigente por razones de salud pública o para fines de investigación histórica, estadística o científica.

En el caso que exista una comunicación previa de datos a Destinatarios, el Responsable deberá informarles para que procedan a la supresión de los mismos, salvo que sea imposible o exija un esfuerzo desproporcionado.

 

Derecho a la portabilidad de los datos


El interesado tendrá derecho a que el Responsable transmita sus datos a otro Responsable del tratamiento o al mismo interesado, mediante un formato estructurado de uso habitual y lectura mecánica, cuando el tratamiento se efectúe por medios automatizados y se base en:
 
  • El consentimiento del interesado para fines específicos.
  • La ejecución de un contrato o precontrato con el interesado.
  • El derecho a la portabilidad de datos no se aplicará cuando:
  • Sea técnicamente imposible la transmisión.
  • Pueda afectar negativamente a los derechos y libertades de terceros.
  • El tratamiento tenga una misión de interés público fundamentado en la legislación vigente.



Derecho a la limitación del tratamiento


El interesado tendrá derecho a que el Responsable marque sus datos con el fin de limitar el tratamiento cuando:
 
  • El interesado impugne la exactitud de los datos.
  • El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos y solicite en su lugar la limitación de su uso.
  • El interesado se ha opuesto al tratamiento, mientras se verifica si los motivos legítimos del Responsable prevalecen sobre los del interesado.
  • El Responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los necesite para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.

Cuando se haya procedido a limitar el tratamiento, solo se podrá levantar la restricción, previa comunicación al interesado, si existe:
 
  • El consentimiento del interesado.
  • La posibilidad que el tratamiento afecte a la protección de los derechos de otra persona física o jurídica.
  • Un procedimiento judicial que lo justifique.
  • Un motivo importante de interés público fundamentado en la legislación vigente.

En el caso que exista una comunicación previa de datos a Destinatarios, el Responsable deberá informarles para que procedan a la limitación del tratamiento, salvo que sea imposible o exija un esfuerzo desproporcionado.

 

Derecho de oposición al tratamiento


El interesado tendrá derecho a oponerse al tratamiento de sus datos realizado por un Responsable por motivos relacionados con su situación particular, cuando el tratamiento se base en:
 
  • Mercadotecnia directa.
  • Elaboración de perfiles.
  • Interés legítimo del Responsable o terceros, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, especialmente si es un niño.
  • Investigación histórica, estadística o científica, salvo que el tratamiento sea necesario por motivos de interés público.

Aunque el interesado se oponga al tratamiento de sus datos, el Responsable  podrá seguir tratándolos siempre y cuando el interés legítimo del Responsable  impere sobre los intereses o los derechos y libertades del interesado en un procedimiento judicial que lo justifique.

El Responsable  deberá informar al interesado del derecho a oponerse al tratamiento de sus datos de manera explícita, clara y separada de cualquier otra información, en el momento de la primera comunicación.

En el contexto de los servicios de la sociedad de la información (e-commerce), la oposición al tratamiento se podrá realizar por medios automatizados recurriendo a especificaciones técnicas.

 

Derecho a no ser objeto de una elaboración de perfiles


El interesado tendrá derecho a no ser objeto de una elaboración de perfiles cuya finalidad sea adoptar decisiones individuales basadas en un tratamiento automatizado de datos y destinadas a evaluar, analizar o predecir los siguientes aspectos personales:
 
  • Rendimiento profesional.
  • Situación económica.
  • Salud.
  • Preferencias o intereses personales.
  • Fiabilidad.
  • Comportamiento.
  • Ubicación o movimientos de la persona.

Cuando la elaboración de perfiles se base únicamente en un tratamiento automatizado:
 
  • El interesado tendrá derecho a estar informado si la decisión que pueda ser tomada pueda producirle efectos jurídicos que le afecten significativamente.
  • El interesado tendrá derecho a obtener la intervención humana por parte del Responsable, a expresar su punto de vista y a impugnar la decisión, si el tratamiento ha sido autorizado mediante:
    • El consentimiento explícito del interesado.
    • Un contrato entre el Responsable y el interesado.

No se aplicará al derecho a no ser objeto de una elaboración de perfiles cuando la decisión que pueda ser tomada a consecuencia de la misma esté autorizada mediante:
 
  • El consentimiento explícito del interesado.
  • Un contrato entre el Responsable y el interesado.
  • Un tratamiento fundamentado en la legislación vigente.
 
 

Derecho a presentar una reclamación ante la Autoridad de control


El interesado tendrá derecho estar informado por el Responsable de que puede presentar una reclamación ante la Autoridad de control de cualquier Estado de la UE, si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el Reglamento.

 

Derecho a interponer un recurso judicial

 
  • Contra una Autoridad de control
El interesado tendrá derecho a un recurso judicial efectivo en contra de la Autoridad de control cuando ésta no de curso a una reclamación o no le haya informado en 3 meses.
 
  • Contra un Responsable o Encargado del tratamiento
El interesado tendrá derecho a un recurso judicial efectivo contra un Responsable o Encargado del tratamiento cuando considere que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el Reglamento. Las acciones contra éstos podrán ejercitarse ante los órganos jurídicos del Estado de la UE donde resida el interesado, siempre y cuando no sea una Autoridad pública que actúe en ejercicio de su poder público.

 

Derecho a indemnización y responsabilidad


El interesado tendrá derecho a recibir una indemnización del Responsable o Encargado si ha sufrido perjuicio material o inmaterial como consecuencia de una vulneración del Reglamento.

Cuando en el tratamiento participen más de un Responsable  o Encargado, cada uno de ellos será considerado responsable de la totalidad del perjuicio ocasionado ante el interesado, debiendo discernir entre ellos el grado de responsabilidad que les corresponde a cada uno.
 
 

Seguimiento del curso Experto en el GDPR


Tema anterior: 4. La información del tratamiento     Tema siguiente: 6. La responsabilidad del tratamiento



Información relacionada