Buscar
Cerrar este cuadro de búsqueda.

Procedimiento de gestión de derechos de los interesados


Hoy vamos a tratar el procedimiento de gestión de derechos de los interesados que deben llevar a cabo las empresas. Con carácter general, el Reglamento EU 679/2016 (en adelante el RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales exige a los responsables que faciliten a los interesados el ejercicio de sus derechos. Este mandato supone que los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. La legislación vigente no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios. La empresa debe garantizar que el ejercicio de estos derechos sea gratuito para el interesado, siempre que las solicitudes no sean manifiestamente infundadas o excesivas, especialmente por repetitivas, correspondiendo al responsable de la empresa demostrar el carácter infundado o excesivo de las solicitudes, pudiendo en estos casos cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar. En su caso, el responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento. (Art. 12.3 Ley Orgánica 3/2018 “El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule”).

En cuanto al ámbito de aplicación, el procedimiento es aplicable a todos los tratamientos de datos personales que figuran en el Registro de Actividades de Tratamiento de la empresa. Se informará al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esta ampliación del plazo se debe notificar dentro del primer mes al interesado. Por otro lado, si el responsable decide no atender la solicitud, debe informar de ello, argumentando su negativa, dentro del plazo de un mes desde su presentación.

El carácter personalísimo del ejercicio de derechos implica que se deben adoptar todas las medidas razonables para verificar la identidad de quienes ejerzan los derechos reconocidos en el RGPD, a través del requerimiento del documento nacional de identidad o documento equivalente que acredite la identidad del interesado. En los casos de incapacidad, como por ejemplo minoría de edad, discapacidad, cuando expresamente así lo haya querido el interesado, éste podrá actuar a través de un representante legal, al que hay que exigir que demuestre su poder de representación, además de su documento nacional de identidad o similar.

Si hablamos de límites al ejercicio de derechos por parte del interesado, el Art. 23 del RGPD, nos dice que el responsable o el encargado del tratamiento podrán limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) la seguridad del Estado;

b) la defensa;

c) la seguridad pública;

d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

f) la protección de la independencia judicial y de los procedimientos judiciales;

g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);

i) la protección del interesado o de los derechos y libertades de otros;

j) la ejecución de demandas civiles.

Normalmente las solicitudes de ejercicio de derechos de los interesados se reciben por los siguientes medios:

a) Presencialmente en la/s oficina/s del responsable.

b) Telefónicamente.

c) Por correo electrónico.

d) Por carta postal.

El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el interesado por otro medio.

La persona que tenga conocimiento de la recepción de la solicitud se lo comunicará a la mayor brevedad a la persona responsable (normalmente el Responsable de Seguridad). El responsable de atención de derechos verificará la identidad de la persona o bien le dará al interesado las indicaciones necesarias para verificar su identidad, entregándole además el modelo de solicitud del derecho que el interesado desea ejercer.

Una vez realizadas las comprobaciones de cumplimiento de los requisitos formales, el responsable de atención de derechos dará trámite a la solicitud presentada en los plazos indicados en el apartado 3, dependiendo del tipo de derecho.

Pasamos a ver los tipos de derechos que los interesados:

El derecho de acceso viene regulado en al art. 15 del RGPD. En los considerandos 63 y 64, se recoge como un derecho del interesado el poder obtener, del responsable del tratamiento, confirmación de si se están tratando o no datos personales que le conciernen. Para atender los derechos de acceso de cualquier interesado, la empresa le facilita un modelo de solicitud adecuado.

El interesado que solicite este derecho y que se identifique convenientemente obtendrá de la empresa la debida respuesta mediante un documento informativo. Si la respuesta al derecho de acceso se remitiera por correo, al solicitante del derecho se le remitirá el documento de respuesta mediante carta con acuse de recibo, burofax o cualquier otro medio que acredite el envío y la recepción.

Si la respuesta es estimatoria, la información incluirá los datos personales del interesado que son objeto de tratamiento, los fines del tratamiento, las categorías de datos personales tratados así como los destinatarios o categorías de destinatarios a los que se comunican o según comunicados los datos, además de cualquier información disponible sobre el origen de los datos, el plazo previsto de conservación de los mismos o, de no ser posible, los criterios utilizados para determinar este plazo, así como el derecho a presentar una reclamación ante una autoridad de control. Asimismo se indicará al interesado la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-acceso.pdf

En cuanto al derecho de rectificación que viene recogido en el artículo 16 del RGPD, por el que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. En el caso que los datos del interesado sean incompletos o inexactos, la empresa garantiza la actualización de los mismos sin dilación indebida.

Una vez rectificados los datos la empresa informará al interesado sobre la rectificación llevada a cabo.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-rectificacion.pdf

El derecho a la limitación del tratamiento viene regulado en el art. 18 del RGPD y establece el derecho a que los datos sean limitados a petición del interesado. La empresa en respuesta puede proceder a la limitación del tratamiento de los datos del interesado si concurre alguna de las circunstancias siguientes:

a.- cuando el interesado impugna su exactitud, se limita el tratamiento durante el plazo necesario para verificar la exactitud de los datos.

b.- cuando el tratamiento de los datos es ilícito pero el interesado se opone a la supresión de sus datos

c.- cuando los datos ya no son necesarios para las finalidades de la empresa pero si son necesarios para el interesado (reclamaciones, etc.…)

– cuando el interesado se opone al tratamiento mientras se verifica si los intereses legítimos de la empresa prevalecen sobre los del interesado

Para la limitación de los datos, la empresa seguirá alguno de los siguientes métodos:

a.- Trasladará temporalmente los datos seleccionados a otro sistema de tratamiento.

b.- Impedirá el acceso de usuarios a los datos personales seleccionados.

c.- Retirará temporalmente los datos publicados de un sitio internet.

d.- Indicará claramente en el sistema (fichero automatizado) que los datos que se pretenden tratarse encuentran limitado su tratamiento.

En los casos en los que la empresa proceda a la limitación del tratamiento, los datos del afectado sólo podrán ser objeto de tratamiento:

a.- para su conservación.

b.- con el consentimiento del interesado.

c.- para la formulación, el ejercicio o defensa de reclamaciones.

d.- para la protección de los derechos de la persona física o jurídica

e.- por razones de interés público de la UE o Estados miembros.

Una vez limitados los datos se informará al interesado justificando su decisión así como la limitación llevada a cabo. Igualmente se informará cuando se levante la limitación al tratamiento.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-limitacion.pdf

Hablamos ahora del derecho de supresión o derecho al olvido. El art. 17 del RGPD indica que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.

La empresa procede a la supresión del tratamiento de los datos del interesado cuando concurra alguna de las circunstancias siguientes:

a.- los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos.

b.- el interesado retira el consentimiento en que se basa el tratamiento y no se base en otro fundamento jurídico.

c.- el interesado se opone al tratamiento (derecho de oposición).

d.- los datos personales se han tratado de forma ilícita.

e.- los datos personales se suprimen para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento.

f.- los datos personales se han obtenido en relación con la oferta directa a niños de servicios de sociedad de la información.

La empresa no procede a aceptar las peticiones de supresión del interesado cuando el tratamiento sea necesario en los siguientes supuestos:

a.- para ejercer el derecho a la libertad de expresión e información.

b.- para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la UE o de los Estados miembros que se aplique al responsable del tratamiento o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

c.- por razones de interés público en el ámbito de la salud pública.

d.- con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.

e.- para la formulación, el ejercicio o la defensa de reclamaciones.

La empresa informa sin dilación del carácter estimatorio o desestimatorio del derecho solicitado por el interesado, así como la supresión llevada a cabo.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-supresion.pdf

El derecho de oposición viene regulado en el art. 21 del RGPD. Podemos decir que es el derecho del interesado a oponerse, en cualquier momento, por motivos legítimos y fundados relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamiento.

Para atender el derecho de oposición de cualquier interesado la empresa facilita un modelo de solicitud adecuado.

Cuando el interesado ejercite el derecho de oposición, la empresa dejará de tratar dichos datos personales, realizando un análisis con el fin de considerar si prevalece o no el derecho del interesado sobre los intereses legítimos de la empresa. Para tal fin se analizará pormenorizadamente la situación, los motivos y la documentación aportada por el interesado.

Si existen motivos legítimos que justifiquen el tratamiento (por ejemplo para la formulación, el ejercicio o la defensa de reclamaciones) se seguirán tratando los datos, aunque se atienda la solicitud del interesado, pudiendo desestimarse.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/es/documento/formulario-derecho-de-oposicion.pdf

El art. 20 del RGPD, recoge que los usuarios tienen un nuevo derecho, el derecho a la portabilidad. Este derecho complementa al derecho de acceso, ya que permite a los interesados obtener los datos que se han proporcionado en un formato estructurado, de uso común y de lectura mecánica.

El derecho a la portabilidad también implica que los datos personales del interesado podrán transmitirse directamente de una entidad o empresa a otra, sin necesidad de ser entregados al propio interesado, siempre que ello sea técnicamente posible.

El Reglamento abre así la posibilidad no sólo de obtener los datos y reutilizarlos, sino también de transmitirlos a otro proveedor de servicios. Por tanto, el interesado tendrá la opción de solicitar sus datos o la transmisión de los mismos directamente de una entidad a otra.

La empresa garantiza el ejercicio del derecho a la portabilidad del interesado mediante un modelo de solicitud adecuado. Una vez solicitado el derecho se remite al interesado todos aquellos datos personales que le incumban y que haya facilitado, siempre y cuando el tratamiento está basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados. Asimismo facilita que los interesados reciban los datos en un formato estructurado de uso común y de lectura mecánica e interoperable, siempre que la tecnología lo permita. La empresa no aplica el derecho a la portabilidad a los datos que el interesado haya facilitado sobre terceras personas ni sobre los datos que le hayan sido proporcionados a través de terceros.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-portabilidad.pdf


El derecho a limitar las decisiones individuales automatizadas se regula en el Art.22 del RGPD, como el derecho de todo interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo el RGPD recoge unos supuestos en los que es lícito efectuar el tratamiento y tomar una decisión automatizada:

A) Cuando está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

B) Cuando sea necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.

C) Cuando se basa en el consentimiento explícito del interesado.

Os dejamos el enlace con el modelo que facilita la AEPD:

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-oposicion-decisiones-automatizadas.pdf

Artículos relacionados