CARGANDO DATOS

X
Background Image

Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)

Derechos de los interesados



1.- Introducción.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD) y la Ley Orgánica de Protección de Datos de Carácter Personal y Garantías de Derechos Digitales 3/2018 (en adelante LOPD-GDD), establecen las obligaciones y responsabilidades que los responsables y encargados de tratamiento deben desarrollar con el fin de garantizar los derechos de las personas en el ámbito del tratamiento de datos de carácter personal.


2.- Disposiciones comunes a los derechos.

Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (art.12)

Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, así como los procedimientos y las formas para ello deben ser visibles, accesibles y sencillas. La información podrá facilitarse por escrito o por otros medios, inclusive, por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

El ejercicio de los derechos será gratuito para el interesado, salvo cuando: casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, el responsable podrá cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar (el canon no podrá implicar un ingreso adicional para el responsable, sino que deberá corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud).

Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.


2.1.- Plazos.

El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes).

Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.


2.2.- Acreditación de la personalidad o representación.

En virtud del RGPD los responsables deberán tomar medidas para verificar la identidad de quienes ejerzan sus derechos.

La acreditación de la personalidad del interesado puede realizarse mediante exhibición de DNI u otro documento válido o la remisión de fotocopia adjunta a la solicitud. También es posible acreditar la identidad mediante firma electrónica cuando el procedimiento de ejercicio de derechos se realice de forma telemática.

En el caso de representación, ya sea legal o voluntaria, deberá aportarse el documento que acredite la representación, junto con fotocopia del representado.

Ejercicio de derechos ante el encargado del tratamiento: El responsable podrá contar con la colaboración de los encargados de tratamiento para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.


2.3.- Requisitos de la solicitud.

Petición dirigida a la Entidad, responsable del tratamiento, mediante cualquier me-dio que garantice la identificación del afectado, titular de los datos (DNI, firma electrónica u otro medio análogo) y, en su caso, identificación de la persona que lo represente junto con el documento que acredite tal representación y la identidad del representante.

Salvo en casos de especial complejidad, el afectado está facultado para referirse en su consulta tanto a datos concretos o a la totalidad de los datos sometidos a tratamiento por parte del Responsable de los datos. Pese a lo anterior, en caso de que cualquiera de las entidades a las que se dirijan la solicitud del interesado, traten una gran cantidad de información sobre un interesado, se podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.

La petición en que se concreta la solicitud deberá contener a su vez el domicilio a efectos de notificaciones, fecha y firma del solicitante, acompañando fotocopia del DNI o documento equivalente, así como autorización del representado y DNI del representante o documento equivalente.


3.- ¿Qué debe hacer el Responsable del Tratamiento?

Ante una solicitud de ejercicio de derechos, el Responsable del tratamiento, resolverá en el plazo máximo de un mes a contar desde la recepción de la solicitud. En este sentido, la persona de la entidad, que reciba la solicitud deberá observar, en primer lugar, cuándo ha llegado la solicitud, haciéndolo constar en la misma, así como el tiempo que resta para la finalización del plazo, poniéndolo sin dilación en conocimiento del Delegado de Protección de Datos, y del responsable de la entidad. De la contestación, de su negativa o imposibilidad, también se informará a efectos de su seguimiento. Lo anterior, sin perjuicio de proceder a su tramitación.

La solicitud deberá ser cursada por el Departamento al que corresponda el tratamiento, a efectos de su cumplimentación y contestación, con el asesoramiento del DPD, en el plazo de un mes.

El Responsable del tratamiento, deberá contestar la solicitud que se le dirija, con independencia de que se lleven a cabo tratamientos de datos del interesado, debiendo utilizar cualquier medio fehaciente que permita acreditar el contenido de la respuesta que se remite y la fecha de su recepción por el destinatario. En el caso de que la solicitud no reúna los requisitos descritos anteriormente, el Responsable deberá solicitar al interesado la subsanación de los mismos.

Asimismo, la información que deberá aportar el Responsable comprenderá:


1. Los datos o categorías de datos del afectado y los resultantes de cualquier elaboración o proceso de los mismos

2. El origen de los datos

3. Las comunicaciones realizadas o que se prevean realizar (incluido los destinatarios o categorías de destinatarios)

4. La especificación de las finalidades para los que se almacenarán los datos

5. Si es posible, el plazo previsto de conservación de los datos o los criterios utilizados para determinar este plazo

6. El derecho a presentar una reclamación ante una autoridad de control

7. La existencia de decisiones automatizadas, incluida la elaboración de perfiles e información significativa sobre la lógica aplicada, así como la importancia y consecuencias para el interesado

8. Las garantías adecuadas respecto a las transferencias internacionales que se produzcan

La información se facilitará de modo perfectamente comprensible, sin usar códigos o claves que requieran el uso de dispositivos mecánicos específicos. En los supuestos de solicitudes excesivas, reiterativas, o improcedentes la empresa podrá fijar un canon para cursar la respuesta, como gastos de gestión.


4.- Los Derechos.


4.1.- Derecho de acceso. Concepto. (art.15):

El derecho de acceso se refiere al derecho a conocer si el responsable está tratando datos del interesado. En caso afirmativo, el interesado deberá ser informado acerca del tipo de datos tratados, la finalidad, destinatarios, plazo de conservación, origen y transferencias internacionales.


4.2.- Derecho de rectificación:

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos (art.16)

La solicitud de rectificación deberá indicar a qué datos se refiere, así como la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

El Responsable del tratamiento deberá comunicar cualquier rectificación a cada uno de los destinatarios a los que se hayan comunicado los datos personales.


4.3.- Derecho de supresión («el derecho al olvido»).

El Derecho al olvido tiene su fundamento en el derecho de borrado de datos personales.

El responsable del tratamiento que ha hecho públicos los datos personales se le impone la obligación de informar a los demás responsables que estén tratando los datos, la obligación de borrar cualquier enlace, copia o repetición de los datos personales.

El responsable del tratamiento deberá tomar medidas razonables, teniendo en cuenta la tecnología disponible y los medios de que disponga, incluyendo medidas técnicas, para informar a los responsables, que están tratando los datos, de la solicitud del interesado.

El responsable del tratamiento deberá comunicar cualquier supresión a cada uno de los destinatarios a los que se hayan comunicado los datos personales (art.17)

El RGPD establece que los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el Reglamento.

Existe obligación de suprimir y borrar los datos personales en los siguientes supuestos:

1. Datos que ya no son necesarios en relación con la finalidad que fueron recogidos.

2. El interesado retira el consentimiento del tratamiento con base a que dicho consentimiento fue prestado de forma voluntaria, mediante consentimiento expreso y ahora tiene el mismo derecho de retirarlo.

3. Oposición al tratamiento de datos personales.

4. Que los datos personales hayan sido tratados ilegalmente.

5. Datos borrados por el cumplimiento de una obligación legal en Derecho de la UE o del Estado Miembro al que esté sujeto el responsable.

6. Los datos de un menor de 16 años recogidos con la autorización de los padres.

7. No se aplicará el derecho al olvido cuando los datos personales sean necesarios para alguno de los siguientes supuestos:

7.1. Ejercicio del derecho a la libertad de expresión e información. Especialmente respecto a noticias relativas a personajes públicos o de interés público.

7.2. Cuando tenga por finalidad cumplir con una obligación legal (derecho UE o de un Estado Miembro) que requiera el tratamiento de datos personales para cumplir con una misión de interés público o por ser inherente al ejercicio del poder público.

7.3. Por razones de interés público en el ámbito de la salud pública.

7.4. Con fines de archivo, interés público, fines de investigación científica, e históricos o fines estadísticos.

7.5. Para la formulación, el ejercicio o la defensa de reclamaciones.



4.4.- Derecho a la limitación del tratamiento.

La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían (art.18)

El RGPD prevé varios supuestos en los que se podría ejercitar:

• Cuando el consentimiento para el tratamiento no sea necesario porque concurra un motivo legítimo y fundado que lo justifique.

• Cuando se trate de ficheros cuya finalidad sea la realización de actividades de publicidad y prospección comercial independientemente de quien lo haya creado.

• Cuando el tratamiento tenga por finalidad la adopción de una decisión basada en un tratamiento automatizado de los datos de carácter personal del afectado.


4.5.- Derecho a la portabilidad de los datos.

El interesado tiene derecho a transmitir sus datos a otro responsable sin obstáculos por parte del responsable al cual le han sido proporcionados, cuando:

• El tratamiento se basa en el consentimiento.

• El tratamiento se haga a través de medios automatizados.

En el ejercicio de su derecho a la portabilidad de los datos, el interesado tiene derecho a que los datos sean transmitidos directamente desde el responsable al otro responsable, siempre que sea técnicamente factible (art.20)

Este derecho no es aplicable:

• A los datos de terceras personas que un interesado haya facilitado a un responsable.

• En caso de que el interesado haya solicitado la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.


4.6.- Derecho de oposición y decisiones individuales automatizadas.

El interesado tendrá derecho a oposición, en cualquier momento, por motivos relacionados con su situación particular sobre aquellos datos personales suyos que sean objeto de un tratamiento.

El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones (art.21)




El interesado puede solicitar la tutela de la Agencia Española de Protección de Datos, al amparo del art. 57 del RGPD., si considera que el responsable del tratamiento no ha satisfecho correctamente sus derechos, y puede solicitar una valoración ante el Delegado de Protección de Datos al que corresponda de acuerdo al tratamiento objeto del derecho.

A continuación le proporcionamos el enlace directo a la Ley Órganica 3/2018 del 5 de diciembre completa, así como a la política de privacidad interna de RSU y AL FORMULARIO PARA EL EJERCICIO DE DERECHOS:

Logo RSU

© R.S.U. Castilla la Mancha.