Reglamento General Europeo de Protección de Datos
El 25 de Mayo de 2018 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
El cumplimiento del Reglamento General Europeo de Protección de Datos (RGPD) exige el diseño y puesta en marcha de una serie de medidas, normas de actuación, formularios, cláusulas y procedimientos que permitan cumplir con todas y cada una de las garantías que el RGPD establece para proteger la intimidad y demás derechos fundamentales de los ciudadanos.
Cada tratamiento de datos va a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y de soportes en los que se encuentren almacenados dichos datos.
Durante las últimas semanas, hemos recibido cantidad de información respecto de la entrada en vigor del RGPD. Al respecto, nuestros correos electrónicos han sido el objeto de multitud de e-mails que han inundado nuestros buzones de entrada para notificar las actualizaciones de las Políticas de Privacidad las cuales han sido adaptadas a las nuevas exigencias de la normativa europea.
Este blog dirige su ATENCIÓN A LOS DERECHOS DE LOS CIUDADANOS, titulares de los datos que se tratan y que poseen una serie de derechos:
Derecho de acceso, a solicitar y obtener información de sus datos de carácter personal sometidos a tratamiento, y del origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.
Podrá ejercitarse a intervalos de 12 meses sin necesidad de que el titular de los datos personales alegue justificación alguna o en periodos inferiores cuando se invoque un interés legítimo.
La información que se facilite comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos. Deberá resolverse la solicitud en un plazo de un mes desde su recepción y satisfacerse en los siguientes diez días a la notificación de la resolución.
Derecho de rectificación, a que se actualicen sus datos si son inexactos o incompleto. Exige al titular indicar el dato que es erróneo y la corrección que debe realizarse y deberá ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado. La rectificación deberá hacerse efectiva en un plazo de diez días.
Derecho de supresión, a que se borren o se supriman sus datos si son inexactos o se han tratado ilegalmente. Requiere indicar si revoca el consentimiento otorgado, en los casos en que la revocación proceda, o si, por el contrario, se trata de un dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación justificativa. La cancelación deberá atenderse en un plazo de diez días, dará lugar al bloqueo de los datos, cuando sea preciso conservar éstos únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
Si los datos a rectificar o cancelar hubieran sido cedidos previamente a un tercero, el responsable del fichero notificará al cesionario la rectificación o cancelación efectuada.
Derecho de oposición, a solicitar que no se traten sus datos. Cuando se haya tratado un dato sin consentimiento del titular, siempre que una ley no disponga lo contrario, podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. En el caso de los datos obtenidos de fuentes accesibles al público, el titular de los datos personales tendrá derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que le conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre él figuren en aquél, a su simple solicitud.
Existe la obligación de contestar al solicitante aunque no figuren datos suyos y se debe hacer por medios que permitan acreditar el envío y la recepción de la notificación.
Los derechos de acceso, oposición al tratamiento, rectificación y supresión no son absolutos. El responsable del fichero o tratamiento podrá denegarlos cuando concurra causa legal para ello, como por ejemplo cuando se haya ejercitado el derecho de acceso en los últimos doce meses y no se alegue interés legítimo o cuando exista un deber legal de conservación en el caso de la cancelación. Del mismo modo la existencia de una relación jurídica que legitime para el tratamiento podría facultar para denegar una cancelación cuando la conservación del dato resulte necesaria para el cumplimiento de las obligaciones contractuales. En caso de denegación, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas.
En el RGPD, arts. 15 y ss, en el PLOPD, art. 12 al 18, se contempla el derecho de portabilidad (art. 20 RGPD, 17 PLOPD), como el derecho a solicitar del responsable los datos que éste tenga de un titular para entregárselos a un nuevo responsable o bien que se los transmitan de uno a otro.
El derecho de impugnación de valoraciones, los individuos pueden impugnar actos que supongan valoración de su comportamiento y que tengan repercusiones jurídicas sobre la única base de un tratamiento de datos de carácter personal que incluya definición de sus características o personalidad (art. 22 RGPD).
Constituye infracción grave, el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. También puede considerarse como infracción muy grave la circunstancia de no atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, supresión u oposición.