La entrada en vigor del Reglamento General de Protección de Datos supuso la ampliación de los tradicionales derechos de acceso, rectificación, cancelación y oposición (ARCO), añadiendo también el ‘derecho al olvido’, a la limitación del tratamiento y a la portabilidad de datos. ¿En qué consisten estos derechos? ¿Cómo se pueden ejercer?
La protección de los datos personales es un derecho fundamental recogido en nuestra Constitución. Pese a ello, a veces podemos tener la sensación de haber perdido el control sobre ellos. Y esta situación es particularmente acusada cuando nos desenvolvemos en el ámbito digital.
Sin embargo, la legislación española ofrece las herramientas oportunas para garantizar nuestros datos personales. No en vano, en el preámbulo de la Constitución Española, referido a los derechos y libertades fundamentales, se especifica que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
En 1999, cuando la actual sociedad conectada empezaba a configurarse, se publicó la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), que incluía los derechos de acceso, rectificación, cancelación y oposición (ARCO).
Este marco legal se ha visto reforzado con la publicación de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD), publicada a finales de 2018, y el Reglamento General de Protección de Protección de Datos (RGPD), que entró en vigor el pasado mes de mayo. Dichos textos amplían los derechos ARCO, incluyendo también el ‘derecho al olvido’, a la limitación del tratamiento y a la portabilidad de datos.
Derecho de acceso
Tenemos derecho a que la entidad responsable del tratamiento de nuestros datos personales nos confirme si se están siendo tratados, cumplimentando y remitiendo el formulario correspondiente. Si es así, debe facilitarnos el acceso a ellos. También podemos solicitar que nos informe acerca de los fines del tratamiento, las categorías de datos personales tratadas, los destinatarios a los que se han comunicado o se comunicarán, el plazo previsto de conservación de los datos, etc. Además, si nosotros no hemos facilitado estos datos, el responsable del tratamiento debe informar acerca de su origen.
Si el responsable cuenta con gran cantidad de datos nuestros y no precisamos si nos referimos a todos o a una parte de ellos, puede pedirnos que especifiquemos más nuestra solicitud antes de facilitar la información.
Para poder ejercer este derecho, el responsable tendrá que facilitar un sistema de acceso remoto, directo y seguro a los datos personales. Basta con que nos comunique la manera de acceder a dicho sistema para que se dé por atendida la solicitud.
Derecho de rectificación
Tenemos derecho a que el responsable del tratamiento rectifique nuestros datos personales inexactos. También podemos pedir que se completen nuestros datos si están incompletos.
Para ejercer este derecho, tenemos que indicar en la solicitud a qué datos nos referimos y cuál es la corrección que ha de hacerse. Si es preciso, tendremos que adjuntar la documentación que justifique la inexactitud o el carácter incompleto de los datos.
Derecho de cancelación o supresión
El derecho de cancelación ha sido ampliado y renombrado como derecho de supresión, incluyendo también el denominado ‘derecho al olvido’, para lo cual tendremos que enviar el formulario oportuno.
El responsable del tratamiento de datos estará obligado a suprimir los datos personales si ya no son necesarios para los fines con los que fueron recogidos o ahora son tratados de otro modo, si retiramos nuestro consentimiento o si los datos han sido tratados ilícitamente, entre otros supuestos. También podemos solicitarlo si hemos ejercido el derecho de oposición a que nuestros datos sean tratados en campañas de marketing directo, incluyendo el perfilado.
El ‘derecho al olvido’ entra en juego si nuestros datos personales se han hecho públicos y el responsable está obligado a suprimirlos. Tendrá que eliminar todo enlace a ellos, así como cualquier copia o réplica de los mismos.
No podremos obtener la supresión si el tratamiento de los datos es necesario para ejercer el derecho a la libertad de expresión e información, para cumplir con una obligación legal, para dar respuesta a una misión de interés público, por razones de salud pública, si tiene fines de investigación científica, histórica o estadística, o si es preciso para la formulación, ejercicio o defensa de reclamaciones.
Derecho de oposición
La LOGPGDD recoge el derecho a oponernos en cualquier momento a que nuestros datos personales sean objeto de tratamiento. Una vez que reciba nuestro formulario, el responsable del tratamiento tendrá que dejar de tratar los datos personales, excepto si acredita motivos legítimos por los que sea imprescindible su tratamiento y que prevalezcan sobre nuestros intereses, derechos y libertades. Y no podremos oponernos al tratamiento si es preciso para la formulación, el ejercicio o la defensa de reclamaciones.
Incluso podemos oponernos al tratamiento de datos personales tratados con fines de investigación científica, histórica o estadística, salvo en caso de que el tratamiento sea necesario para el cumplimiento de una misión realizada por razones de interés público.
El RGPD se refiere expresamente a nuestro derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado -incluida la elaboración de perfiles– que produzca efectos jurídicos sobre nosotros o nos pueda afectar significativamente. Se trata de una garantía frente al uso creciente de algoritmos y tecnologías como la inteligencia artificial (IA) o Big Data a la hora de automatizar las decisiones. Sin embargo, no podemos oponernos si dicho perfilado es necesario para establecer un contrato con el responsable del tratamiento o si este cuenta con nuestro consentimiento explícito para ello.
En cualquier caso, las decisiones automatizadas no podrán basarse en categorías especiales de datos personales, como el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan identificarnos, datos relativos a la salud o a la vida sexual, etc.
Derecho a la limitación del tratamiento
Es uno de los derechos introducidos en la ley de 2018. Si impugnamos la exactitud de nuestros datos, tenemos derecho a obtener la suspensión de su tratamiento durante un plazo que permita al responsable su verificación. Igualmente, si nos hemos opuesto al tratamiento que realiza el responsable basándose en un interés legítimo o una misión de interés público, tenemos derecho a la suspensión mientras que aquel verifica que nuestros motivos prevalecen sobre los tuyos.
Por otro lado, podemos pedir al responsable la conservación de nuestros datos cuando el tratamiento haya sido ilícito y nos opongamos a su supresión, pidiendo en su lugar la limitación del uso. También podemos exigir que los conserve si el responsable ya no requiere nuestros datos para los fines originales del tratamiento, pero nosotros sí que los necesitamos para la formulación, el ejercicio o la defensa de reclamaciones.
Derecho a la portabilidad de los datos
Es otra de las novedades de la LOGPGDD. Se refiere a nuestro derecho a solicitar que el responsable del tratamiento nos proporcione los datos personales que les hayamos facilitado o que se los transmita a otro responsable del tratamiento. Al ejercer este derecho, los datos personales se transmitirán directamente de responsable a responsable, siempre y cuando sea técnicamente posible.
Algunas consideraciones generales
Es importante señalar que el ejercicio de estos derechos es gratuito. Por lo general, nuestras peticiones deben ser atendidas por el responsable del tratamiento de datos en un plazo máximo de un mes.
Además, el responsable está obligado a informarnos acerca de los medios para ejercitar estos derechos. Si presentamos la solicitud por medios electrónicos, la información debe facilitarse por este mismo canal cuando sea posible, salvo si los pedimos de otro modo.
El responsable también puede rechazar la solicitud. En tal caso, tiene que informarnos de las razones, recordándonos que contamos con la posibilidad de reclamar ante la Agencia Española de Protección de Datos (AEPD).
Por otra parte, si cursamos solicitudes manifiestamente infundadas o excesivas, la AEPD podrá establecer un canon proporcional basado en los costes administrativos soportados o negarse a actuar.
Como hemos visto, la legislación española dispone de herramientas para mantener nuestros datos personales bajo control. Sin embargo, debemos tener en cuenta que la tecnología avanza muy rápido, por lo que la ley siempre va a rebufo de la realidad. La evolución del Big Data, la IA, el Internet de las Cosas o los coches sin conductor, e incluso de tecnologías que hoy ni siquiera imaginamos, exigirá revisar la ley para adecuarse al escenario futuro.
