Ejercicio de los derechos y tutela de derechos en protección de datos

Los derechos también llamados ARSULIPO son los (derechos de acceso, rectificación, supresión, limitación, portabilidad, retirada del consentimiento y oposición) antiguamente también llamados derechos ARCO. Estos derechos pueden ser ejercidos por cualquier persona física cuyos datos personales sean objeto de tratamiento. Es decir, cualquier usuario o titular de datos personales puede solicitar el ejercicio de estos derechos ante la empresa o entidad que trate sus datos. La normativa de protección de datos permite que se puedan ejercer ante el responsable del tratamiento los derechos que tienen las personas sobre sus datos. Los derechos se legislan del artículo 12 al artículo 22 del REGLAMENTO (UE) 2016/679  relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Dicho reglamento es conocido como (RGPD)

El ejercicio de estos derechos es gratuito.

Si las solicitudes son manifiestamente infundadas o excesivas el responsable podrá: Cobrar un canon proporcional a los costes administrativos soportados o negarse a actuar. 

Las solicitudes deben responderse en el plazo de un mes, dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.

El responsable está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.

Puedes ejercer los derechos directamente o por medio de tu representante legal o voluntario.

Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule.

Te detallamos a continuación cuales son estos derechos:

Establece los requisitos de transparencia que deben cumplir los responsables del tratamiento de datos personales en sus interacciones con los interesados (las personas cuyos datos se procesan). La información debe ser clara y concisa. 

Estos artículos especifican la información que debe proporcionarse a los interesados (la persona cuyos datos se están procesando) dependiendo de si los datos personales se han obtenido directamente de ellos o no. Estos artículos aseguran que los individuos estén informados sobre el uso y manejo de sus datos personales, reforzando la transparencia en el tratamiento de datos.

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los mismos.

• El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.

• Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:

• los fines del tratamiento;

• las categorías de datos personales de que se trate;

• los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

• de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

• la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

• el derecho a presentar una reclamación ante una autoridad de control;

• cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

• la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

• cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

• Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.

• Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

• Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan y a que se le completen los datos que sean incompletos mediante declaración adicional. 

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

• los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

• el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

• el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

• los datos personales hayan sido tratados ilícitamente;

• los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

• los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

• Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

• No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:

• para ejercer el derecho a la libertad de expresión e información;

• para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

• por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

• con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,

• para la formulación, el ejercicio o la defensa de reclamaciones.

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos.  

Suspensión temporal cuando hay dudas sobre los datos: Si alguien no está de acuerdo con la precisión de los datos personales que una organización tiene sobre él, puede pedir que se detenga temporalmente cualquier uso de esos datos hasta que la organización verifique su precisión. Esto es como poner un "pausa" en el tratamiento de los datos mientras se resuelve si son correctos o no. También se aplica si la persona se opone al tratamiento de sus datos y está esperando que se resuelva si sus razones para oponerse son más fuertes que las razones del responsable de los datos para seguir usándolos.

Casos especiales para limitar el uso de los datos:

Cuando el uso de los datos no es legal: Si el tratamiento de los datos es ilícito pero la persona no quiere que se borren sus datos, puede pedir que simplemente se limite su uso.

Cuando los datos ya no son necesarios, pero aún pueden ser útiles: A veces, aunque una organización ya no necesita los datos para los fines que originalmente tenía, la persona a quien pertenecen esos datos puede necesitarlos para resolver disputas legales, hacer reclamaciones o defenderse en algún procedimiento judicial. En tales casos, puede solicitar que no se borren sus datos y que solo se limite su uso a esos fines específicos.

En resumen, el derecho a la limitación del tratamiento ofrece a las personas un control más preciso sobre sus datos personales, permitiendo pausar su uso bajo ciertas condiciones hasta que se resuelvan ciertas cuestiones.

Este artículo establece que, cuando se hayan rectificado o suprimido datos personales o se haya limitado su tratamiento, el responsable del tratamiento debe comunicar cualquier rectificación, supresión o limitación en el tratamiento de los datos personales a cada destinatario al que se hayan comunicado los datos, a menos que esto implique un esfuerzo desproporcionado. Además, si el interesado lo solicita, el responsable deberá informarle sobre esos destinatarios.

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado en determinados casos.

En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

No obstante, este derecho se aplicará cuando:

• el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.

• el tratamiento se efectúe por medios automatizados.

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento en determinadas circunstancias que se analizarán más adelante.

Este derecho se aplica en varias circunstancias específicas que el RGPD detalla y ofrece a los individuos un mecanismo para controlar el uso de sus datos personales en situaciones que puedan afectarles de manera particular.

Las circunstancias bajo las cuales se puede ejercer el derecho de oposición incluyen:

Tratamiento basado en tareas de interés público o ejercicio de poderes oficiales: El interesado puede oponerse al tratamiento de sus datos cuando este se base en la realización de una tarea llevada a cabo por el interés público o en el ejercicio de poderes oficiales conferidos al responsable del tratamiento.

Tratamiento para fines de marketing directo: El interesado puede oponerse en cualquier momento al tratamiento de datos personales que le conciernan para este tipo de actividades. Esto incluye la elaboración de perfiles en la medida en que esté relacionada con el marketing directo.

Tratamiento basado en la satisfacción de intereses legítimos: Cuando el tratamiento se realice para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, el interesado también tiene derecho a oponerse al tratamiento de sus datos personales por motivos relacionados con su situación particular.

Una vez ejercido el derecho de oposición, el RGPD establece que el responsable del tratamiento debe cesar el tratamiento de los datos personales, a menos que demuestre motivos legítimos y convincentes para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, ejercicio o defensa de reclamaciones.

Este derecho refuerza el control de los individuos sobre sus datos personales, proporcionándoles un medio efectivo para limitar o impedir el tratamiento de sus datos en situaciones que podrían afectarles negativa

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Los derechos de los interesados son personalísimos, por lo tanto, serán ejercidos por el titular de los datos acreditando debidamente su identidad. También podrá ejercerse a través de representación legal aportando la representación del tercero debidamente acreditada.

El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado o interesado en sus tratamientos.

En el caso de que la solicitud no reúna los requisitos especificados, el responsable del fichero deberá solicitar la subsanación de estos.

El responsable de tratamiento responderá a las solicitudes en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.  El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

No es necesario facilitar la copia del DNI para ejercer los derechos del afectado. No obstante, si el responsable del tratamiento tuviese dudas razonables en relación con la identidad de la persona física que cursa la solicitud podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del afectado.

En el caso de que no se atiendan los derechos, el interesado podrá solicitar la tutela de derechos que no hayan sido debidamente atendidos a la Agencia Española de Protección de datos. Bien a través de la sede electrónica de su portal web (www.agpd.es), o bien mediante escrito dirigido a su dirección postal (C/Jorge Juan, 6, 28001-Madrid).