Los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de la LOPD se reinventan, se amplían y nos fastidian el acrónimo.
- Derecho de Acceso
- Derecho de Rectificación
- Derecho de SUpresión («el derecho al olvido» lo denomina el propio RGPD)
- Derecho a la LImitación del tratamiento
- Derecho de Portabilidad
- Derecho de Oposición
Los nuevos derechos de Supresión y Portabilidad que incorpora el RGPD (Reglamento Europeo de Protección de Datos) nos dejarían el acrónimo en algo así como «Derechos ARSULIPO». Obviamente nada que ver con la sonoridad y la fuerza semántica de los antiguos «ARCO«, aunque confiamos en que la AGPD no elija esta opción que suena más bien a algún tipo de roedor en peligro de extinción.
Entrando en la cuestión y como planteamiento general previo hay que señalar que el ejercicio de los derechos debe ser para el interesado fácil, accesible y no podrán ser denegados por el hecho de que el interesado opte por un medio distinto al sugerido por el responsable del tratamiento.
Derecho de Acceso
El interesado tendrá derecho a acceder, no ya a los meros datos, sino a toda la información sobre los mismos.
El nuevo proyecto de LOPD establece que este derecho de acceso se considerará otorgado si el responsable del tratamiento, sin hacer entrega de los datos o la información, facilita una vía de «acceso remoto, directo y seguro» a los mismos.
Asimismo, al amparo del RGPD, establece que el responsable del tratamiento se podrá negar el derecho de Acceso o cobrar por el ejercicio del mismo si, salvo causa legítima para ello que deberá hacerse constar por el interesado, este se solicita el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses.
Las novedades sobre la antigua LOPD de 1999 es que la nueva LOPD no fija un plazo para la respuesta (hasta ahora 30 días) por parte del Responsable del Tratamiento a la solicitud de acceso.
Derecho de Rectificación
Es el proyecto de LOPD el que desarrolla y limita más este derecho al establecer que el interesado deberá detallar los datos que desea rectificar y, si es necesario, aportar la documentación justificativa del error o el carácter incompleto de los mismos.
Al igual que en el caso del derecho de acceso, el Proyecto de Ley no fija un plazo de respuesta a diferencia de los 10 días que establece la LOPD.
Derecho de SUpresión (derecho al olvido)
El interesado tendrá derecho a obtener «sin dilación indebida» —pero sin plazo concreto ni en el proyecto de LOPD ni en el RGPD— del responsable del tratamiento la supresión de los datos si:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
- el interesado retire el consentimiento
- el interesado se oponga al tratamiento (derecho de oposición que veremos más adelante)
- los datos personales hayan sido tratados ilícitamente;
Se podrá denegar el ejercicio de este derecho cuando l tratamiento sea necesario:
- para ejercer el derecho a la libertad de expresión e información;
- para el cumplimiento de una obligación legal ;
- para la formulación, el ejercicio o la defensa de reclamaciones.
Asimismo el Responsable del tratamiento podrá conservar los datos cuando la supresión derive del ejercicio del derecho de Oposición, este podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
Derecho a la LImitación del tratamiento
La LImitación en el tratamiento cosiste en que los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento expreso del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:
a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya Opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
En responsable del tratamiento deberá hacer costar de forma expresa en su Sistema qué datos concretos se encuentran limitados.
Derecho de Portabilidad
El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento ó
b) el tratamiento se efectúe por medios automatizados.
El interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Caso de haber procedido a la Rectificación, a la Supresión de los datos o a la Limitación de los mismos, el Responsable del tratamiento vendrá obligado a notificar tal hecho al interesado salvo que sea imposible o exija un esfuerzo desproporcionado.
Derecho de Oposición
Se otorga un derecho de oposición al interesado casi absoluto, con contadísimas excepciones y de forma fácil y gratuita. Así, cabe el ejercicio del derecho de Oposición al tratamiento de datos personales:
- Incluso cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- incluso cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
- En caso de el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento. En este caso, los datos personales dejarán de ser tratados para dichos fines.
- En el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
- Salvo interés público, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos.
El ejercicio de todos estos derechos deberá ser atendidos por el Responsable del Tratamiento. Más trabajo para una figura que ha perdido mucha publicidad con la aparición de la figura del Delegado de Protección de Datos que trataremos próximamente en este blog.