2.1. INTRODUCCIÓN.
La adaptación a la normativa europea expresada en el Reglamento General de Protección de Datos, aplicable a partir del 25 de mayo de 2018, ha requerido la elaboración de una nueva ley orgánica que sustituya a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta norma ha sido la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que presenta la siguiente estructura:
Preámbulo
- TÍTULO I. Disposiciones generales
- TÍTULO II. Principios de protección de datos
- TÍTULO III. Derechos de las personas
CAPÍTULO I. Transparencia e información
CAPÍTULO II. Ejercicio de los derechos - TÍTULO IV. Disposiciones aplicables a tratamientos concretos
- TÍTULO V. Responsable y encargado del tratamiento
CAPÍTULO I. Disposiciones generales. Medidas de responsabilidad activa
CAPÍTULO II. Encargado del tratamiento
CAPÍTULO III. Delegado de protección de datos
CAPÍTULO IV. Códigos de conducta y certificación - TÍTULO VI. Transferencias internacionales de datos
- TÍTULO VII. Autoridades de protección de datos
CAPÍTULO I. La Agencia Española de Protección de Datos
Sección 1.ª Disposiciones generales
Sección 2.ª Potestades de investigación y planes de auditoría preventiva
Sección 3.ª Otras potestades de la Agencia Española de Protección de Datos
CAPÍTULO II. Autoridades autonómicas de protección de datos
Sección 1.ª Disposiciones generales
Sección 2.ª Coordinación en el marco de los procedimientos establecidos en el RGPD - TÍTULO VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos
- TÍTULO IX. Régimen sancionador
- TÍTULO X. Garantía de los derechos digitales
2.2. DERECHOS DE LAS PERSONAS.
Transparencia e información al afectado. Cuando los datos se obtienen directamente del interesado, el responsable del tratamiento puede cumplir con el deber de información proporcionando al afectado la información básica y una dirección electrónica u otro medio para acceder fácilmente al resto de la información.
La información básica debe incluir al menos:
a) La identidad del responsable del tratamiento y su representante, si corresponde.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, notificación, portabilidad de datos, oposición y decisiones individuales automatizadas.
Si los datos se van a utilizar para elaborar perfiles, se debe informar al afectado de este hecho y de su derecho a oponerse a las decisiones automatizadas que le afecten significativamente.
Cuando los datos no se obtengan directamente del interesado, el responsable puede proporcionar la información básica junto con un medio para acceder fácilmente al resto de la información. En estos casos, la información básica también debe incluir:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que proceden los datos.
Disposiciones generales sobre ejercicio de los derechos. Los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos, oposición y decisiones automatizadas pueden ser ejercidos directamente por la persona afectada, su representante legal o voluntario.
El responsable del tratamiento debe informar al afectado sobre cómo ejercer sus derechos, asegurando que los medios sean fácilmente accesibles. El afectado tiene la libertad de elegir el medio por el cual ejercer sus derechos, y su solicitud no puede ser rechazada por optar por otro método.
El encargado del tratamiento puede gestionar las solicitudes de ejercicio de derechos en nombre del responsable si así se establece en el contrato. La responsabilidad de demostrar que se ha respondido a la solicitud de ejercicio de derechos recae en el responsable.
En casos donde existan leyes especiales que afecten el ejercicio de estos derechos, se seguirá lo establecido en esas leyes. Los padres o tutores legales pueden ejercer los derechos en nombre de menores de catorce años.
Las acciones realizadas por el responsable para atender las solicitudes de ejercicio de derechos deben ser gratuitas, a menos que se trate de solicitudes repetitivas de acceso que impliquen un costo desproporcionado o duplicidad de copias.
Derecho de acceso. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del RGPD:
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) Los fines del tratamiento;
b) Las categorías de datos personales de que se trate;
c) Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) El derecho a presentar una reclamación ante una autoridad de control;
g) Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas relativas a la transferencia.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
El derecho a obtener copia no afectará negativamente a los derechos y libertades de otros.
En situaciones donde el responsable maneje una gran cantidad de datos del individuo y este ejerza su derecho de acceso sin indicar si se refiere a todos los datos o solo a una parte, el responsable puede pedirle al individuo que especifique los datos o actividades de tratamiento a los que se refiere la solicitud antes de proporcionar la información solicitada.
En resumen, si el responsable del tratamiento proporciona al individuo un sistema de acceso remoto, directo y seguro a sus datos personales que garantice el acceso permanente a la totalidad de los mismos, se considerará que se ha otorgado el derecho de acceso. En este caso, la comunicación al individuo sobre cómo acceder a dicho sistema será suficiente para atender la solicitud de ejercicio del derecho.
Sin embargo, el individuo podrá solicitar al responsable información adicional relacionada con sus datos personales que no esté incluida en el sistema de acceso remoto, de acuerdo con lo establecido en el RGPD.
Si el individuo ejerce su derecho de acceso en más de una ocasión durante un período de seis meses, el responsable del tratamiento puede cobrar un canon razonable que cubra los costos administrativos incurridos para proporcionar la información o comunicación solicitada, o negarse a actuar sobre la solicitud, a menos que exista una razón legítima para el ejercicio repetitivo del derecho.
Si el individuo elige un método que resulte en costos desproporcionados en comparación con las opciones ofrecidas, su solicitud se considerará excesiva y deberá asumir los costos adicionales que esto conlleve. En esta situación, el responsable del tratamiento solo estará obligado a cumplir con el derecho de acceso sin retrasos indebidos.
Derecho de rectificación. Cuando una persona ejerce su derecho de rectificación, debe especificar en su solicitud qué datos desea corregir y qué corrección se debe realizar. En caso necesario, es importante adjuntar la documentación que respalde la inexactitud o la falta de completitud de los datos que están siendo tratados.
Derecho de supresión. El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17
del RGPD:
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) El interesado retire el consentimiento en que se basa el tratamiento, y este no se base en otro fundamento jurídico;
c) El interesado se oponga al tratamiento por motivos relacionados con su situación particular, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa;
d) Los datos personales hayan sido tratados ilícitamente;
e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a niños.
Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado anterior, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
Los apartados anteriores no se aplicarán cuando el tratamiento sea necesario:
a) Para ejercer el derecho a la libertad de expresión e información;
b) Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
c) Por razones de interés público en el ámbito de la salud pública de conformidad (tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; tratamiento necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios; tratamiento realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona
sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes).
d) Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado primero pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) Para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando la supresión derive del ejercicio del derecho de oposición con arreglo a lo dispuesto en el RGPD, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
Derecho a la limitación del tratamiento. El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el artículo 18 del RGPD:
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) El interesado se haya opuesto al tratamiento por motivos relacionados con su situación particular, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
Cuando el tratamiento de datos personales se haya limitado en virtud del apartado primero, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado primero será informado por el responsable antes del levantamiento de dicha limitación.
El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.
Derecho a la portabilidad. El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del RGPD:
1.- El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) El tratamiento esté basado en el consentimiento para el tratamiento de datos personales para uno o varios fines específicos(excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición de tratamiento no puede ser levantada por el interesado), o en un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales, y
b) El tratamiento se efectúe por medios automatizados.
2.- Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
3.- El ejercicio del derecho mencionado en el apartado primero del presente artículo se entenderá sin perjuicio del derecho de supresión («el derecho al olvido»). Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
Derecho de oposición. El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del RGPD:
Derecho de oposición.‐ El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, o necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño, incluida la elaboración de perfiles.
El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados primero y segundo será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Decisiones individuales automatizadas, incluida la elaboración de perfiles. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
El apartado anterior no se aplicará si la decisión:
a) Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del
tratamiento;
b) Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) Se basa en el consentimiento explícito del interesado.
En los casos a que se refiere el apartado a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Las decisiones a que se refiere el apartado anterior no se basarán en las categorías especiales de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, salvo que el interesado haya dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición de tratamiento no puede ser levantada por el interesado, o que el tratamiento sea necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo
perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
