El Reglamento Europeo de Protección de Datos (RGPD) contiene una serie de derechos de los usuarios y personas afectadas por los tratamientos de datos que pueden ejercer ante el responsable y el encargado del tratamiento, según corresponda, o también ante el Delegado de Protección de Datos de estas compañías o entidades, si ha sido notificado válidamente este nombramiento en la Agencia Española de Protección de Datos. E incluso, en algún caso, como en el derecho a la indemnización, ante los Tribunales competentes.
Estos derechos son: derecho de acceso, derecho de rectificación, derecho de supresión y derecho al olvido, derecho de oposición a decisiones individuales automatizadas, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos y derecho a la indemnización. A continuación los detallaremos, clasificándolos en función de la si han sido creados o una modificación de normativa realizada previamente.
Derechos de nuevo cuño en el RGPD
Derecho de supresión y derecho al olvido
El derecho de supresión sustituye al derecho de cancelación de la antigua Ley Orgánica de Protección de datos. Este derecho de supresión significa que cualquier persona afectada por un tratamiento de datos, puede dirigirse frente al responsable que trate sus datos y solicitar la supresión de estos datos por la retirada de su consentimiento para el fin para el que fue recabado, o si esos datos no fueron recabados directamente de esa persona, el responsable del tratamiento deberá suprimirlos si no tiene otra base legal que le permita tratarlos, por ejemplo, el interés legítimo o la existencia de un contrato entre las partes.
Por su parte, el derecho al olvido se refiere a la posibilidad de que las personas se dirijan frente a buscadores de internet, para exigirles que “desindexen” su nombre de aquellos resultados de búsqueda que ya no resulten pertinentes o que estén descontextualizados o sean excesivos.
Derecho de oposición a la elaboración de perfiles
Otra de las novedades del Reglamento Europeo (RGPD) es la regulación de las decisiones individuales automatizadas, como la elaboración de perfiles (“profiling”). La elaboración de perfiles consiste en la utilización de datos personales para evaluar determinados aspectos relativos a los hábitos de las personas como, por ejemplo, la elaboración de un perfil de consumidor según los pedidos realizados en una tienda online. En este sentido, se reconoce el derecho de cualquier persona a oponerse a las decisiones basadas únicamente en la elaboración de perfiles y que, además produzcan efectos jurídicos en él o le afecte significativamente. Excepto en algunas situaciones, por ejemplo: que esa elaboración de perfiles sea necesaria para la ejecución de un contrato entre las partes, o que se base en el consentimiento de ese usuario.
Derecho a la limitación del tratamiento
El derecho a la limitación del tratamiento supone que, si una persona ejerce este derecho frente al responsable del tratamiento, su dato no dejará de tratado completamente, es decir, no se producirá una supresión, pero el responsable tendrá un tratamiento muy limitado de esos datos y solamente para los siguientes supuestos:
- cuando la persona afectada ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud
- Cuando los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones
- Cuando el tratamiento es ilícito, lo que determinaría el borrado de los datos, pero la persona afectada se opone a ello.
Derecho a la portabilidad de los datos
Este es otro de los nuevos derechos consagrados en el Reglamento Europeo (RGPD) es. La portabilidad de los datos significa que las personas que han cedido sus datos a un responsable del tratamiento tienen derecho a recibir los datos personales facilitados en un formato que sea estructurado e interoperable. Además, el derecho a la portabilidad permite la posibilidad de que la persona afectada por el tratamiento de datos solicite al responsable del tratamiento que transmita sus datos a otro responsable del tratamiento. El derecho a la portabilidad siempre se realizará sobre datos automatizados, por tanto, el ejercicio de este ejercicio no está contemplado sobre los datos en soporte papel. Por su parte, los datos objeto del derecho a la portabilidad de los datos pueden proceder de dos situaciones: datos obtenidos mediante el consentimiento o aquellos datos procedentes de un contrato de la persona afectada con el responsable del tratamiento.
Derecho a la Indemnización al usuario
Esta es una de las novedades más destacadas del Reglamento Europeo de Protección de Datos (RGPD). Al contrario de lo que sucedía en la antigua Ley Orgánica de Protección de Datos (LOPD), que únicamente contemplaba sanciones administrativas, a través de la Agencia Española de Protección de Datos, a las empresas y entidades que infringieran las obligaciones relativas a la protección de datos, pero no se contemplaban resarcimientos o indemnizaciones a las personas afectadas por infracción de sus derechos. Sin embargo, en el Reglamento Europeo (RGPD) sí se contempla la posibilidad de que las personas que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrán derecho a recibir del responsable o el encargado del tratamiento, según proceda, una indemnización por los daños y perjuicios sufridos. Para el ejercicio de este derecho a indemnización la persona afectada debe presentar la correspondiente acción judicial ante los tribunales competentes.
No todo son novedades. La reformulación en el RGPD
Derechos de acceso y rectificación
Los derechos de acceso y rectificación se mantienen muy similares a los contenidos en la anterior normativa, es decir, cualquier persona o usuario puede dirigirse frente la entidad que trate sus datos, siguiendo el procedimiento que cada entidad tenga contemplado, para exigirle confirmación de si se están tratando o no datos personales que le conciernen. Y, además, solicitar información sobre la finalidad del tratamiento, el tipo de dato que se trata, el plazo de conservación, y si se están elaborando perfiles automatizados con ellos, entre otros.
En cuanto al derecho de rectificación, también se mantiene la normativa anterior, es decir, la persona afectada puede dirigirse a la entidad que trate sus datos para exigirle la rectificación de los datos personales inexactos que le conciernan.
José Nogueira
Abogado
Sistemius