El 25 de mayo de 2018 entrará en vigor el Reglamento General de Protección de Datos (RGPD), al que toda empresa debe adaptar su práctica en la materia. Pero hoy vamos a detenernos en conocer las novedades que este nuevo marco legal trae para todos nosotros en calidad de ciudadanos.
Cuando nos registramos en un hotel, tramitamos una hipoteca o una suscripción a una newsletter, abrimos una cuenta en una red social, realizamos una compra online o nos atienden en un servicio de salud, cedemos datos de carácter personal, una información que las empresas e instituciones deben tratar de acuerdo con la Ley.
Todas sus actuaciones deben ser conformes a la LOPD (Ley orgánica 15/1999, de 13 de diciembre) y al Reglamento que la desarrolla (Real Decreto 1720/2007, de 21 de diciembre). Y, como decíamos, desde el próximo 25 de mayo de 2018, a la RGPD. En la publicación Protección de datos: Guía para el ciudadano, editada por la Agencia Española de Protección de Datos, se explican las novedades que este nuevo marco aporta al ejercicio del derecho del ciudadano, pero primero debemos hacer un repaso a la actual legislación.
Ejerce los derechos ARCO
Tras el proceso de recogida de estos datos, el ciudadano debe estar informado de la existencia de un fichero o sistema de tratamiento de datos y de la entidad que los gestiona, de su finalidad y de los destinatarios, por si hubiera posible transmisión de los mismos a terceros. Así lo exige el principio de información al que la empresa está sujeto. El usuario tiene a su vez la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición (conocidos como derechos ARCO).
- De acceso. El ciudadano tiene derecho a saber qué datos de carácter personal están siendo tratados, su finalidad, el origen de los mismos y si se han comunicado o van a comunicarse a un tercero.
- De rectificación. Faculta al ciudadano para modificar sus datos, por ejemplo, por un cambio de domicilio. En este caso se deben indicar los datos que quieren modificarse, adjuntando -si procede- la documentación justificativa correspondiente. El responsable del fichero cuenta con diez días hábiles para dar respuesta, y en el caso de que hubieran sido cedidos a un tercero, la empresa debe hacer la comunicación de rectificación.
- Derecho de oposición. Son variados los supuestos en los que el ciudadano puede oponerse al tratamiento de sus datos personales, por ejemplo, porque no quiere un uso con fines comerciales o para proteger su identidad por causa de violencia de género. De nuevo el plazo de respuesta es de diez días hábiles.
- Derecho de cancelación. Tras solicitar la cancelación, los datos no son borrados del archivo inmediatamente, sino que se bloquean para impedir su tratamiento. Se trata de una medida preventiva, por si tuvieran que ser puestos a disposición de las administraciones públicas, jueces o tribunales por posibles responsabilidades durante su uso. Una vez prescrito el plazo, serán suprimidos. El tiempo de respuesta a esta petición debe ser igualmente de diez días.
Derecho al olvido
Los ciudadanos también podemos ejercer acciones de protección de datos sobre los motores de búsqueda en Internet (Google, Bing, etc.). Es el llamado derecho al olvido, en cuya regulación fue pionera la Agencia Española de Protección de Datos (AEPD), para más tarde ser avalada por una sentencia del Tribunal de Justicia de la Unión Europea, de 13 de mayo de 2014. De este modo, podemos exigir que estos buscadores dejen de mostrar en sus respuestas informaciones. La realidad es más compleja, ya que para que los buscadores no los indexen, debe darse una serie de requisitos. Siguiendo la explicación de la Guía de protección de datos, el proceso es el siguiente:
- Supone aplicar los derechos de cancelación y oposición a los buscadores, para impedir la difusión de la información cuando ésta es obsoleta o no tenga relevancia ni interés público.
- Si se estima la pretensión del usuario, la información no aparecerá en los resultados de búsqueda, pero seguirá publicado en la fuente original.
- Se puede ejercer directamente en los buscadores, sin necesidad de acudir a la fuente original de la publicación.
- Se valora caso a caso para respetar de forma equitativa los derechos de las diferentes partes.
- Si los buscadores deniegan la pretensión, se puede interponer una reclamación ante la AEPD.
- Los buscadores ofrecen formularios para facilitar el ejercicio de este derecho. El de Google lo encontrarás en este enlace.
Eliminación de fotos y vídeos de Internet
Los vídeos y fotos también son considerados datos personales, por lo que también el ciudadano puede ejercer el derecho a cancelación. Algunas de las claves para ejercerlo son:
- Solo lo puede solicitar el afectado, y en el caso de menores de 14 años, sus padres o tutores legales.
- El primer paso, siempre que sea posible, debe ser la petición de eliminación del contenido a quien subió las imágenes a la red. En cualquier caso, es imprescindible dirigirse a la empresa u organismo que difunde la imagen (por ejemplo, una red social o web), “acreditando tu identidad e indicando qué enlaces son los que contienen los datos que se quieren cancelar”.
- La empresa debe resolver la solicitud en un plazo máximo de diez días. Si no fuera así, se puede interponer una reclamación de tutela ante la AEPD, siempre acompañada de la documentación que acredite haber solicitado previamente la cancelación.
Las redes sociales más implantadas cuentan con sus propios servicios de ayuda para ejercer el derecho, aquí tienes los enlaces: Facebook, Google, Youtube, Twitter e Instagram.
Novedades del RGPD
Tras este meteórico recorrido por el marco legal actual, veamos las principales modificaciones del nuevo marco jurídico a partir de la entrada en vigor del nuevo RGPD el próximo mes de mayo. En la mayoría de los puntos, es una legislación que trata de proteger los derechos del individuo y es más exigente de cara al gestor de datos:
- Sobre el derecho de acceso. Desde su aprobación podremos conocer el plazo de conservación de los datos; presentar una reclamación ante la autoridad de control; ser informados de una transferencia internacional de datos (recibiendo garantías de que se hace de forma adecuada); y tener conocimiento de la existencia de decisiones automatizadas, de la lógica aplicada a las mismas y las consecuencias de ese tratamiento de datos.
- Sobre el derecho de rectificación. La actual rectificación de datos inexactos ahora se amplía con el derecho a que se completen los datos personales (por ejemplo, un cambio de estado civil).
- Sobre el derecho de supresión. El conocido como ‘derecho al olvido’ se regula para la supresión de los datos personales sin dilación, cuando concurra alguno de los supuestos contemplados en el reglamento. De aplicación para impedir el tratamiento ilícito de datos o cuando haya desaparecido la finalidad que motivó su recogida. No obstante, se regula una serie de excepciones, como el de libertad de expresión e información.
- Sobre el derecho a la limitación del tratamiento. El ciudadano podrá solicitar la suspensión temporal del tratamiento de datos en dos supuestos: mientras el responsable del archivo verifica la exactitud de los datos por petición del usuario, o mientras se determina si los motivos que el ciudadano alega para su suspensión son legítimos.
- Sobre la portabilidad de datos. Podremos recibir los datos personales en un formato “estructurado, de uso común y lectura mecánica”.
- Sobre el derecho de oposición. Podremos oponernos al tratamiento de datos personales cuando su finalidad sea la “mercadotecnia directa”. Además, cuando esté justificado por situación personal, en este caso con las limitaciones de interés legítimo del propietario o por necesidad de defensa de reclamaciones.
- Sobre el derecho a no ser objeto de decisiones individualizadas. Cerramos el recorrido con una de las principales novedades: el ciudadano tendrá derecho a que sus datos no reciban un tratamiento individual automatizado con el que se vayan a tomar decisiones individualizadas, por ejemplo, para la elaboración de perfiles. Este punto que cuenta con tres excepciones: cuando sea necesario para la celebración o ejecución de un contrato; cuando esté permitido por el Derecho de la Unión Europea o de los estados miembros; y cuando exista consentimiento expreso del titular de los datos.