Introducción
Con carácter general, el RGPD exige a los responsables que faciliten a los interesados el ejercicio de sus derechos. Este mandato supone que los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. El RGPD no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.
Ejercer estos derechos será gratuito para el ciudadano excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.
El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esa ampliación del plazo debe notificarse dentro del primer mes. Si el responsable decide no atender la solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
De acuerdo con el RGPD, los responsables deberán tomar todas las medidas razonables para verificar la identidad de quienes soliciten acceso y, en general, de quienes ejerzan los restantes derechos en materia de protección de datos.
El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
El presente documento supone una guía de actuación que indica al personal de la empresa como recibir, gestionar y atender las ejercicio de derechos (“Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición”) que cualquier persona pueda solicitar a la empresa, en ejercicio de sus derechos contemplados en el Reglamento General de Protección de Datos
Derechos RGPD
Los derechos aquí indicados son una copia de los informados a través del portal oficial de la Agencia Española de Protección de Datos. Cualquier duda, consulta esta fuente, en la que se te ofrecen formularios tipo para ejercer tus derechos.
Derecho de acceso
Tienes derecho a que te informen de lo siguiente:
- Una copia de tus datos personales que son objeto del tratamiento
- Los fines del tratamiento
- Las categorías de datos personales que se traten
- Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales
- El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo
- La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos personales u oponerse a ese tratamiento
- El derecho a presentar una reclamación ante una Autoridad de Control
- Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado
- Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias
Derecho de rectificación
Tienes derecho, además de rectificar los datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.
Derecho de oposición
Mediante el derecho de oposición podrás oponerte al tratamiento de tus datos personales:
- El responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones
- Ejercitado este derecho para esta finalidad, los datos personales dejarán de ser tratados para dichos fines
Derecho de supresión («al olvido»)
Podrás ejercitar este derecho ante la persona responsable solicitando la supresión de sus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:
- Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
- Si el tratamiento de tus datos personales se ha basado en el consentimiento que prestaste a la personaresponsable, y retiras el mismo, siempre que el citado tratamiento no se base en otra causa que lo legitime
-
Si te has opuesto al tratamiento de tus datos personales al ejercitar el derecho de oposición en las siguientes circunstancias:
- El tratamiento de la persona responsable se fundamentaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos
- A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles relacionada con la citada mercadotecnia
- Si tus datos personales han sido tratados ilícitamente
- Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique a la persona responsable del tratamiento
- Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información).
Derecho a la limitación del tratamiento
Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:
Puedes solicitar la suspensión del tratamiento de tus datos:
- Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación
- Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos
Solicitar al responsable la conservación tus datos:
- Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso
- Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones
Derecho a la portabilidad
La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.
No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.
Derecho a no ser objeto de decisiones individuales automatizadas
Este derecho pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.
Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo, situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.
No obstante, este derecho no será aplicable cuando:
- Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable
- El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente
No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.
- Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.
A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.
Derecho de información
Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.
Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que:
- Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales.
- Y, por otra parte, se te remita el resto de las información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo.
La información a facilitar por capas o niveles sería la siguiente:
1.ª Capa: Información básica (resumida)
- La identidad del responsable del tratamiento
- Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese
- La base jurídica del tratamiento
- Previsión o no de cesiones. Previsión o no de transferencias a terceros países
- Referencia al ejercicio de derechos
2.ªCapa: Información adicional (detallada)
- Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
- Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
- Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
- Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
- Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.
Datos no obtenidos directamente de ti
En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente:
En la información básica (1ª capa, resumida):
- la fuente (procedencia) de los datos
Y en la información adicional (2ª capa, detallada):
- la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
- la categoría de datos que se traten
Esta información se te facilitará dentro de un plazo razonable, a más tardar en un mes, salvo que:
- Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado
- Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez
Derechos Schengen
El Sistema de Información de Schengen (SIS) es un sistema de información a gran escala que facilita la cooperación entre las autoridades nacionales de control de fronteras, aduanas y policía en el denominado.
Como complemento al sistema de información SIS se encuentra el sistema de información de visados (VIS) que permite a las autoridades competentes la implementación de la política común de visas sobre los visados de corta duración (hasta 90 días).
La normativa que regula el sistema VIS reconoce el derecho de los ciudadanos afectados al ejercicio de los derechos de acceso, rectificación y supresión, así como determinadas limitaciones a los mismos.
Observaciones
A causa del carácter personalísimo del ejercicio de estos derechos, para que se pueda tramitarse la solicitud correspondiente a cada ejercicio, será necesario aportar fotocopia del DNI o cualquier otro documento válido en derecho que acredite la identidad del interesado. En caso de representación de menores de edad o incapacitados, el representante deberá de aportar su DNI y un documento acreditativo que justifique la representación, Patria Potestad.
En el caso de los derechos de rectificación o supresión, para revelar el carácter inexacto de los datos que figuren en los ficheros seràn necesaria la aportación de documentación acreditativa.
En el supuesto del derecho de oposición, portabilidad y limitación del tratamiento aquella documentación que se considere conveniente, si es el caso, para justificar los motivos de la petición.
- Si se trata de solicitar el ejercicio del DERECHO DE ACCESO: Aquella información que permita determinar los datos que se pretenden obtener.
- Si se trata de solicitar el ejercicio del DERECHO DE RECTIFICACIÓN: Los datos que se pretenden rectificar y los datos que se modifican así como la razón de la variación.
- Si se trata de solicitar el ejercicio del DERECHO DE SUPRESIÓN: Además de los datos de supresión de los cuales se solicitan, habrá de indicarse si la petición está basada en la falta de ajuste del tratamiento en la protección de datos o por resultar los datos inexactos o incompletos.
- Si se trata de solicitar el ejercicio del DERECHO DE OPOSICIÓN: Habrán de indicar si los motivos fundamentales y legítimos relativos a una concreta situación ó personal que sustenten la petición.
- Si se trata de solicitar el ejercicio del DERECHO DE PORTABILIDAD: A recibir sus datos personales que le incumben de un responsable de tratamiento y a transmitirlos a otro responsable de tratamiento sin ningun impedimento del responsable al que se los hubiera facilitado. Los datos que se deriven directamente del uso de los servicios prestados por el responsable del tratamiento.
- Si se trata de solicitar el ejercicio del DERECHO DE LIMITACIÓN DEL TRATAMIENTO: Impugnar la exactitud de los datos que el tratamiento sea lícito, se oponga a la supresión, se oponga al tratamiento ó cuando el responsable no los necesite para el fin del tratamiento pero los necesite para la formulación, ejercicio o defensa de alguna reclamación
Cómo identificar los diferentes derechos y dar respuesta
Derecho a acceso: El interesado podrá solicitar y obtener de forma gratuita la información de sus datos de carácter personal sometidos a tratamiento, el origen de estos datos y las comunicaciones realizadas o que se prevean hacer de ellas. El derecho de acceso no podrá llevarse a término en intervalos inferiores a 12 meses, salvo causa justificada. Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento.
Derecho de rectificación y cancelación: Serán rectificados o cancelados, si es el caso, los datos de caràcter personal en los cuales el tratamiento no se ajuste a lo que dispone la Ley Orgánica de Protección de Datos y, en particular, cuando estos datos resulten inexactos o incompletos.
Derecho de oposición: En los casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos de caràcter personal, y siempre que una Ley no disponga lo contrario, este podrá oponerse a su tratamiento cuando haya motivos fundamentales y legítimos relativos a una situación personal concreta. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
Derecho de portabilidad: El derecho a la portabilidad implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.
El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Este derecho sólo puede ejercerse:
- Cuando el tratamiento se efectúe por medios automatizados
- Cuando el tratamiento se base en el consentimiento o en un contrato
- Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
Derecho de limitación del tratamiento: La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Se puede solicitar la limitación cuando:
- El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud.
- El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello.
- Los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
En el tiempo que dure la limitación, el responsable sólo podrá tratar los datos afectados, más allá de su conservación:
- Con el consentimiento del interesado
- Para la formulación, el ejercicio o la defensa de reclamaciones
- Para proteger los derechos de otra persona física o jurídica
- Por razones de interés público importante de la Unión o del Estado miembro correspondiente.
Procedimiento de solicitud
En todos los elementos informativos creados, incluidos en tu página web, aparece un dirección de correo que es la que has facilitado para que puedan requerirte el ejercicio de derechos.
Los pasos serán los siguientes:
- En cuanto un afectado te requiera cualquiera de ellos, solo tienes que identificar el modelo correspondiente y enviarlo al solicitante a la dirección en la que este te lo haya requerido.
- En cuanto te devuelvan el modelo cumplimentado, debes proceder a responder al requerimiento específico que te hayan requerido siguiendo las indicaciones del apartado anterior.
Recomendaciones:
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.
Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, (como un email o formulario) especialmente cuando el tratamiento se realiza por estos medios.
El ejercicio de los derechos será gratuito para el interesado, excepto:
Obligaciones
- Disponer de un procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos (a través de una dirección electrónica o un formulario dentro de la web).
- El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes).
- Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
- Los responsables deberán tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos ARCO.
- El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
- El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
Ejercicio de los derechos ante un encargado del tratamiento
Cuando los afectados ejerciten sus derechos ante un encargado del tratamiento y soliciten el ejercicio de sus derechos ante el mismo, el encargado deberá dar traslado de la solicitud al responsable del tratamiento de dato, a fin de que este último sea quien resuelva la solicitud.
El encargado del tratamiento podrá atender las solicitudes si en la relación existente con el responsable del tratamiento de dato se contempla esta posibilidad.
Gestión de solicitudes de derechos
La persona designada por el responsable de los tratamiento de datos de ARAGON INNOVACION TECNOLOGICA S.L.L. dispondrá de un sistema de gestión online de solicitudes a través de la plataforma En dicha plataforma podrá darse entrada a las solicitudes, recabando los datos aportados por el usuario e imprimiendo solicitudes personalizadas, a la vez que permitirá generar respuestas también personalizadas dependiendo del tipo de petición de:
Recepción de solicitudes
Cuando un interesado se dirija a la sede de atención a ejercicio de derechos de ARAGON INNOVACION TECNOLOGICA S.L.L., la persona responsable de atención a los usuarios deberá registrar la solicitud de este, indicando en ella todos los datos requeridos en los campos habilitados para ello, así como indicando las observaciones que se consideren necesarias.
Una vez introducidos todos los detalles de la solicitud se procederá a imprimir el impreso personalizado que deberá ser firmado por el interesado y almacenado por la empresa para:
Atención de solicitudes
Todas las peticiones han de ser evaluadas con el fin de estimar si proceden y dar respuesta a las mismas en los plazos indicados para cada tipo de solicitud.
Cuando la petición haya sido evaluada, tanto si procede como si la solicitud debiese ser denegada, la plataforma online permite generar los impresos de respuesta personalizados, proporcionando los diversos modelos de respuesta.
Las respuestas hacia el interesado deberán también ser conservadas por la empresa ya que es esta la que debe probar la correcta actuación en respuesta a la solicitud del interesado en caso de conflictos. En tal caso, la Agencia Española de Protección de Datos, en el ejercicio de tutela de los derechos de los interesados, pedirá al responsable de los tratamiento de datos del responsable ARAGON INNOVACION TECNOLOGICA S.L.L. la prueba de la respuesta a la solicitud, conforme a la legislación vigente.