En esta sección podrás informarte de cuales son los derechos de protección de datos que te reconoce la normativa europea de protección de datos personales (RGPD) y cómo puedes exigirlos. 

Infografía de los derechos de protección de datos
 
Ver

Qué son los derechos de protección de datos

El derecho a la protección de datos te reconoce a ti como titular de tus datos personales y te concede el control de tus propios datos. Para ello, te reconoce los siguientes derechos, que puedes exigir a cualquiera que tenga tus datos en su posesión:

  1. Derecho de información o transparencia
  2. Derecho de acceso
  3. Derecho de rectificación
  4. Derecho de supresión (derecho al olvido)
  5. Derecho a la limitación del tratamiento
  6. Derecho a la portabilidad de los datos
  7. Derecho de oposición
  8. Derecho a no ser objeto de decisiones individuales automatizadas

Derecho de información o transparencia

Es tu derecho a estar informado sobre qué se hace con tus datos. En virtud de este derecho, la entidad que esté tratando tus datos debe facilitarte toda una serie de información antes de obtener tus datos, y debe dártela de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo; es decir, sin letras pequeñas ni cláusulas escondidas entre interminables y confusos contratos o avisos legales.

La información que deben facilitarte, y tu puedes exigir, es la siguiente:

  • la identidad del responsable del tratamiento y su información de contacto, y la del representante del responsable, si lo hubiera.
  • los datos de contacto del delegado de protección de datos, si hay uno nombrado.
  • la finalidad con la que se están tratando tus datos, y la razón legal para hacerlo (consentimiento, interés legítimo, interés vital…)
  • los destinatarios a quienes se comunican o se van a comunicar tus datos y, si se transfieren a países u organizaciones no miembros del Espacio Económico Europeo, las garantías adoptadas que hacen que esa transferencia de datos sea lícita.
  • el plazo durante el cual van a conservar tus datos.
  • la existencia de los otros derechos de protección de datos que te asisten, como el de rectificación, supresión, limitación del tratamiento, portabilidad o el derecho poner una reclamación ante la autoridad de control, explicados más abajo.
  • la fuente de la que han obtenido tus datos, si no se los has dado tu.
  • tu derecho a retirar el consentimiento en cualquier momento.
  • la existencia de decisiones automatizadas (si existen), incluida la elaboración de perfiles, la lógica aplicada, su importancia y consecuencias.
  • Información sobre tratamientos para fines distintos de aquel para el que se recogieron (si existen).

En España, la ley de protección de datos LOPDGDD permite a los responsables facilitarte únicamente una información básica en el momento en que te piden tus datos, que contendrá:

  • la identidad del responsable y su representante (si lo hay),
  • la finalidad para la que se tratarán los datos,
  • la posibilidad de ejercer tus derechos,
  • en caso de que se tomen, la existencia de decisiones automatizadas y tu derecho a oponerte a ellas, y
  • un medio para acceder al resto de información, normalmente un enlace a la política de privacidad.

Derecho de Acceso

El derecho de acceso te permite confirmar si tus datos personales están siendo tratados y, en caso afirmativo, obtener una copia. La primera copia es siempre gratuita y se te deberá facilitar prácticamente toda la información vista en el punto anterior. Concretamente, tienes derecho a exigir:

  • que se te comunique con qué finalidad se usan tus datos
  • los tipos de datos personales tuyos que están tratando (datos de salud, datos financieros, datos profesionales …)
  • los destinatarios a quienes se comunican o se van a comunicar tus datos y, si se transfieren a países u organizaciones no miembros del Espacio Económico Europeo, las garantías adoptadas que hacen que esa transferencia de datos sea lícita
  • el plazo de conservación
  • la existencia de tu derecho a la rectificación, supresión, limitación, oposición y a presentar una reclamación ante la autoridad de control (AEPD en España).
  • la fuente de la que han obtenido tus datos, si no se los has dado tu.
  • la existencia de decisiones automatizadas (si existen), incluida la elaboración de perfiles, la lógica aplicada, su importancia y consecuencias.

Derecho de rectificación

El derecho a la rectificación te permite exigir que tus datos sean corregidos cuando sean inexactos o incompletos.

En este caso, deberás indicar qué datos deseas rectificar y cual es la corrección a realizar. Además, cuando sea preciso deberás acompañar la documentación que acredite el cambio.

Derecho de supresión (o derecho al olvido)

El derecho de supresión o derecho al olvido te faculta para exigir el borrado  completo de tus datos personales cuando exista alguna de las siguientes circunstancias:

  • tus datos ya no sean necesarios para cumplir la finalidad para la que fueron recabados.
  • la empresa u organización trataba tus datos en base al consentimiento y lo has retirado. Si has retirado el consentimiento y el responsable del tratamiento no puede fundar el tratamiento en otra base legal, deberá proceder a suprimir tus datos.
  • has ejercido tu derecho de oposición.
  • han tratado tus datos de forma ilícita (contra la ley o sin que exista ninguna base legal, como el consentimiento).
  • una ley obliga a su supresión.
  • los datos se obtuvieron de un menor de 16 años sometido a tutela o patria potestad sin haberse recabado previamente la autorización o consentimiento del tutor o pariente.

Este derecho también puede exigirse a los motores de búsqueda en Internet, que lo llevarán a cabo desindexando la información para que no puedan encontrarte en los buscadores (Google, Yahoo, Bing, etc.) introduciendo tu nombre.

Tramitado el derecho de supresión la empresa deberá proceder a borrar tus datos, salvo que esté obligada a bloquearlos. Es habitual entre la legislación de los Estados Miembros de la UE requerir a las empresas la conservación de los datos a los efectos de poder ponerlos a disposición de las autoridades públicas si fuese necesario para exigir responsabilidades

Derecho a la limitación del tratamiento

El ejercicio de este derecho tiene sentido cuando no quieres que traten más tus datos pero te interesa que la entidad responsable los conserve por algún motivo. Estos motivos están tasados y son los siguientes:

  1. Has pedido la rectificación de tus datos, o te has opuesto a que se sigan tratando, y el responsable está en proceso de verificar tu solicitud. Entretanto, puedes pedir que se limite el tratamiento de tus datos a su mera conservación y el necesario para revisar la solicitud.
  2. Tus datos han sido tratados de forma ilícita y te interesa que, en lugar de suprimirlos, el responsable los conserve.
  3. Tus datos ya no son necesarios para el tratamiento y, aunque deberían de ser borrados, te interesa su conservación con fines de presentar o defenderte de reclamaciones.

Derecho a la portabilidad de los datos

Uno de los nuevos derechos de protección de datos introducido por el RGPD es el derecho a la portabilidad. Este derecho te permite exigir del responsable del tratamiento:

  1. que te haga entrega de los datos personales que tú le hayas facilitado previamente, o;
  2. que tus datos sean transmitidos directamente a otro entidad, siempre que sea técnicamente posible.

Para poder exigir este derecho deben concurrir necesariamente dos circunstancias:

  1. que el tratamiento esté basado en tu consentimiento o en un contrato, y;
  2. que el tratamiento se lleve a cabo por medios automatizados.

Derecho de oposición

El derecho de oposición es el derecho de protección de datos más utilizado para detener el envío de publicidad a tu teléfono o correo electrónico. Este derecho, te permite detener el uso de tus datos cuando:

  1. su tratamiento se base en razones de interés público o interés legítimo, y exista alguna razón en tu situación personal que justifique detenerlo;
  2. se traten con fines de investigación científica o histórica o estadísticos e igualmente exista alguna razón en tu situación personal que justifique detenerlo; y
  3. tus datos se estén utilizando con fines de marketing directo.

Una vez ejercido el derecho de oposición, el responsable deberá detener el tratamiento.

Derecho a no ser objeto de decisiones individuales automatizadas

El último de los derechos de protección de datos que te asiste es el derecho a que no se tome una decisión que afecte a tus derechos o te afecte significativamente de forma totalmente automatizada, es decir, sin intervención humana.

Y lo mismo respecto al tratamiento de tus datos con el fin de elaborar un perfil, que son esos casos en que se evalúan aspectos de tu persona para predecir tu comportamiento.

No obstante, las decisiones automatizadas o la elaboración de perfiles podrán llevarse a cabo cuando:

  • la decisión o elaboración del perfil sea necesario para celebrar o cumplir un contrato contigo, o
  • hayas dado tu consentimiento expreso a que se tomen esas decisiones

En ambos casos, la entidad o empresa responsable de tus datos deberá adoptar las medidas adecuadas para proteger tus derechos y libertades y, como mínimo, deberá facilitarte la posibilidad de obtener intervención humana, de expresar tu punto de vista y de impugnar la decisión.

La empresa o entidad responsable también podrá adoptar decisiones automatizadas o elaborar perfiles cuando así le autorice la ley, si bien en estos casos también deberá velar por tus derechos y libertades.

Finalmente, para tomar decisiones automáticas o elaborar perfiles utilizando categorías especiales de datos (datos personales sensibles) la entidad deberá contar con tu consentimiento expreso o bien estar habilitada por una ley.

Contactar

¿Necesitas a un abogado experto en tecnología y protección de datos?

Soluciones de primer nivel, rápidas y personalizadas a tu situación y necesidades. Si necesitas ayuda házmelo saber, estaré encantado de ayudarte.
Contactar

Preguntas frecuentes sobre los derechos de protección de datos

Puedes dirigirla directamente al responsable del tratamiento, que es la entidad, organización o persona que decide con qué finalidad se usarán tus datos, y normalmente coincidirá con quien los recogió en primer lugar.

Si la entidad está establecida fuera de la UE y no cuenta con un establecimiento en la UE es posible que deba tener designado a un representante en la UE. EN ese caso, también podrás dirigir tu petición al representante.

Por último, según el riesgo que presente el tratamiento la empresa o entidad deberá tener designado a un delegado de protección de datos. Si tiene uno designado también podrás dirigirle tu petición a él.

De todo esto deberá informar-te la entidad que trate tus datos, normalmente en su política de privacidad o en algún aviso legal.

Puedes presentar tu solicitud tanto en forma escrita, verbal o por medios electrónicos, y tendrás derecho a recibirla por cualquiera de esos medios, si bien pueden haber algunas restricciones en función de la complejidad de tu petición y de los medios con que cuente la empresa.

Por ejemplo, la ley de protección de datos española LOPDGDD considera excesiva la petición del derecho de acceso por un medio distinto al dispuesto por la empresa cuando suponga un coste desproporcionado. En este caso el coste lo soporta el solicitante y el plazo se ampliará al necesario, sin dilaciones indebidas.

Para que tu petición sea atendida deberás identificarte correctamente ante la entidad. En función de los datos que tengan sobre ti y del derecho que instes, la empresa te solicitará que te identifiques de un modo u otro.

Por ejemplo, si únicamente tienen tu nombre y correo electrónico. porque te has suscrito a una newsletter, para identificarte bastará con que les escribas desde la dirección de correo electrónico.

Por otro lado, también deberás de cumplir con los requisitos específicos al derecho que solicites, explicados más arriba.

Nada, las empresas deben facilitarte el ejercicio de cualquiera de tus derechos de protección de datos a coste cero, salvo que tus peticiones sean infundadas o excesivas, situación en la que sí podrán cobrarte los costes sufragados por tramitar tu derecho.

La ley obliga a la empresa a darte una respuesta en el plazo de un mes a partir de la recepción de la solicitud. Ahora bien, si la solicitud es compleja o la entidad está atendiendo un número elevado de solicitudes y prevé un retraso, dispondrán de un plazo extra de dos meses más para dar respuesta a tu derecho. En este caso deberán informarte, dentro del primer mes, de la razón que ha justificado su dilación.

Sí, si la empresa considera que tu solicitud es manifiestamente infundada o excesiva (especialmente por su carácter repetitivo). En estos casos podrá:

  1. denegar tu solicitud, o
  2. cobrarte un canon razonable en función de los costes administrativos afrontados para facilitarte la información o realizar la actuación solicitada.

Si la empresa decide no atender tu petición deberá informarte, en el plazo de un mes, de las razones para no cursarla y de tu derecho a presentar una reclamación ante una autoridad de control y ejercitar acciones judiciales.

En España, las reclamaciones las puedes presentar ante la Agencia Española de Protección de Datos y las acciones judiciales ante los juzgados de primera instancia del partido judicial donde tengas tu domicilio.