Disponer los medios para facilitar el ejercicio de los derechos del RGPD es imprescindible para cumplir con la norma. Aquí podrás informarte de todo acerca de estos derechos y cómo debe tramitarse una solicitud.

Qué son los derechos del RGPD

Para facilitar el control sobre los datos a los interesados, la normativa de protección de datos les reconoce toda una serie de derechos. En el RGPD, estos derechos se encuentran ubicados en los artículos 12 a 22 y los responsables del tratamiento están obligados a facilitar su ejercicio.

Derecho de información o transparencia

El derecho de información o transparencia te obliga a facilitar información a los interesados sobre el tratamiento de sus datos. La información que debes proporcionar y los plazos para cumplir con este derecho varían en función de si obtienes la información del interesado o de un tercero.

Qué información debes proporcionar

En función de si obtienes los datos del propio interesado o de otra fuente, deberás proporcionarle la siguiente información:

Información a proporcionarObtenidos del interesadoObtenidos de otra fuente
Tu identidad e datos de contacto
Identidad y datos de contacto del representante
Datos de contacto del DPO
Finalidad del tratamiento
Base legal del tratamiento
Categorías de datos personales
Destinatarios
Transferencias internacionales de datos
Plazo de conservación
Derechos de protección de datos
Posibilidad de retirar el consentimiento
Derecho a reclamar ante la autoridad de control
Procedencia de los datos
Obligación legal o contractual de facilitar los datos
Decisiones automatizadas o elaboración de perfiles
Tratamientos para otros fines

En qué momento debes informar

Si los datos los obtienes del interesado, debes informarle en el mismo momento en que recoges su información.

Si los datos los obtienes de otra fuente, deberás informarle:

  1. dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, teniendo en cuenta las circunstancias del tratamiento;
  2. si debes utilizar los datos personales para comunicarte con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
  3. si has previsto comunicarlos a otro destinatario, a más tardar en el momento en que los comuniques por primera vez.

Cuándo no es necesario informar

Con carácter general, no deberás de informar cuando el interesado ya disponga de esa información.

Si has obtenido la información de un tercero, tampoco deberás informar cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado.

Se entiende que la comunicación es imposible o supone un esfuerzo desproporcionado cuando el tratamiento se hace con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que cumplir con este deber puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento.

Para atenerte a esta excepción, el Considerando 62 establece que debes considerar el número de interesados y la antigüedad de los datos. Además, deberás adoptar medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información. 

Si obtienes la información de otra fuente, tampoco deberás informar cuando:

  • la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que te aplique, o
  • cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Información por capas o niveles

Debido a la gran cantidad de información a facilitar, una práctica habitual, respaldada por el CEPD, es estructurar la información por niveles. Para hacer una declaración o aviso de privacidad por niveles, no basta con simplemente poner una casilla a marcar en la que no das ninguna información y solo le reenvías a la política de privacidad. El CEPD, en sus directrices sobre el deber de transparencia dice:

El diseño y la disposición del primer nivel de la declaración/aviso de privacidad serán tales que el interesado obtenga una visión general clara de la información de que dispone sobre el tratamiento de sus datos personales y dónde/cómo puede encontrar información detallada dentro de los distintos niveles de la declaración/aviso de privacidad.

Con otras palabras, el primer nivel debe ofrecer una visión general clara de la información y un enlace a la política de privacidad.

Acerca de la información a facilitar en la primera capa, esto varía en función de la legislación del Estado Miembro.

En España, la LOPDGDD te obliga a facilitar, en la primera capa, la siguiente información:

  • la identidad del responsable y su representante (si lo hay);
  • la finalidad para la que se tratarán los datos;
  • la posibilidad de ejercer los derechos del RGPD;
  • en caso de que se tomen, la existencia de decisiones automatizadas y el derecho a oponerse a ellas; y
  • un medio para acceder al resto de información, normalmente un enlace a la política de privacidad.

Derecho de acceso

Por medio del derecho de acceso el interesado puede exigirte que le confirmes si tratas o no sus datos personales y, en caso afirmativo, obtener una copia de todos ellos. Además, también tendrá derecho a exigirte la siguiente información del tratamiento:

  • la finalidad del tratamiento;
  • las categorías de datos que tratas (datos de salud, datos financieros, datos profesionales …);
  • los destinatarios a quienes comunicas o has previsto comunicar sus datos y, si los transfieres a países u organizaciones no miembros del Espacio Económico Europeo, las garantías que has dispuesto para que esa transferencia de datos sea legal;
  • los plazos de conservación de los datos que has definido;
  • la existencia de su derecho a la rectificación, supresión, limitación y oposición, así como su derecho a presentar una reclamación ante la autoridad de control;
  • la fuente de la que has obtenido sus datos, si no los has obtenido directamente de él o ella; y
  • la existencia de decisiones automatizadas (si las hay), incluida la elaboración de perfiles, la lógica aplicada, su importancia y las consecuencias.

Toda la información que te pidan debes prestarla de forma gratuita. Ahora bien, por las copias sucesivas que te soliciten podrás cobrar un canon razonable, que deberá estar basados en los costes administrativos de gestionar su petición.

El RGPD deja abierta la cuestión de cuándo una solicitud se considera repetitiva o excesiva, facultándote así para negarte a actuar o solicitar un canon, por lo que esta cuestión debe ser concretada por el Derecho de los Estados Miembros.

En España, la LOPDGDD establece que una petición de acceso se considera repetitiva cuando se solicita el derecho en más de una ocasión durante el plazo de seis meses, a menos que exista una causa legítima para ello.

Por otro lado, se considera excesiva la petición del interesado por un medio distinto a los ofrecidos cuando suponga un coste desproporcionado. En este caso, el afectado asumirá el exceso de costes que su elección comporte y podrás resolver la petición del interesado no en el plazo de un mes, que es el periodo que marca el RGPD, sino en el tiempo que requieras, eso sí, sin dilaciones indebidas.

Derecho de rectificación

El derecho a la rectificación permite a los interesados exigir que sus datos sean corregidos cuando sean inexactos o incompletos.

Además, el RGPD establece que debes comunicar cualquier rectificación de datos a los destinatarios a los les hayas comunicado los datos, salvo que sea imposible o exija un esfuerzo desproporcionado. Esta obligación es igualmente extensible a los derechos del RGPD supresión y limitación del tratamiento.

El Derecho nacional puede terminar de concretar el ejercicio de este derecho. En España, la LOPDGDD exige a los interesados indicar en la solicitud a qué datos se refiere, qué corrección debe realizarse y acompañar, cuando lo requieras, la documentación justificativa de la inexactitud o carácter incompleto de los datos.

Derecho de supresión (derecho al olvido)

El derecho de supresión o derecho al olvido faculta a los interesados para exigirte la supresión de sus datos personales cuando exista alguna de las siguientes circunstancias:

  • los datos personales ya no sean necesarios para los fines para los que los recogiste;
  • tratabas sus datos en base al consentimiento y lo han retirado, salvo que puedas fundar el tratamiento en otra base legal;
  • han ejercido el derecho de oposición;
  • has tratado los datos de forma ilícita (contra la ley o sin que exista ninguna base legal, como el consentimiento);
  • una ley obliga a su supresión;
  • has obtenido los datos de un menor de 16 años sometido a tutela o patria potestad sin haber recabado previamente la autorización o consentimiento de su tutor o pariente.

Hacer efectivo el derecho de supresión requiere que borres los datos personales de tus sistemas. No obstante, hay situaciones en las que una ley puede exigirte conservar los datos y, en consecuencia, en lugar de suprimir los datos tienes el deber de bloquearlos. El artículo 17.3 del RGPD introduce hasta 5 escenarios en los que no estarás obligado a suprimirlos.

Finalmente, el RGPD también establece que debes comunicar cualquier supresión de datos a los destinatarios a los les hayas comunicado los datos, salvo que sea imposible o exija un esfuerzo desproporcionado. Esta obligación es igualmente extensible a los derechos del RGPD rectificación y limitación del tratamiento.

Derecho a la limitación del tratamiento

El interesado tendrá derecho a obtener la limitación del tratamiento de sus datos cuando:

  • haya impugnado la exactitud de los datos personales. En este caso, el interesado te puede exigir la limitación del tratamiento de los datos a su mera conservación y el necesario para verificar la exactitud de los mismos;
  • el tratamiento sea ilícito y el interesado se oponga a la supresión de sus datos, solicitando, en su lugar, la limitación de su uso;
  • ya no necesites los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
  • el interesado se haya opuesto al tratamiento de sus datos pero sigues tratándolos por haber alegado motivos legítimos imperiosos. En este caso, deberás limitar el tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

En España, la LOPDGDD exige que la limitación conste claramente en los sistemas de información.

Derecho a la portabilidad de los datos

Uno de los nuevos derechos del RGPD es el derecho a la portabilidad. Este derecho permite a los interesados exigirte:

  1. entrega de los datos personales que previamente te hayan facilitado, o;
  2. que transmitas sus datos directamente a otro responsable, siempre que sea técnicamente posible.

Además, al hacer efectivo el derecho a la portabilidad deberás transmitir los datos en un formato estructurado, de uso común y lectura mecánica

Para que el interesado esté en condiciones de exigirte este derecho, deberán concurrir necesariamente dos circunstancias:

  1. que el tratamiento esté basado en el consentimiento o en un contrato, y
  2. que trates los datos por medios automatizados.

Derecho de oposición

El derecho de oposición faculta a los interesados para oponerse al tratamiento de sus datos personales. Únicamente se aplica a ciertas situaciones y, cuando te sea solicitado de forma correcta, deberás detener el tratamiento de los datos.

Los interesados pueden oponerse al tratamiento de sus datos cuando:

  1. El tratamiento se base en razones de interés público o el interés legítimo, y exista alguna razón en su situación personal que justifique detener el tratamiento.
  2. Utilices sus datos con fines de marketing directo.
  3. Utilices sus datos con fines de investigación científica o histórica o fines estadísticos y exista alguna razón en su situación personal para oponerse al tratamiento de sus datos, salvo que el tratamiento sea necesario para el cumplimiento de una misión realizada por razones de interés público.

Derecho a no ser objeto de decisiones individuales automatizadas

El último de los derechos del RGPD que debes ser capaz de gestionar es el derecho del interesado a que no se tome una decisión que afecte a sus derechos o le afecte significativamente de forma totalmente automatizada, es decir, sin intervención humana.

Y lo mismo respecto al tratamiento de sus datos con el fin de elaborar un perfil, que son esos casos en que se evalúan aspectos de la persona para predecir su comportamiento.

No obstante, podrás adoptar decisiones automatizadas o elaborar perfiles cuando:

  • la decisión o elaboración del perfil sea necesario para celebrar o cumplir un contrato con el interesado, o
  • hayas obtenido el consentimiento expreso del interesado para que se tomen esas decisiones.

En ambos casos, deberás adoptar las medidas adecuadas para proteger los derechos y libertades del interesado y, como mínimo, deberás facilitarle la posibilidad de obtener intervención humana, de expresar su punto de vista y de impugnar la decisión.

También podrá adoptar decisiones automatizadas o elaborar perfiles cuando te autorice la ley, si bien en estos casos también deberás disponer las medidas para proteger los los derechos y libertades del interesado.

Finalmente, para poder tomar decisiones automáticas o elaborar perfiles utilizando categorías especiales de datos (datos personales sensibles), el artículo 22.4 del RGPD te requiere recoger un consentimiento expreso o bien que el tratamiento sea necesario por razones de interés público esencial y, en cualquiera de ambos casos, hayas adoptado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

Cómo responder los derechos del RGPD

Forma de la respuesta

El artículo 12 del RGPD establece que la información debe ser facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Además, cuando te lo solicite el interesado, también podrás facilitar la información verbalmente siempre y cuando la identidad del interesado haya sido demostrada por otros medios.

Además, en esos casos en que el interesado presente la solicitud por medios electrónicos, si es posible deberás facilitar la información por medios electrónicos, a menos que el interesado te haya solicitado que se la facilites de otro modo.

Plazo para responder los derechos del RGPD

El RGPD te obliga a dar una respuesta en el plazo de un mes a partir de la recepción de la solicitud. Ahora bien, si la solicitud es compleja o estás atendiendo un número elevado de solicitudes y prevés un retraso, dispondrás de una prórroga de dos meses para responder el derecho del interesado. En este caso deberás informarle, dentro del primer mes, de la razón que ha justificado la dilación.

Deber de identificación

Tienes el deber de identificar correctamente al interesado antes de proceder a resolver alguno de sus derechos del RGPD.

Identificar al interesado no significa necesariamente solicitarle el DNI. De hecho, obtener el DNI del interesado únicamente con el propósito de identificarle puede ser excesivo y contrario a la normativa, según el caso.

La información que deberás solicitar para identificar a una persona depende del contexto del tratamiento y del derecho ejercitado.

Por ejemplo, si uno de los contactos de tu lista de suscriptores solicita que sus datos no sean tratados con fines de marketing (derecho de oposición), te bastará con solicitarle el correo electrónico o el número de teléfono en cuestión.

Por otro lado, si la misma persona lo que te solicita es que le remitas copia de todos los datos que tienes sobre él, la identificación por medio del correo electrónico será probablemente insuficiente y hará falta algo más. En este último caso sí tendría más sentido solicitar el DNI.

Si la persona se niega a identificarse puedes denegarle el ejercicio del derecho.

Cuándo puedes cobrar por tramitar derechos del RGPD

Puedes cobrar un canon razonable basado en los costes administrativos afrontados para realizar la actuación solicitada cuando consideres que la petición del interesado es manifiestamente infundada o excesiva (especialmente por su carácter repetitivo).

Cuándo puedes negarte a tramitar una solicitud

Puedes negarte a responder una solicitud cuando consideres que esta es manifiestamente infundada o excesiva (especialmente por su carácter repetitivo).

En este caso, deberás informar al interesado, en el plazo de un mes, de las razones por las que no cursas su solicitud y de su derecho a presentar una reclamación ante una autoridad de control y ejercitar acciones judiciales.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo