Derechos de las personas afectadas

El RGPD recoge derechos ya existentes y los amplía, pero también crea nuevos. Así, regula:

• El derecho de acceso

Derecho de la persona afectada a saber si el responsable del tratamiento trata datos personales suyos y, si es así, a acceder a estos datos y obtener la información sobre cómo se están tratando.

• El derecho de rectificación

Derecho a rectificar los datos personales inexactos y que se completen los que sean incompletos, incluso mediante una declaración adicional.

• El derecho de supresión (derecho al olvido)

Derecho a obtener la supresión de los datos personales, cuando: ya no son necesarios para la finalidad para la que se recogieron; se revoca el consentimiento en el que se basaba el tratamiento; hay oposición al tratamiento; los datos se han tratado ilícitamente; los datos se han tratado para cumplir con una obligación legal o se han obtenido en relación con la oferta de servicios de la sociedad de la información dirigida a menores.

Cuando el responsable ha hecho públicos los datos personales y deben suprimirse, debe adoptar medidas razonables para informar de la supresión a otros responsables que están tratando estos datos.

• El derecho de oposición

Derecho a oponerse al tratamiento de los datos personales por motivos relacionados con la situación personal de la persona afectada.

Cuando el tratamiento tiene por objeto el marketing directo, incluida la elaboración de perfiles relacionados con este marketing, los datos deben dejar de tratarse inmediatamente.

• El derecho a la limitación del tratamiento

Derecho consistente en marcar los datos de carácter personal conservados, con el fin de limitar su tratamiento en el futuro.

La limitación del tratamiento supone que, a petición de la persona afectada, sus datos personales dejarán de tratarse.

• El derecho a la portabilidad

Derecho a recibir los datos personales que ha facilitado a un responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y a transmitirlos a otro responsable, si se cumplen los siguientes requisitos:

1.  El tratamiento se basa en el consentimiento o en un contrato

2.  El tratamiento se realiza por medios automatizados

• El derecho a no ser objeto de decisiones individuales automatizadas

Derecho a no ser objeto de una decisión basada solo en el tratamiento automatizado de los datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre la persona afectada o que le afecte negativamente. Esto, salvo que la decisión sea necesaria para formalizar o ejecutar un contrato entre el interesado y un responsable de tratamiento, se base en el consentimiento explícito del interesado o esté autorizada por el derecho de la Unión o del Estado miembro correspondiente.

Todos estos derechos deben ejercerse frente la entidad responsable del tratamiento (Generalitat, diputación, ayuntamiento, consorcio, universidad, etc.) que corresponda.

El derecho a la portabilidad de los datos no será exigible cuando: el tratamiento de los datos personales sea necesario para cumplir una misión realizada en interés público; para ejercer poderes públicos conferidos al responsable del tratamiento; o cuando el tratamiento de los datos personales es necesario para cumplir con una obligación legal. Dado que las administraciones públicas realizan la mayoría de sus tratamientos de datos fundamentados en estas bases jurídicas, puede decirse que, en general, el derecho a la portabilidad no es exigible a las administraciones públicas en el ejercicio de sus competencias.

Sin embargo, este derecho sí será exigible cuando el tratamiento, además de efectuarse por medios automatizados, tenga como base jurídica el consentimiento del interesado o sea necesario para la ejecución de un contrato en el que el interesado sea parte. En consecuencia, en estos casos, las administraciones deben informar del derecho a la portabilidad y facilitar su ejercicio.

El responsable debe atender a la solicitud de ejercicio del derecho en el plazo de un mes desde que la recibe, prorrogable dos meses más si es necesario, según la complejidad y el número de solicitudes.

Se debe informar al interesado de la prórroga dentro del plazo del primer mes (desde que se recibe la solicitud) e indicar los motivos de la dilación.

La Autoridad Catalana de Protección de Datos no dispone de información sobre qué entidades tienen los datos personales que conciernen a una persona particular.

Si desea saber si una entidad dispone de sus datos personales, puede ejercer, gratuitamente, el derecho de acceso ante el responsable del tratamiento. Mediante este derecho, puede obtener una copia de los datos que se tratan e información sobre:

• Si se tratan sus datos personales, con qué finalidad y qué usos concretos.
• Las categorías de datos que se tratan.
• De dónde se han obtenido y si se han comunicado o se pretenden comunicar, y a quién.
• El plazo previsto de conservación de los datos o los criterios para su determinación.
• El derecho a solicitar el acceso a los datos, rectificarlos o suprimirlos, limitar su tratamiento, oponerse a ellos y solicitar su portabilidad.
• El derecho a presentar una reclamación ante una autoridad de control, o, en su caso, ante el delegado de protección de datos.
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y la información sobre la lógica aplicada y sus consecuencias.

El RGPD dispone que tanto las actuaciones como las comunicaciones realizadas en virtud de los derechos regulados en el RGPD son gratuitas, salvo que las solicitudes sean manifiestamente infundadas o excesivas, especialmente si son repetitivas. En este caso, el responsable del tratamiento tiene dos posibilidades: cobrar un canon razonable o negarse a actuar respecto a la solicitud.