Derecho de transparencia del tratamiento de los datos personales
El primer derecho que se otorga a las personas respecto del tratamiento de sus datos personales es el de la transparencia de ese tratamiento, lo que se constituye en deber para el responsable de ese tratamiento de datos personales.
Así, la transparencia, como deber de quien trata datos personales, supone la obligación de adoptar las medidas oportunas (en el sentido de las que resulten necesarias) para facilitar al interesado toda la información sobre la obtención de esos datos, ya se haya obtenido de la propia persona o por otros medios.
El art. 12.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento de Protección de Datos o Reglamento 2016/679/UE, de 27 de abril) , dispone que ese deber de transparencia se concreta en un deber de comunicación, entre el tratador de los datos y el interesado, que habrá de cumplir con los requisitos de realizarse “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño”.
Así, el propio art. 12.1 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (Proyecto LOPD/2018) señala que la información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos, y que cuando lo solicite el interesado, la información podrá facilitarse verbalmentesiempre que se demuestre la identidad del interesado por otros medios.
De igual manera, y como consecuencia, se establece que si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales ( art. 12.4 del Reglamento 2016/679/UE, de 27 de abril ).
Derecho de información sobre el tratamiento de los datos personales
El derecho de información sobre el tratamiento de los datos personales reconocido al interesado en los a 15 arts. 13 a 15 del Reglamento 2016/679/UE, de 27 de abril , diferencia entre la información que deberá facilitarse cuando los datos personales se obtengan del interesado ( art. 13 ) y la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado ( art. 14 ).
El art. 4.11 del Reglamento 2016/679/UE define “consentimiento del interesado” como:
Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne.
Datos de carácter personal obtenidos del interesado
El art. 11.2 del Proyecto LOPD/2018 establece que la información que se deberá facilitar al interesado será, como mínimo (“deberá contener, al menos” en término de la Ley), la siguiente:
La identidad del responsable del tratamiento y de su representante, en su caso.
La finalidad del tratamiento.
El modo en que el afectado podrá ejercitar los derechos establecidos en los arts. 15 a 22 delReglamento de Protección de Datos .
Téngase en cuenta, en este sentido, que el art. 13.1 del Reglamento 2016/679/UE, de 27 de abril establece que cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que éstos se obtengan, le facilitará toda la información indicada a continuación:
a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) Los datos de contacto del delegado de protección de datos, en su caso;
c) Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) Cuando el tratamiento se base en el art. 6.1.f) del Reglamento de Protección de Datos , los intereses legítimos del responsable o de un tercero;
e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los arts. 46 y 47 o el art. 49.1 parráfo segundo , referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de éstas o al hecho de que se hayan prestado.
El derecho de información del interesado necesariamente ha de ser puesto en relación con la previsión efectuada en el art. 13.2 del Reglamento 2016/679/UE, de 27 de abril , en el que se establece que, además, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personalesrelativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) Cuando el tratamiento esté basado en el art. 6.1.a) , o el art. 9.2.a) del Reglamento de Protección de Datos, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) El derecho a presentar una reclamación ante una autoridad de control;
e) Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;
f) La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refieren losapartados 1 y 4 del art. 22 , y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Datos de carácter personal que no han sido obtenidos del interesado
El art. 11.3 del Proyecto LOPD/2018 dispone que, en este caso, cuando los datos personales no hubieran sido obtenidos del afectado, se deberá facilitar al interesado, además de la información básica (la señalada en el apartado anterior), una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información que, en este caso, deberá incluir también:
Las categorías de datos objeto de tratamiento.
Las fuentes de las que procedieran los datos.
Téngase en cuenta, en este sentido, que el del Reglamento de Protección de Datos art. 14.1 establece que cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) La identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) Los datos de contacto del delegado de protección de datos, en su caso;
c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) Las categorías de datos personales de que se trate;
e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los arts. 46 y 47 o el art. 49.1 parráfo segundoreferencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
Para estos supuestos resulta preciso tener en cuenta lo establecido en el art. 14.2 del Reglamento 2016/679/UE, de 27 de abril , en el que se establece que, además, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) Cuando el tratamiento se base en el art. 6.1.f) del Reglamento de Protección de Datos , los intereses legítimos del responsable del tratamiento o de un tercero;
c) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personalesrelativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) Cuando el tratamiento esté basado en el art. 6.1.a) , o el art. 9.2.a) del Reglamento de Protección de Datos, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
e) El derecho a presentar una reclamación ante una autoridad de control;
f) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
g) La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refieren losapartados 1 y 4 del art. 22 , y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Derecho de acceso a los datos personales
Se reconoce el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso de que así sea, el derecho de acceso a los datos personales y a la siguiente información ( art. 15.1 del Reglamento 2016/679/UE, de 27 de abril ):
a) Los fines del tratamiento;
b) Las categorías de datos personales de que se trate;
c) Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) El derecho a presentar una reclamación ante una autoridad de control;
g) Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refieren losapartados 1 y 4 del art. 22 , y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
El art. 13 del Proyecto LOPD/2018 establece como reglas específicas en cuanto al ejercicio del derecho de acceso a los datos personales tratados que:
Se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad.
Se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
La STJUE nº C-435/16 de 20 de diciembre de 2017 [j 1] determinó que el art. 2. a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos debe interpretarse en el sentido de que, en circunstancias como las del litigio principal, las respuestas por escrito proporcionadas por un aspirante durante un examen profesional y las eventuales anotaciones del examinador referentes a dichas respuestas son datos personales, a efectos del citado precepto.
Derechos de rectificación y supresión de los datos personales
Derecho de rectificación de los datos personales
El art. 16 del Reglamento 2016/679/UE, de 27 de abril reconoce al interesado el derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.
Y, teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
El art. 14 del Proyecto LOPD/2018 establece, en este sentido, que al ejercer este derecho de rectificación el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse, debiendo acompañar, en su caso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
Derecho de supresión de los datos personales (derecho al olvido)
El art. 17.1 del Reglamento 2016/679/UE, de 27 de abril , reconoce al interesado el derecho a obtener sin dilación indebida la supresión de los datos personales que le conciernan.
El responsable del tratamiento estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. En este sentido, la SAN de 23 de septiembre de 2011, recurso 530/2010 [j 2]determina que:
Uno de los principios que inspira la legislación sobre tratamiento de los datos de carácter personal, es el de calidad de los datos. Este principio implica, entre otras cosas, que los datos sean adecuados, pertinentes y no excesivos en relación con el ámbito y la finalidad para la cual se hubieran recabado ( art 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD 15/1999) ) y que sean exactos y respondan con veracidad a la situación actual del afectado ( art 4.3 de la LOPD 15/1999). Por lo tanto, si los datos han dejado de ser necesarios para los fines para los cuales fueron recabados o registrados o resultan inexactos, se debe proceder a su cancelación, sin necesidad de solicitud del afectado. Y así se infiere del propio tenor literal de los arts. 4.4 y 4.5 de la LOPD 15/1999 , que utiliza la expresión imperativa "serán cancelados" y sin condicionarla a la existencia de una previa solicitud del afectado. En suma, la norma establece la obligación del responsable del fichero, de proceder de oficio y con la debida diligencia, a cancelar, en su caso, los datos inexactos o que han dejado de ser necesarios para la finalidad del fichero, y sin necesidad de solicitud previa del afectado. Además de sentar el anterior principio, la Ley concede al afectado o titular de los datos que sean objeto de tratamiento ( art 3.e) de la LOPD 15/1999 ) la posibilidad de solicitar la cancelación ( art 16 de la LOPD 15/1999 ), concediendo de este modo un derecho al afectado, para que pueda suplir la inactividad del responsable del fichero. Lo que implica, en coherencia, que el afectado pueda pedir la cancelación, por las mismas causas por las que se debió cancelar de oficio. Por lo tanto, y en lo que nos interesa, es posible solicitar la cancelación, cuando los datos no sean adecuados, ni necesarios para la finalidad del fichero, o sean inexactos, extremo que pasamos analizar.
El interesado retire el consentimiento en que se basa el tratamiento y éste no se base en otro fundamento jurídico.
El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
Los datos personales hayan sido tratados ilícitamente.
Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a menores.
El art. 15.2 del Proyecto LOPD/2018 establece que cuando la supresión derive del ejercicio del derecho de oposición con arreglo al art. 21.2 del Reglamento de Protección de Datos , el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
Derecho de limitación del tratamiento de los datos
El art. 18 del Reglamento 2016/679/UE, de 27 de abril , determina, que el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.
El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
El interesado se haya opuesto al tratamiento en virtud del art. 21, apartado 1 del Reglamento de Protección de Datos , mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
El art. 16.2 del Proyecto LOPD/2018 dispone que el hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en el sistema.
Derecho a la portabilidad de los datos personales
El art. 20.1 del Reglamento 2016/679/UE, de 27 de abril reconoce, en una serie de supuestos, el derecho del interesado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
Cuando el tratamiento esté basado en el consentimiento del interesado para uno o varios fines específicos ( arts. 6.1 a) y 9.2 a) del Reglamento 2016/679/UE, de 27 de abril ).
Cuando el tratamiento de datos personales resulte necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales ( art. 6.1 b)del Reglamento 2016/679/UE, de 27 de abril ).
Cuando el tratamiento se efectúe por medios automatizados.
El art. 17 del Proyecto LOPD/2018 se remite al art. 20 del Reglamento 2016/679/UE, de 27 de abril .
Derecho de oposición y decisiones individualizadas automatizadas respecto a los datos personales
El art. 21 del Reglamento 2016/679/UE, de 27 de abril reconoce el derecho del interesado a oponerse, en cualquier momento y por motivos relacionados con su situación particular, a que sus datos personales sean tratados en los casos de interés público ( art. 6.1.e) ) e intereses legítimos del responsable del tratamiento ( art. 6.1.f) ) incluida la elaboración de perfiles sobre la base de dichas disposiciones.
En estos casos, el responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Téngase en cuenta que el art. 21.6 del Reglamento 2016/679/UE, de 27 de abril establece que cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el art. 89.1 del Reglamento de Protección de Datos el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
El interesado puede oponerse al tratamiento de sus datos (incluida la elaboración de perfiles) cuando el objeto de ese tratamiento sea la mercadotecnia directa sin que lo impida el responsable del tratamiento al que se los hubiera facilitado.
El art. 4.4 del Reglamento 2016/679/UE define “elaboración de perfiles” como:
Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
De igual manera, el art. 21 del Reglamento 2016/679/UE, de 27 de abril reconoce el derecho del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
El propio art. 22.1 del Reglamento 2016/679/UE, de 27 de abril excluye de este derecho aquellos supuestos en los que:
Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
Se basa en el consentimiento explícito del interesado.
Derecho a indemnización
El art. 82.1 del Reglamento 2016/679/UE, de 27 de abril establece que:
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
