Establece la LOPD en su articulado que aquellas personas físicas cuyos datos personales estén siendo tratados, tendrán derecho para ejercitar ante las entidades Responsables del tratamiento los derechos de ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO) sobre dichos datos.

Estos derechos deberán ser ejercidos bien personalmente por el propio afectado (debiendo acreditar su identidad), o bien por medio de un representante legal o voluntario designado al afecto. Para cumplir con la Ley, las empresas deberán facilitar medios sencillos y gratuitos, y deberán atender a los afectados incluso si no disponen de los datos solicitados.

Los plazos para que los Responsables atiendan estos derechos son:

  • ACCESO: el responsable deberá responder en el plazo máximo de un mes desde que recibió la solicitud del interesado.
  • RECTIFICACIÓN y CANCELACIÓN: 10 días para rectificar o cancelar los datos incorrectos.
  • OPOSICIÓN: 10 días desde la solicitud.

IMPORTANTETranscurridos los plazos legales sin que el Responsable haya atendido los derechos ARCO, el titular de los datos afectado, podrá solicitar directamente la tutela de la AEPD.

Una de las novedades más importantes del Reglamento General de Protección de Datos (RGPD) es que se refuerzan los derechos de los ciudadanos considerablemente.

El RGPD contiene los ya tradicionales derechos ARCO y también algunos nuevos derechos. El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18),  Portabilidad de datos (art. 20) y Oposición (art. 21).

Estos nuevos derechos proporcionan un mayor control y una mayor capacidad de decisión a los ciudadanos sobre el tratamiento de sus datos personales por parte de terceros.

Además, el RGPD establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos.

Al igual que sucede actualmente con la LOPD, es obligación de los responsables facilitar a los interesados el ejercicio de sus derechos. Los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Se requiere que se posibilite la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

El ejercicio de los derechos será gratuito para el interesado, con la excepción de que se formulen peticiones manifiestamente infundadas o excesivas, en cuyo caso se podrá cobrar un canon de compensación o negarse a actuar. La carga de la prueba de ese carácter excesivo o infundado recaerá siempre en el responsable.

El plazo establecido para responder a las solicitudes será de un mes, ampliable en caso de especial complejidad de la petición. El responsable deberá responder en todo caso, y si decide no atender la solicitud deberá informar al interesado en el plazo de un mes, motivando su negativa.

El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.

Todo esto supone un incremento en el esfuerzo que las empresas tienen que realizar para cumplir con la protección de datos, por lo que será necesario un mayor compromiso por su parte.

Todo tratamiento de datos necesita apoyarse en una base que lo legitime, es decir, podremos usar datos personales siempre que tengamos el derecho o el deber de hacerlo.

Según el principio de responsabilidad proactiva recogido en el art.5.2 del Reglamento General de Protección de Datos (RGPD) el responsable deberá documentar e identificar claramente la base legal que legitime el tratamiento de datos personales de terceros. Las organizaciones deben analizar qué tipos de datos tratan, con qué finalidad y qué operaciones de tratamiento realizan, para asegurarse de que son las adecuadas y que pueden demostrarlo tanto a los interesados (a los que tendrán que informar de esa base legal) y a las autoridades.

Las bases jurídicas en el RGPD son las mismas que contenía la LOPD, con matices: 

Consentimiento: según el RGPD debe ser inequívoco, afirmativo y específico, por lo que ya no se permitirá el consentimiento tácito que se venía utilizando hasta ahora y habrá que recabarlo para uno o varias finalidades determinadas. 

La ejecución de un contrato: que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa. 

Intereses vitales del interesado o de otras personas: el RGPD pone como ejemplos los necesarios para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.. 

Obligación legal para el responsable

Interés público o ejercicio de poderes públicos, con base en el derecho de la UE o de los Estados Miembros. 

Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos, que existirá cuando no prevalezcan los derechos y libertades del interesado. Si el responsable puede hacer un tratamiento en virtud de este interés legítimo el interesado podrá hacer prevalecer sus derechos y libertades mediante los derechos de oposición y limitación. 

La ponderación de cuál es el interés que prevalece, si el del responsable o el del interesado es la excepción a los tratamientos que se realicen sin el consentimiento que mayor indeterminación podrá producir en el día a día. El RGPD explica en sus considerandos 47-49 el interés legítimo del responsable, poniendo como ejemplo la relación que mantiene con clientes o trabajadores. En todo caso, deberá evaluarse ese interés legítimo de una forma meticulosa

 

En mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD). 

Todas las empresas y organizaciones que traten datos de terceros, empleados y clientes, deberán cumplir con la nueva normativa para evitar multas cuantiosas y mala publicidad.

La reforma legal supone una gestión de la protección de datos distinta a la que se venía realizando hasta ahora:

  • Los responsables deberán aplicar las técnicas necesarias para garantizar que sus tratamientos de datos son conformes al Reglamento y que pueden acreditarlo ante interesados y autoridades.
  • Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
  • Será necesario actualizar los registros y procedimientos existentes para integrar la “privacidad en el diseño”.
  • Se anulará el consentimiento tácito que se permitía en ciertos tratamientos y será obligatorio un consentimiento explícito y expreso.
  • La figura del Delegado de Protección de Datos será obligatoria en entidades públicas y en empresas donde la gestión de datos personales se realice a gran escala o de manera habitual y sistemática.
  • Se refuerzan los derechos de los afectados, cuyo ejercicio será facilitado de manera gratuita por el responsable: derecho al olvido, derecho de portabilidad, derecho de oposición a la realización de perfiles, derecho de limitación etc.
  • Se amplía el catálogo de datos especiales: se añaden datos biométricos, genéticos, condenas e infracciones penales, vigilancia de zonas públicas, riesgo alto para derechos y libertades…
  • Se obligará a notificar las brechas de seguridad a la autoridad de control y a los afectados en menos de 72 horas.
  • Se refuerza el derecho de información, tendrá que utilizarse un lenguaje claro y sencillo y deberá ser concisa, inteligible y de fácil acceso.
  • Deberán realizarse evaluaciones de impacto en los tratamientos que conlleven un alto riesgo para derechos y libertades.
  • En resumen, el RGPD establece de forma más detallada que las normativas anteriores la forma en que se deben tratar los datos de los residentes de la UE, incluso en países fuera de ésta.

Es recomendable que las empresas tomen conciencia y empiecen a planificar los procesos adecuados, para llegar a tiempo a la entrada en vigor de la nueva normativa, reforzar así su reputación y mejorar su competitividad.

 

En el PS/00136/2017 podemos ver como la Agencia Española de Protección de Datos sanciona a una clínica por publicar un vídeo del tratamiento recibido por la denunciante en Youtube y en su web, sin que esta hubiese dado su consentimiento para ello.

Durante las actuaciones de inspección, la clínica no aportó la documentación requerida por la Agencia, ya que aunque incorporan en sus expedientes los clausulados a los que obliga la LOPD, no encontraron en el de la denunciante la firma de dichos clausulados. La clínica denunciada alegó que en cuanto tuvo conocimiento de la existencia del vídeo, procedió a retirarlo y que no tenían intención de perjudicar a la denunciante.


La AEPD consideró que lo sucedido suponía una infracción del art.6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado”) y una vulneración del deber de secreto consagrado en el art.10.

RESULTADO: multa de 9.000€ por cometer una infracción tipificada como grave en el art.44.3b de la LOPD

IMPORTANTE: para realizar cualquier tratamiento de datos personales se debe contar con el consentimiento inequívoco del afectado.

 

En el Reglamento Europeo de Protección de Datos, a diferencia de la normativa actual, se habla de consentimiento inequívoco para el tratamiento de datos.

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto supone que no se van a admitir formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita si se deduce de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD seguirán siendo legítimos siempre que el consentimiento se hubiera prestado del modo previsto por el reglamento, mediante una manifestación o acción afirmativa.

Recomendaciones

La Agencia Española de Protección de Datos recomienda que  no se sigan obteniendo consentimientos por omisión y que se revisen esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.

La adaptación puede llevarse a cabo:

  • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.
  • Valorando si los tratamientos afectados pueden apoyarse en otra base legal, por ejemplo, que el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

En el Reglamento Europeo de Protección de Datos se introducen importantes modificaciones en el deber de informar a los interesados, como resultado del principio de transparencia (art.12)

En la nueva normativa se habla de que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La normativa actual sólo exige que la información se preste de modo expreso, preciso e inequívoco.

Obligaciones

LOPD                                                                         RGPD
• La existencia del fichero o tratamiento,                         Se añaden requisitos adicionales:
su finalidad y destinatarios                                             • Los datos de contacto del Delegado de Protección de Datos,
• El carácter obligatorio o no de la                                  • Las categorías de los datos
respuesta, así como de sus                                            • La base jurídica para el tratamiento,
consecuencias.                                                            • El plazo de conservación,
• La posibilidad de ejercitar los derechos                          • La existencia de decisiones
de acceso, rectificación, cancelación y                             automatizadas o elaboración de perfiles,
oposición.                                                                   • La previsión de transferencias internacionales
• La identidad y datos de contacto del                            • El origen de los datos
responsable del tratamiento.                                         • El derecho a presentar una reclamación

 

Vivimos en un mundo dominado por las nuevas tecnologías. Las empresas cada vez más optan por ofrecer sus productos y servicios a través de Internet, ya sea a través de su web, un blog, o mediante el envío de mailings comerciales.

Sin embargo, poner en marcha un negocio de venta online, no sólo consiste en crear la plataforma y exponer los productos, sino que se deben tener en cuenta también una serie de normas legales que deben cumplir:

  • Ley Orgánica de Protección de Datos 15/1999, en cuanto a la obtención y publicación de datos personales que los usuarios proporcionan a través de la web. Es la política de privacidad.
  • Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que establece los trámites necesarios para contratar online. Es el Aviso Legal.
  • Normativa de cookies, en desarrollo del artículo 22.2 de la LSSICE que establece las obligaciones del prestador del servicio para poder realizar seguimientos de la navegación de los usuarios por la web. Es la política de cookies.
  • Ley General para la Defensa de los Consumidores y Usuarios aprobado por RD Legislativo 1/2007, establece la información para clientes y usuarios sobre condiciones de contratación a través de la web. Son las Condiciones de Contratación.

IMPORTANTE:
Antes de iniciarse el procedimiento de compra on-line, deberá ponerse a disposición del usuario una serie de información exigida por la Ley

 La imagen de una persona es un dato de carácter personal, y su difusión a través de las redes sociales cada día es mayor.

La LOPD reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman si así lo solicitan. El usuario que desee que se eliminen sus fotos o vídeos de internet deberá:

1º. Dirigirse bien a quien subió la imagen y solicitarle su eliminación, o bien a la empresa o entidad que está difundiendo la imagen, acreditando su identidad e indicando los enlaces con los datos que se quieren cancelar, guardando un justificante de dicha solicitud.

2º. Si el responsable no responde en el plazo de 10 días desde que recibió la solicitud, o si la respuesta no ha sido adecuada, el afectado, o sus padres o tutores, podrán dirigirse ante la Agencia Española de Protección de Datos para interponer la correspondiente reclamación de tutela.

 Algunas redes sociales como Facebook, Twitter o Instagram, disponen ya de formularios para ejercitar la retirada de contenidos vulnerables a la privacidad o con contenidos inapropiados.

 

.IMPORTANTE La publicación de fotos o vídeos de personas físicas a través de redes sociales requiere el consentimiento previo de sus titulares

El Informe 0261/2013 de la AEPD resuelve sobre si es conforme a la LOPD, que un propietario de una vivienda en régimen de propiedad horizontal, pueda acceder y tener copia de toda la documentación de la comunidad (salarios, honorarios profesionales, facturas, contratos, etc.) con la finalidad de conocer y comprobar la correcta gestión de las cuentas de la misma.

En la documentación referida hay numerosos datos personales tanto de los propietarios (números de cuentas corrientes, coeficientes de participación, consumos, ingresos o deudas con la comunidad), como de empleados que pudiera tener contratados o de prestadores de servicios.

La comunicación de estos datos a cualquier propietario por los Órganos de Gobierno de la comunidad, implicará una cesión de datos de carácter personal, que sólo podrá realizarse con el consentimiento de sus titulares o cuando exista una norma con rango de Ley que habilite esta cesión. Si bien la Ley de Propiedad Horizontal 49/1960 habilita diversas cesiones de datos, esta queda limitada a los datos que en cada caso resulten “adecuados, pertinentes y no excesivos” para el control del buen gobierno de la comunidad de propietarios”, no pudiendo acceder a dichos documentos en otro caso. Así, el artículo 20 de la LPH, acorde con la LOPD, no permite un acceso generalizado a toda la documentación de la comunidad debiendo examinarse en cada caso concreto si el acceso a los documentos cumple o no con el principio de proporcionalidad.

IMPORTANTE Los datos personales no podrán utilizarse para finalidades diferentes de aquellas para las que los mismos hubieran sido recogidos