Los distintos servicios de correo electrónico, agendas, almacenamiento de ficheros en nubes, compras por Internet o las Redes Sociales han creado en apenas dos décadas un océano de información dispersa que puede ser tratada con diversas herramientas informáticas y la ayuda de la ingeniería social.
Esta
acumulación de información está preocupando a la mayoría de los países por
tratarse de materia prima que puede ser utilizada para el control de los derechos
fundamentales. Por este motivo, en España y Europa se pusieron en marcha mecanismos para
que cada persona pueda tener un cierto control sobre sus datos personales. Esos
mecanismos se engloban en los llamados derechos ARCO: Derecho de Acceso, Rectificación, Cancelación
y Oposición.
Sin embargo con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) se han ampliado los derechos al de Supresión, Limitación del tratamiento y Portabilidad.
Sin embargo con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) se han ampliado los derechos al de Supresión, Limitación del tratamiento y Portabilidad.
Regulación de los derechos ARCOS
Los
encontramos regulados en las siguientes normas:
1. Reglamento
2016/679/UE, de 27 de abril, Protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE: Capítulo III:
Derechos del interesado
2. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: Capítulo II. Ejercicio de los derechos
Derecho de Acceso
El artículo
13 de la LOPDPGDD remite la definición y características del derecho de acceso al artículo 15.1 del RGPD: "El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado."
Este derecho permite a toda persona tomar el control de su información personal usada por terceros.
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado."
Este derecho permite a toda persona tomar el control de su información personal usada por terceros.
Sin embargo,
para solicitar el acceso a nuestros datos personales es necesario el derecho a
ser informado previamente con el fin de conocer su existencia y la posibilidad de verificar si
los datos son correctos, actuales y proporcionales a la finalidad de la
recogida. Por tanto, si los datos personales de un ciudadano están siendo
tratados, el responsable del tratamiento debe comunicar al interesado lo
siguiente:
1. La recopilación de sus datos personales
2. La fuente o el origen de esos datos (fuentes públicas o privadas)
3. La finalidad para la que se están recopilando
4. El nombre de la persona responsable del tratamiento de los datos ante la que pueda dirigirse para hacer valer sus derechos
1. La recopilación de sus datos personales
2. La fuente o el origen de esos datos (fuentes públicas o privadas)
3. La finalidad para la que se están recopilando
4. El nombre de la persona responsable del tratamiento de los datos ante la que pueda dirigirse para hacer valer sus derechos
La
información personal puede obtenerse mediante escrito, copia, telecopia o
fotocopia, certificada o no, en forma legible o inteligible, sin utilizar
claves o códigos que requieran el uso de dispositivos mecánicos específicos.
Derecho de Rectificación y Cancelación
Una vez que
la persona afectada tiene acceso a sus datos personales, si ve información
inexacta, incompleta, excesiva o inadecuada puede solicitar al responsable del
tratamiento la modificación de los datos. Incluso tiene derecho a solicitar la
cancelación de aquellos datos que no se ajusten a la finalidad de su
tratamiento, carezcan de relevancia o sean incorrectos. No obstante, aunque la
cancelación dé lugar al bloqueo de los datos, estos serán conservados para
ponerlo únicamente a disposición de las “Administraciones públicas, Jueces y
Tribunales”. Como en el caso antierior, el artículo 14 de la LOPDPGDD nos remite al artículo
16.1 RGPD:
"El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. "
"El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. "
Derecho de Oposición
Este derecho
está contemplado en el artículo 21.1 del RGPD:
"El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones."
En cualquier
caso, el interesado podrá acudir a la Agencia Española de Protección de
Datos para solicitar la oposición de los datos. A esa solicitud deberá
acompañar documentación que lo acredite.
Derecho de Supresión (Derecho al olvido)
El artículo 15 de LOPDPGDD nos remite al artículo 17.1 del RGPD que establece:
"El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación
con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de
conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado
2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al
artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el
tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo
21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el
cumplimiento de una obligación legal establecida en el Derecho de la Unión o de
los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de
servicios de la sociedad de la información mencionados en el artículo 8,
apartado 1."En el punto segundo añade que el responsable deberá suprimir los datos de todos los enlaces y copias de seguridad: "el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos."
Derecho de Limitación del tratamiento
El artículo 16 de LOPDPGDD nos remite al artículo 18.1 del RGPD:
"El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos
personales, durante un plazo que permita al responsable verificar la exactitud
de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de
los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para
los fines del tratamiento, pero el interesado los necesite para la formulación,
el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21,
apartado 1, mientras se verifica si los motivos legítimos del responsable
prevalecen sobre los del interesado."Esos datos personales que dejan de tratarse no se suprimirán y podrán ser objeto de tratamiento para: "el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro."
La limitación de los datos debe "constar claramente en los sistemas de información del responsable" (artículo 16.2 de LOPDPGDD).
Derecho a la portabilidad
El artículo 17 de LOPDPGDD nos remite al artículo 20.1 del RGPD:
"El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con
arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra
a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados."
El caso más común es cuando una persona cambia de operadora de telefonía. Al darse de baja en una debe solicitar que sus datos personales sean transmitidos a la operadora nueva para formalizar el contrato.
Conclusión
Los derechos
ARCOS son derechos personales, solo la persona afectada, la titular de los
datos, puede tener acceso a dichos datos, oponerse a su tratamiento o solicitar
la la rectificación, cancelación, supresión, limitación y portabilidad. En caso de no solicitarlo el propio
interesado o su representante, el responsable del fichero podrá oponerse a
realizar cualquier petición.
Aunque en el
presente artículo hemos enumerado los derechos ARCO de una forma concreta, ello
no significa que deba solicitarse en orden. Estos son derechos independientes,
permitiendo dirigirse al encargado del tratamiento y solicitar cualquiera de
sus derechos según convenga.
Y en caso de
reclamaciones, denuncias o quejas, se puede acudir a la Agencia Española de
Protección de Datos.
Sede Electrónica: