¿Cómo se dice ejercer o ejercitar?

Guía del Responsable ante Solicitudes RGPD

08/01/2021

Valoración: 4.61 (12119 votos)

En la era digital actual, donde nuestros datos personales son el motor de innumerables servicios y plataformas, la protección de la privacidad se ha convertido en una prioridad fundamental. El Reglamento General de Protección de Datos (RGPD), una normativa europea de alcance global, ha transformado la manera en que las organizaciones deben gestionar la información personal, otorgando a los ciudadanos un control sin precedentes sobre sus propios datos. Uno de los pilares de este reglamento es la capacidad de los individuos para ejercer sus derechos, solicitando a las entidades que tratan su información acciones específicas. Pero, ¿qué implica esto para el responsable del tratamiento de esos datos? ¿Qué pasos debe seguir y qué plazos debe cumplir para garantizar el cumplimiento y la confianza del usuario?

El RGPD: Un Marco Robusto para la Protección de Datos

El Reglamento Europeo General de Protección de Datos (RGPD), en vigor desde mayo de 2018, no solo consolidó la legislación preexistente, sino que introdujo mejoras sustanciales y nuevos derechos para los interesados. Su objetivo principal es fortalecer la protección de los datos personales de los ciudadanos de la Unión Europea, garantizando que tengan un mayor control sobre cómo se recopila, almacena y utiliza su información. Este marco normativo es crucial en un mundo donde la recopilación masiva de datos es una constante, y donde la toma de decisiones basada en algoritmos y perfiles de usuario es cada vez más común.

¿Cómo ejercer los derechos de la patria potestad?
Su ejercicio es gratuito. Se puede ejercer los derechos directamente o por medio de representante legal o voluntario debiendo acreditarse la identidad de la persona interesada y, en su caso, la condición de representante. En el caso de menores de 14 años será solicitado por las personas titulares de la patria potestad.

La normativa establece responsabilidades claras para las organizaciones, conocidas como "responsables del tratamiento" (aquellas que determinan los fines y medios del tratamiento de datos) y "encargados del tratamiento" (aquellas que tratan datos en nombre del responsable). Ambas figuras deben cumplir con principios como la licitud, lealtad y transparencia, la limitación de la finalidad, la minimización de datos, la exactitud, la limitación del plazo de conservación, la integridad y confidencialidad, y la responsabilidad proactiva.

De los Derechos ARCO a los Derechos RGPD: Una Evolución Necesaria

Antes del RGPD, la legislación de protección de datos ya contemplaba los conocidos derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Estos derechos eran fundamentales para permitir a los individuos interactuar con sus datos. Sin embargo, el avance tecnológico y la complejidad del entorno digital hicieron evidente la necesidad de expandir y clarificar estas prerrogativas. El RGPD no solo los reafirma, sino que añade nuevas dimensiones, mejorando significativamente la capacidad de decisión y control de los ciudadanos:

  • Derecho de Acceso: Permite al interesado obtener confirmación de si se están tratando o no sus datos personales y, en tal caso, el acceso a los mismos y a la información detallada sobre dicho tratamiento.
  • Derecho de Rectificación: Otorga la facultad de modificar los datos personales que sean inexactos o incompletos, garantizando que la información que se posee sobre el individuo sea precisa y veraz.
  • Derecho de Supresión (Derecho al Olvido): Considerado una manifestación avanzada del derecho de cancelación y oposición en el entorno de internet. Permite solicitar la eliminación de los datos personales cuando, entre otras razones, ya no sean necesarios para la finalidad con la que fueron recogidos, se haya retirado el consentimiento, o su tratamiento sea ilícito.
  • Derecho a la Limitación del Tratamiento: Permite al interesado solicitar al responsable que suspenda temporalmente el tratamiento de sus datos o que los conserve más allá de lo necesario cuando el interesado los necesite para el ejercicio o la defensa de reclamaciones.
  • Derecho a la Portabilidad de los Datos: Un derecho novedoso que permite al interesado recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin impedimento alguno.
  • Derecho de Oposición: Faculta al interesado a oponerse a que sus datos personales sean objeto de un tratamiento basado en el interés público o en el interés legítimo del responsable, incluida la elaboración de perfiles. También se aplica al tratamiento con fines de marketing directo.

La Responsabilidad del Tratamiento ante una Solicitud de Derechos

Cuando un interesado ejerce uno de estos derechos, el responsable del tratamiento asume una serie de obligaciones ineludibles. La diligencia y la transparencia son clave en este proceso. El RGPD establece pautas claras para la gestión de estas solicitudes, buscando proteger al individuo y asegurar la rendición de cuentas por parte de las organizaciones.

Plazos y Notificaciones Cruciales

El responsable del tratamiento tiene la obligación de resolver las solicitudes de ejercicio de derechos sin dilación indebida y, en cualquier caso, en un plazo máximo de un mes a partir de la recepción de la solicitud. Este es un plazo estricto que requiere una gestión eficiente y proactiva por parte de la organización.

No obstante, el RGPD contempla la posibilidad de que este plazo se prorrogue. En situaciones excepcionales, donde la complejidad de la solicitud o el número de peticiones recibidas lo justifiquen, el plazo podrá extenderse por otros dos meses adicionales. Es fundamental que, en este último supuesto, el responsable notifique al interesado esta ampliación dentro del primer mes desde la recepción de la solicitud, explicando los motivos de la demora. La transparencia en la comunicación es vital para mantener la confianza del usuario, incluso cuando no se puede cumplir el plazo inicial.

Además, si la solicitud no fuera atendida o se denegara, el responsable debe explicar los motivos de dicha decisión al interesado, informándole también de su derecho a presentar una reclamación ante la autoridad de control competente (en España, la Agencia Española de Protección de Datos - AEPD) y de la posibilidad de ejercer acciones judiciales.

Proceso Interno para la Gestión de Solicitudes

Para cumplir eficazmente con estas obligaciones, cualquier organización que trate datos personales debe establecer un procedimiento interno robusto y claro. Este proceso debería incluir, como mínimo, los siguientes pasos:

  1. Recepción y Registro de la Solicitud: Es crucial disponer de canales claros y accesibles para que los interesados puedan presentar sus solicitudes (formularios web, correo electrónico, correo postal, presencialmente). Una vez recibida, la solicitud debe ser registrada de inmediato, anotando la fecha de recepción para el cómputo de los plazos.
  2. Verificación de Identidad: Antes de proceder con cualquier acción, el responsable debe verificar la identidad del solicitante para asegurarse de que es realmente el titular de los datos o una persona autorizada para actuar en su nombre. Esto es fundamental para evitar accesos no autorizados a la información personal. Se puede solicitar una copia de un documento de identificación (DNI, pasaporte), asegurándose de que la copia se utiliza únicamente para este fin y se elimina una vez verificada.
  3. Análisis de la Solicitud: Comprender qué derecho se está ejerciendo y qué información o acción se solicita. Esto implica identificar los datos personales relevantes y los sistemas donde se encuentran.
  4. Localización y Recopilación de Datos: Los equipos internos deben ser capaces de localizar rápidamente todos los datos personales del interesado en los diferentes sistemas de información de la organización.
  5. Ejecución de la Solicitud:
    • Acceso: Proporcionar una copia de los datos, los fines del tratamiento, las categorías de datos, los destinatarios, el plazo de conservación, y la existencia de otros derechos y de decisiones automatizadas.
    • Rectificación: Corregir los datos inexactos o completar los incompletos.
    • Supresión: Eliminar los datos, salvo que existan bases legales que justifiquen su conservación (ej. obligación legal).
    • Limitación: Marcar los datos para limitar su tratamiento futuro, sin suprimirlos.
    • Portabilidad: Suministrar los datos en un formato estructurado y legible, o transmitirlos directamente a otro responsable.
    • Oposición: Cesar el tratamiento de los datos para los fines indicados, salvo motivos legítimos imperiosos o para la formulación, el ejercicio o la defensa de reclamaciones.
  6. Comunicación al Interesado: Notificar al solicitante la acción realizada o la denegación de la solicitud, siempre explicando los motivos de esta última y los recursos disponibles.
  7. Registro de Actuaciones: Mantener un registro detallado de todas las solicitudes recibidas y las acciones tomadas, incluyendo la fecha de recepción, la fecha de respuesta y el resultado. Esto es parte del principio de responsabilidad proactiva exigido por el RGPD y es crucial para demostrar el cumplimiento ante una auditoría o una reclamación.

Ejemplos de Medios de Presentación de Solicitudes

Las organizaciones deben facilitar el ejercicio de estos derechos de forma gratuita. Los medios más comunes y recomendables para la presentación de solicitudes incluyen:

  • Formularios Web Específicos: Muchas entidades, como el Centro Asociado Alzira-València a la UNED en el ejemplo proporcionado, ponen a disposición formularios en sus sitios web, diseñados para guiar al usuario en el proceso.
  • Correo Electrónico: Una dirección de correo electrónico dedicada (ej. [email protected] o [email protected]) es un canal común. Es importante que el responsable cuente con un proceso para verificar la identidad del remitente.
  • Correo Postal: Envío de la solicitud por correo a una dirección específica, generalmente acompañada de una fotocopia del DNI o documento identificativo.
  • Presentación Presencial: En las oficinas o sedes de la organización, donde el personal puede asistir en la cumplimentación y verificación de la identidad.

Independientemente del medio, la exigencia de adjuntar una copia del DNI o documento equivalente es una práctica estándar y necesaria para la verificación de la identidad, garantizando que los datos solo se entregan a su legítimo titular.

Tabla Comparativa: Derechos ARCO vs. Derechos RGPD

Derecho (LODP anterior)Derecho (RGPD actual)Descripción Clave y Novedad
AccesoAccesoSe mantiene, pero se detalla más la información a proporcionar (fines, categorías, plazos, transferencias internacionales, lógica de decisiones automatizadas).
RectificaciónRectificaciónSe mantiene idéntico, enfocado en corregir datos inexactos o incompletos.
CancelaciónSupresión (Derecho al Olvido)Se amplía y fortalece, especialmente en el entorno digital. Permite solicitar la eliminación cuando los datos ya no son necesarios o se retira el consentimiento.
OposiciónOposiciónSe mantiene, con mayor énfasis en la oposición a tratamientos basados en interés legítimo/público y marketing directo.
N/A (Nuevo)Limitación del TratamientoPermite solicitar la suspensión temporal del tratamiento de datos, en lugar de su supresión definitiva, en ciertas circunstancias.
N/A (Nuevo)Portabilidad de los DatosPermite al interesado recibir sus datos en un formato estructurado y transferirlos a otro responsable si el tratamiento se basa en consentimiento o contrato.

Preguntas Frecuentes (FAQ)

¿Tiene algún coste ejercer estos derechos?
No, el ejercicio de los derechos contemplados en el RGPD es gratuito para el interesado. Solo en casos de solicitudes manifiestamente infundadas o excesivas (especialmente por su carácter repetitivo), el responsable podrá cobrar un canon razonable en función de los costes administrativos o negarse a actuar respecto de la solicitud.
¿Qué debo hacer si el responsable no responde en el plazo establecido?
Si el responsable no responde en el plazo de un mes (o tres meses en caso de prórroga notificada), o si la respuesta no es satisfactoria, el interesado tiene derecho a presentar una reclamación ante la autoridad de control competente (en España, la AEPD). También puede ejercer acciones judiciales.
¿Cómo puedo estar seguro de que mi solicitud ha sido recibida?
Idealmente, el responsable debería enviar un acuse de recibo automático si la solicitud se realiza por medios electrónicos. Si se presenta de forma presencial o por correo postal, es recomendable solicitar un justificante de entrega o utilizar servicios de correo certificado.
¿Necesito un abogado para ejercer mis derechos?
No es necesario. El RGPD está diseñado para que los ciudadanos puedan ejercer sus derechos de forma sencilla y directa. Sin embargo, si la situación es compleja o si considera que sus derechos no están siendo respetados, puede buscar asesoramiento legal.
¿Pueden denegarme una solicitud de ejercicio de derechos?
Sí, en determinadas circunstancias, el responsable puede denegar una solicitud. Esto ocurre, por ejemplo, si la solicitud es manifiestamente infundada o excesiva, si el tratamiento de los datos es necesario para el cumplimiento de una obligación legal, para el ejercicio de un interés público, o para la formulación, el ejercicio o la defensa de reclamaciones. En caso de denegación, el responsable debe justificarla y ofrecer información sobre cómo presentar una reclamación.
¿Qué es una "Autoridad de Control"?
Es una autoridad pública independiente establecida por cada Estado miembro de la UE, encargada de supervisar la aplicación del RGPD. Su función es proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y facilitar la libre circulación de datos personales dentro de la Unión.

Conclusión: Transparencia y Diligencia como Pilares

El ejercicio de los derechos de protección de datos es una manifestación clave de la soberanía del individuo sobre su información personal en la era digital. Para el responsable del tratamiento, no se trata solo de una obligación legal, sino de una oportunidad para construir y mantener la confianza del usuario. La capacidad de responder de manera eficiente, transparente y dentro de los plazos establecidos no solo garantiza el cumplimiento del RGPD, sino que también refuerza la reputación de la organización como una entidad que valora y respeta la privacidad. Ignorar o retrasar estas solicitudes puede acarrear no solo sanciones económicas significativas, sino también un daño irreparable a la imagen y credibilidad de la empresa. En última instancia, la gestión adecuada de estas solicitudes es un reflejo de una cultura organizacional que prioriza la protección de datos y la relación con sus clientes.

Si quieres conocer otros artículos parecidos a Guía del Responsable ante Solicitudes RGPD puedes visitar la categoría Entrenamiento.

Subir