Procedimiento definido para garantizar los derechos de acceso, rectificación, supresión, cancelación u oposición de los ciudadanos.
Teniendo en cuenta el marco legal del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (GDPR), así como de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD, Ley 3/2018 de 5 de diciembre) y otras normativas de desarrollo en materia de protección de datos, PANELFA ha establecido un procedimiento para garantizar los derechos básicos de los ciudadanos, referentes al acceso, rectificación, cancelación u oposición al tratamiento de sus datos de carácter personal.
En particular, se ha tenido en cuenta lo dispuesto en los artículos 15 (Derecho de acceso), 16 (Derecho de rectificación), 17 (Derecho de supresión), 18 (Derecho a limitación del tratamiento), 19 (Obligación de notificación), 20 (Derecho a la portabilidad de los datos), 21 (Derecho de oposición) y 22 (Decisiones individuales automatizadas) del Reglamento Europeo de Protección de Datos Personales.
Para ello, la empresa ha previsto que se actúe de la siguiente forma en cada uno de los casos que se describen a continuación:
De acuerdo con el artículo 13 de la LOPDGDD y el artículo 15 del GDPR, cada ciudadano tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
Por ello, la empresa como responsable de tratamiento responderá por escrito a cada una de las peticiones de los ciudadanos ejerciendo sus derechos de acceso, en un plazo máximo de 30 días desde el conocimiento de la solicitud, registrando cada una de estas respuestas.
Si se están tratando datos personales del interesado, se le facilitará la siguiente información:
- los fines del tratamiento;
- las categorías de datos personales de que se trate;
- los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
- de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
- la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
- el derecho a presentar una reclamación ante una autoridad de control;
- cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
- la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas relativas a dicha transferencia.
El responsable del tratamiento también facilitará una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
El artículo 14 de la LOPDGDD y el 16 del GDPR establecen que el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación de los datos del interesado.
Hay que tener en cuenta que deberán ser rectificados o suprimidos los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto por el GDPR y, en particular, cuando tales datos resulten inexactos o incompletos.
La empresa responderá por escrito a cada una de las peticiones de los ciudadanos ejerciendo sus derechos de rectificación de los datos, en un plazo máximo de 10 días desde el conocimiento de la solicitud, registrando cada una de estas respuestas.
Por otra parte, en caso de que los datos rectificados hubieran sido comunicados o previamente a terceros, la empresa se encargará de notificar la rectificación efectuada a quien se hayan comunicado, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
El artículo 15 de la LOPDGDD y el 17 del GDPR establecen que el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de supresión de los datos del interesado, sin dilación indebida, cuando concurra alguna de las circunstancias siguientes:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
- el interesado retire el consentimiento en que se basa el tratamiento, y este no se base en otro fundamento jurídico;
- el interesado se oponga al tratamiento, y no prevalezcan otros motivos legítimos para el tratamiento;
- los datos personales hayan sido tratados ilícitamente;
- los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al consentimiento de un menor de 16 años para el tratamiento de sus datos personales).
La empresa responderá por escrito a cada una de las peticiones de los ciudadanos ejerciendo su derecho de supresión de los datos, en un plazo máximo de 10 días desde el conocimiento de la solicitud, registrando cada una de estas respuestas.
Asimismo, la supresión dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo el responsable del tratamiento procederá a la supresión definitiva de los datos.
Por otra parte, en caso de que los datos afectados hubieran sido comunicados o previamente a terceros, la empresa se encargará de notificar la petición de supresión de datos a quien se hayan comunicado, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.
Hay que tener en cuenta que el GDPR también establece en su artículo 17.3 que la supresión de los datos personales no será posible en los siguientes casos:
- para ejercer el derecho a la libertad de expresión e información;
- para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
- por razones de interés público en el ámbito de la salud pública;
- con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento;
- para la formulación, el ejercicio o la defensa de reclamaciones.
La empresa estudiará cada petición recibida de oposición al tratamiento de datos por parte de un ciudadano, para determinar si procede o no su aceptación.
En este caso, habrá que tener en cuenta que, de acuerdo con el artículo 6.1 del GDPR, un tratamiento de datos personales será lícito en los siguientes casos:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
El artículo 18 de la LOPDGDD y el 21 del GDPR establecen que el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
Así mismo, en el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Por su parte, el artículo 22 del GDPR establece que el interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, no se podrá aplicar este derecho en los siguientes casos, tal y como establece el artículo 22.2 del GDPR, si la decisión individual automatizada:
- es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
- está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado;
- se basa en el consentimiento explícito del interesado.
En los mencionados casos a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
El responsable del tratamiento responderá por escrito a cada una de las peticiones de los ciudadanos oponiéndose al tratamiento de sus datos, en un plazo máximo de 10 días desde el conocimiento de la solicitud, registrando cada una de estas respuestas.
Tal y como establece el artículo 17 de la LOPDGDD y el 20 del GDPR, el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando el tratamiento esté basado en el consentimiento del interesado o en un contrato en el que el interesado es parte, y el tratamiento se efectúe por medios automatizados.
Al ejercer su derecho a la portabilidad de los datos, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible, y siempre y cuando dicho derecho no afecte negativamente a los derechos y libertades de otros.