Derechos


Protocolo ejercicio de derechos
Guía de atención a la persona que ejerce sus derechos de “Acceso,Rectificación, Supresión, Limitación, Portabilidad y Oposición”

INTRODUCCIÓN

El nuevo Reglamento General de Protección de Datos (Reglamento UE 2016/679, en adelante RGPD) será aplicable a partir del 25 de mayo de 2018. A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) recogidos en la actual normativa española se añaden nuevos elementos que mejoran la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales. El pasado 5 de diciembre de 2018 se ha publicado la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales ygarantía de los derechos digitales.
Con carácter general, el RGPD exige a los responsables que faciliten a los interesados el ejercicio de sus derechos. Este mandato supone que los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. El RGPD no establece un modo concreto para el ejercicio de derechos, pero sí requiere a los responsables que posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios.
Ejercer estos derechos será gratuito para el ciudadano (al igual que sucede ahora con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.
El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esa ampliación del plazo debe notificarse dentro del primer mes. Si el responsable decide no atender la solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
De acuerdo con el RGPD, los responsables deberán tomar todas las medidas razonables para verificar la identidad de quienes soliciten acceso y, en general, de quienes ejerzan los restantes derechos ARCO.
El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
El presente documento supone una guía de actuación que indica al personal de la empresa como recibir, gestionar y atender las ejercicio de derechos (“Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición”) que cualquier persona pueda solicitar a la empresa, en ejercicio de sus derechos contemplados en la Ley Orgánica de Protección de Datos de Carácter Personal y el Reglamento Europeo de Protección de Datos.
Derecho de acceso:
  • Copia de los datos personales objeto de tratamiento
  • Los fines del tratamiento, categorías de datos personales que se traten y de las posibles comunicaciones de datos y sus destinatarios.
  • De ser posible, el plazo de conservación de tus datos. De no serlo, los criterios para determinar este plazo.
  • Solicitar la supresión o rectificación de los datos, la limitación al tratamiento u oponerse al mismo.
  • Presentar una reclamación ante la Autoridad de Control.
  • Recibir información de las garantías adecuadas si se produce una transferencia internacional de datos.
  • De la existencia de decisiones automatizadas (incluyendo perfiles), la lógica aplicada y consecuencias de este tratamiento.

Derecho de rectificación:
  • Rectificar los datos inexactos y los datos personales incompletos, incluso mediante una declaración adicional.

Derecho de supresión (el "derecho al olvido"):
  • Solicitar la supresión de los datos personales sin dilación indebida cuando concurra alguno de los supuestos contemplados. Por ejemplo, tratamiento ilícito de datos o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida de los datos.
  • No obstante, se regulan una serie de excepciones en los que este derecho no procederá, como, por ejemplo, cuando deba prevalecer el derecho a la libertad d expresión e información.

Derecho a la limitación del tratamiento:
  • Solicitar al responsable que suspenda el tratamiento de los datos cuando concurran estas circunstancias: 1ª) se impugne la exactitud de los datos mientras se verifica dicha exactitud por el responsable; 2ª) el interesado ha ejercitado su derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • Solicitar al responsable que conserve tus datos personales cuando: 1º) el tratamiento de datos sea lícito y el interesado se oponga a la supresión de sus datos y solicite en su lugar la limitación de su uso; 2º) el responsable ya no necesita los datos para los fines del tratamiento, pero sí los necesite el interesado para la formulación, ejercicio o defensa de reclamaciones.

Derecho a la portabilidad de datos:
  • Recibir tus datos personales facilitados en un formato estructurado de uso común y lectura mecánica.
  • Poder transmitir tus datos personales a otro responsable, siempre que sea técnicamente posible.

Derecho de oposición:
  • Oponerte al tratamiento de tus datos personales cuando por motivos relacionados con tu situación personal debe cesar el tratamiento de tus datos, salvo que se acredite un interés legítimo o sea necesario para el ejercicio o defensa de reclamaciones.
  • Y oponerte al tratamiento de tus datos personales cuando ese tratamiento tenga por objeto la mercadotecnia directa.

Derecho a no ser objeto de decisiones individualizadas:
  • Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o que te afecte.
  • Se exceptúa lo anterior cuando: 1º) sea necesario para la celebración o ejecución de un contrato; 2º) esté permitido por el derecho de la UE o de los Estados miembros, con medidas adecuadas para salvar los derechos y libertades del titular de los datos; y 3º) exista consentimiento explícito del titular de los datos.

A causa del carácter personalísimo del ejercicio de estos derechos, para que se pueda tramitarse la solicitud correspondiente a cada ejercicio, será necesario aportar fotocopia del DNI o cualquier otro documento válido en derecho que acredite la identidad del interesado. En caso de representación de menores de edad o incapacitados, el representante deberá de aportar su DNI y un documento acreditativo que justifique la representación, Patria Potestad.
En el caso de los derechos de rectificación ó supresión, para revelar el carácter inexacto de los datos que figuren en los ficheros serán necesaria la aportación de documentación acreditativa.
En el supuesto del derecho de oposición, portabilidad y limitación del tratamiento aquella documentación que se considere conveniente, si es el caso, para justificar los motivos de la petición.
  • Si se trata de solicitar el ejercicio del DERECHO DE ACCESO: Aquella información que permita determinar los datos que se pretenden obtener.
  • Si se trata de solicitar el ejercicio del DERECHO DE RECTIFICACIÓN: Los datos que se pretenden rectificar y los datos que se modifican así como la razón de la variación.
  • Si se trata de solicitar el ejercicio del DERECHO DE SUPRESIÓN: Además de los datos de supresión de los cuales se solicitan, habrá de indicarse si la petición está basada en la falta de ajuste del tratamiento en la protección de datos o por resultar los datos inexactos o incompletos.
  • Si se trata de solicitar el ejercicio del DERECHO DE OPOSICIÓN: Habrán de indicar si los motivos fundamentales y legítimos relativos a una concreta situación ó personal que sustenten la petición.
  • Si se trata de solicitar el ejercicio del DERECHO DE PORTABILIDAD: A recibir sus datos personales que le incumben de un responsable de tratamiento y a transmitirlos a otro responsable de tratamiento sin ningún impedimento del responsable al que se los hubiera facilitado. Los datos que se deriven directamente del uso de los servicios prestados por el responsable del tratamiento.
  • Si se trata de solicitar el ejercicio del DERECHO DE LIMITACIÓN DEL TRATAMIENTO: Impugnar laexactitud de los datos que el tratamiento sea lícito, se oponga a la supresión, se oponga al tratamiento ó cuando el responsable no los necesite para el fin del tratamiento pero los necesite para la formulación, ejercicio o defensa de alguna reclamación.
Cómo identificar los diferentes derechos y dar respuesta
Derecho a acceso: El interesado podrá solicitar y obtener de forma gratuita la información de sus datos de carácter personal sometidos a tratamiento, el origen de estos datos y las comunicaciones realizadas o que se prevean hacer de ellas. El derecho de acceso no podrá llevarse a término en intervalos inferiores a 12 meses, salvo causa justificada. Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento.
Derecho de rectificación y cancelación: Serán rectificados o cancelados, si es el caso, los datos de carácter personal en los cuales el tratamiento no se ajuste a lo que dispone la Ley Orgánica de Protección de Datos y , en particular, cuando estos datos resulten inexactos o incompletos.
Derecho de oposición: En los casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, este podrá oponerse a su tratamiento cuando haya motivos fundamentales y legítimos relativos a una situación personal concreta. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
Derecho de portabilidad: El derecho a la portabilidad implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.
El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Este derecho sólo puede ejercerse:
  •    Cuando el tratamiento se efectúe por medios automatizados
  •    Cuando el tratamiento se base en el consentimiento o en un contrato
  •    Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.

Derecho de limitación del tratamiento: La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Se puede solicitar la limitación cuando:
  •    El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud.
  •    El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello.
  •    Los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
En el tiempo que dure la limitación, el responsable sólo podrá tratar los datos afectados, más allá de su conservación:
  • Con el consentimiento del interesado
  • Para la formulación, el ejercicio o la defensa de reclamaciones
  • Para proteger los derechos de otra persona física o jurídica por razones de interés público importante de la Unión o del Estado miembro correspondiente.

Procedimiento de solicitud

En todos los elementos informativos creados, incluidos en tu página web, aparece un dirección de correo que es la que has facilitado para que puedan requerite el ejercicio de derechos.
Hemos creado un modelo específico para el ejercicio de cada derecho:
Los pasos serán los siguientes:
  1. En cuanto un afectado te requiera cualquiera de ellos, solo tienes que identificar el modelo correspondiente y enviarlo al solicitante a la dirección en la que este te lo haya requerido.
  2. En cuanto te devuelvan el modelo cumplimentado, debes proceder a responder al requerimiento específico que te hayan requerido siguiendo las indicaciones del apartado anterior.
  3. Debes registrar esa solicitud en la herramienta en el apartado MANTENIMIENTO: “Registro de ejercicios de derechos”
Recomendaciones
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.
Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, (como un email o formulario) especialmente cuando el tratamiento se realiza por estos medios.
El ejercicio de los derechos será gratuito para el interesado, excepto:
En los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, el responsable podrá cobrar un canon que compense los costes administrativos de atender a

Obligaciones

  • Disponer de un procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos (a través de una dirección electrónica o un formulario dentro de la web).
  • El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes).
  • Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa,dentro del plazo de un mes desde su presentación.
  • Los responsables deberán tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos ARCO.
  • El responsable que trate una gran cantidad de información sobre un interesado podrá pedir a éste que especifique la información a que se refiere su solicitud de acceso.
  • El responsable podrá contar con la colaboración de los encargados para atender al ejercicio derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.
Ejercicio de los derechos ante un encargado del tratamiento

Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento y solicitasen el ejercicio de sus derechos ante el mismo, el encargado deberá dar traslado de la solicitud al responsable del tratamiento de dato, a fin de que este último sea quien resuelva la solicitud.
El encargado del tratamiento podrá atender las solicitudes si en la relación existente con el responsable del tratamiento de dato se contempla esta posibilidad.

Gestión de solicitudes de derechos

La persona designada por el responsable de los tratamiento de datos de Constantino Quintana dispondrá de un sistema de gestión online de solicitudes a través de la plataforma En dicha plataforma podrá darse entrada a las solicitudes, recabando los datos aportados por el usuario e imprimiendo solicitudes personalizadas, a la vez que permitirá generar respuestas también personalizadas dependiendo del tipo de petición de que se trate.

Recepción de solicitudes

Cuando un interesado se dirija a la sede de atención a ejercicio de derechos de Constantino Quintana, la persona responsable de atención a los usuarios deberá registrar la solicitud de este, indicando en ella todos los datos requeridos en los campos habilitados para ello, así como indicando las observaciones que se consideren necesarias.
Una vez introducidos todos los detalles de la solicitud se procederá a imprimir el impreso personalizado que deberá ser firmado por el interesado y almacenado por la empresa para proceder a la evaluación de Atención de solicitudes
Todas las peticiones han de ser evaluadas con el fin de estimar si proceden y dar respuesta a las mismas en los plazos indicados para cada tipo de solicitud.
Cuando la petición haya sido evaluada, tanto si procede como si la solicitud debiese ser denegada, la plataforma online permite generar los impresos de respuesta personalizados, proporcionando los diversos modelos de respuesta.
Las respuestas hacia el interesado deberán también ser conservadas por la empresa ya que es esta la que debe probar la correcta actuación en respuesta a la solicitud del interesado en caso de conflictos. En tal caso, la Agencia Española de Protección de Datos, en el ejercicio de tutela de los derechos de los interesados, pedirá al responsable de los tratamiento de datos del responsable Constantino Quintana la prueba de la respuesta a la solicitud, conforme a la legislación vigente.



Comentarios