Compartimos artículo de Dª. Victoria Hernández Turiel, abogada y politóloga. Especialista en derecho de nuevas tecnologías. Experta en protección de datos, comercio electrónico y propiedad intelectual e industrial.
Derechos Arcos
El Reglamento General de Protección de Datos, además de imponer obligaciones a las personas físicas o jurídicas que recogen y tratan datos personales, también otorga derechos a las personas físicas cuyos datos han sido o son tratados.
La Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (derogada por el RGPD 2016/679) dio lugar a los conocidos como derechos ARCO, que son los derechos que las personas físicas pueden ejercitar respecto a sus datos personales.
Estos derechos, conocidos ahora con el RGPD por algunos como derechos ARCO + (pues el Reglamento mantiene los clásicos derechos ARCO, pero añade algunos nuevos) son susceptibles de ejercitarse por las personas físicas, y de forma personalísima, es decir, solo pueden ejercitarse de manera personal por el propio afectado, no pudiendo delegar su ejercicio en ninguna persona.
En un inicio la Directiva de Protección de Datos otorgaba cuatro derechos (Acceso, Rectificación, Cancelación y Oposición), que fueron ampliados a seis con el RGPD (Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad).
En consecuencia, el Reglamento refuerza el contenido de los clásicos derechos ARCO, y reconoce otros nuevos. Pero, además de regular nuevos derechos, el Reglamento también modifica el procedimiento para ejercitar los mismos (cuestión que se revisará de forma detallada en otro artículo).
El derecho de acceso abarca que se confirme el tratamiento o no tratamiento de los datos personales del interesado, su acceso a todos los que figuren en el Registro de actividades de tratamiento que debe tener toda entidad que trate datos de carácter personal (debiéndosele facilitar una copia que puede ser en formato electrónico u otro de uso común).
Al mismo, el reglamento añade el derecho a que el responsable le facilite información complementaria (una suerte de metadatos, pues son datos respecto de los cuales también entiende el RGPD que hay que informar).
La información complementaria a facilitar es relativa a la siguiente: fines, categorías de datos, destinatarios o categorías de destinatarios a los que se comunican sus datos, plazo de conservación (o si no es posible los criterios utilizados para determinarlo), información sobre derechos de rectificación, supresión, limitación y oposición, así como del derecho a reclamar ante la autoridad, información sobre origen de los datos, la existencia de decisiones automatizadas, elaboración de perfiles (informando sobre la lógica aplicada y consecuencias para el interesado); transferencias internacionales y garantías entre otros ejemplos.
El derecho de acceso fue también proclamado en la Carta de Derechos Fundamentales de la Unión Europea, proclamada en Niza el 7 de diciembre del 2000. El artículo 8, establece al final de su apartado 2 que “[…] Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.”
El derecho de rectificación tiene un doble plano, por un lado, a que se corrijan datos recabados que sean inexacto, y por otro lado, el derecho a que se completen los inexactos.
El derecho de supresión (derecho al olvido), es el antiguo derecho de cancelación otorgado por la Directiva del 95, aunque el contenido es prácticamente el mismo.
Este derecho nace cuando se producen cuatro escenarios concretos:
Cuando se ha alcanzado la finalidad (de modo que ya no son necesarios para los fines determinados por el responsable del tratamiento), se ha retirado el consentimiento (de forma que no hay base legitimadora para poder continuar con dicho tratamiento), cuando el interesado ejerza su derecho de oposición, y, cuando los datos hayan sido tratados ilícitamente.
No obstante, hay excepciones a su ejercicio cuando entra en conflicto con la libertad de expresión y prevalece este último, por prevalencia del interés publico (la información personal debe ser conocida por concurrir un interés general conque no gozan de protección en ese caso los datos personales, como es el caso de condenas penales graves, por ejemplo), entre otros casos.
El derecho de oposición por su parte, (que como se ha explicado en líneas anteriores, puede dar lugar al derecho de supresión) se apoya en dos bases legitimadoras:
En primer lugar, en tratamientos basados en el cumplimiento de una obligación legal o interés legitimo (si por su situación particular el tratamiento le genera un daño, siempre que sea relevante, el afectado se puede oponer).
En segundo lugar, en caso de tratamientos con fines de mercadotecnia directa, (si se basa en un interés legítimo el interesado se puede oponer en cualquier momento y sin alegar motivos.
En este punto, conviene que las empresas conozcan el deber de informar sobre la existencia de este derecho en la primera comunicación con el interesado.
El derecho a la limitación del tratamiento de los datos personales puede ser ejercido en varios casos:
Por falta de exactitud de los datos a juicio del interesado. En consecuencia, durante el periodo en que se decide si los datos son exactos o no se dejan de tratar los datos para evitar que tengan consecuencias negativas para el interesado.
Cuando el tratamiento es ilícito y el interesado por no querer que sus datos sean suprimidos, solicite que su tratamiento se limite. También, en el caso de que los necesite el interesado para formular o defender las reclamaciones hechas respecto a sus derechos. Por último, en el periodo que transcurra desde que ejerza el derecho de oposición hasta que se decida si este es procedente o no lo es.
Derivado del derecho a la limitación, se puede extraer el derecho a no ser objeto de decisiones automatizadas. Es decir, a no ser objeto de una decisión basada únicamente en tratamiento automatizado (incluida la elaboración de perfiles) si dicha decisión tiene efectos jurídicos o le afecta “significativamente”.
En último lugar, el derecho a la portabilidad de los datos personales. Es decir, cuando el tratamiento se base en el consentimiento o en un contrato, el interesado tiene derecho a recibir los datos y transmitirlos a otro responsable normalmente del mismo sector, (literalmente transmitirlos a la competencia, como sucede con las compañías de telefonía móvil), y también, siempre que resulte técnicamente posible, a que se transmitan directamente del previo al ulterior responsable.
Para concluir, no hay que olvidar que, además de los derechos analizados, no debemos obviar el deber de información que tienen los responsables y encargados del tratamiento, que como deber total que impone el RGPD también se convierte en su contrario: el Derecho de Información de los interesados/afectados por los tratamientos.
Conclusión: el Reglamento General de Protección de Datos (igual que hizo la Directiva) además de imponer obligaciones a las figuras involucradas en el tratamiento de datos, también concede derechos susceptibles de ejercitarse por las personas físicas interesadas y de forma personalísima. La Directiva de 1995 creó los denominados Derechos Arco (Acceso, Rectificación, Cancelación y Oposición). Actualmente, el RGPD, además de mantener y reforzar los clásicos derechos ARCO, añade otros nuevos y modifica el procedimiento para su ejercicio, cuestión que se abordará en otro artículo sobre los derechos relativos a datos de carácter personal.