1 DERECHOS DEL INTERESADO

EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento.

1.1 CUESTIONES GENERALES

A través del art. 12 y considerando 59 se establecen por el RGPD las condiciones generales en las que se deben de dar los derechos del interesado, indicando los plazos, las formas etc.

Artículo 12: Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 (Información a facilitar al interesado) y 14 (Información cuando no se obtengan los datos del interesado), así como cualquier comunicación con arreglo a los artículos 15 a 22 (Derechos del interesado) y 34 (Violación de Seguridad) relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22 (Derechos del interesado). En los casos a que se refiere el artículo 11, (Tratamiento que no requiere identificación como las credenciales de acceso) apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22 (Derechos del interesado), salvo que pueda demostrar que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22 (Derechos del interesado), y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
5. La información facilitada en virtud de los artículos 13 (Información a facilitar al interesado) y 14 (Información cuando no se obtengan los datos del interesado) así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 (Derechos del interesado) y 34 (Violación de Seguridad) serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
   1. cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
   2. negarse a actuar respecto de la solicitud.

   El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11 (Tratamiento que no requiere identificación como las credenciales de acceso), cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21 (Derechos del interesado), podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 (Información a facilitar al interesado) y 14 (Información cuando no se obtengan los datos del interesado) podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 (Ejercicio de Delegación) a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados

Las condicione generales en las que se deben dar los derechos son:

1. Transparencia: Toda la información que se dirija al interesado ha de ser concisa, de fácil acceso y a través de un lenguaje claro y sencillo. Se intenta evitar las políticas de privacidad excesivamente largas o difíciles de entender. Además, especialmente se establece que en el caso de que vayan dirigidas a menores, las mismas deberán ser no sólo de lenguaje claro y sencillo, sino también entendible por éstos últimos.

2. Obligación de expresa del ejercicio de Derechos: a diferencia de la Directiva, en el RGPD se establece como una obligación expresa de los responsables hacer efectivos los derechos del interesado.

3. Plazos: se establece un plazo de 1 mes para hacer efectivo el derecho del interesado, el cual puede ser prorrogado por 2 meses más en supuestos de complejidad o número de solicitudes recibidas. En cualquier caso, deberán ser informadas dichas prórrogas avisando expresamente al interesado de los motivos de la mismas.

4. Medios Electrónicos: se establece en el considerando 59 que el responsable debe proporcionar medios al interesado para que las solicitudes se presenten por medios electrónicos, sobre todo cuando dicho tratamiento es realizado por dichos medios. Además, deberá darse respuesta por medios electrónicos si la solicitud es realizada a través de los mismos, salvo que el interesado manifieste lo contrario.

5. Negativa a la solicitud: en los supuestos en los que no se le conceda el ejercicio de derechos, deberá ser informado en el mismo plazo de un mes de los motivos para dicha negativa, y de la posibilidad de presentar la correspondiente reclamación ante la Autoridad competente.

6. Gratuidad: Si bien el ejercicio de los derechos deberá ser gratuito para los interesados, se establecen los supuestos en los que el responsable puede cobrar una tasa o canon razonable o incluso negarse a responder. Dichos supuestos son los casos de solicitudes abusivas de ejercicio de derechos manifiestamente infundadas o excesivas, y en particular aquellas que tengan un carácter repetitivo.

7. Información adicional: se podrá solicitar por los responsables del tratamiento información adicional para la identificación del interesado en aquellos casos en los que existan dudas razonables sobre la identidad de la persona física que realiza la solicitud.

CONCLUSIONES

• Plazo de 1 mes desde la recepción de la solicitud.
• Uso de medios electrónicos en las solitudes realizadas por estos medios.
• Políticas de privacidad claras sencillas y de fácil acceso

1.2 DERECHO A LA INFORMACIÓN.

El derecho a la información se regula en los art. 13 y 14 así como en los considerandos 60 a 62 del RGPD. A diferencia de la Directiva la obligación de información que tenían los responsables del tratamiento de datos pasa a ser un derecho del interesado y no un deber u obligación del responsable.

El derecho a ser informado y su contenido se divide en dos, en función del origen de la obtención del dato:

1. Datos obtenidos del interesado:

El art.13 incrementa la información que ha de facilitarse al interesado.

Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
   1. la identidad y los datos de contacto del responsable y, en su caso, de su representante;
   2. los datos de contacto del Delegado de Protección de Datos, en su caso;
   3. los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
   4. cuando el tratamiento se base en el artículo 6, apartado 1, letra f) (Interés legítimo), los intereses legítimos del responsable o de un tercero;
   5. los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
   6. en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 (Transferencias mediante garantías adecuadas) o 47 (Normas corporativas vinculantes) o el artículo 49 (Excepciones para situaciones específicas), apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
   1. el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
   2. la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
   3. cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a) (Consentimiento), o el artículo 9, apartado 2, letra a) (Consentimiento explícito categorías especial datos), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
   4. el derecho a presentar una reclamación ante una autoridad de control;
   5. si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
   6. la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, (Decisiones individuales automatizadas, incluida la elaboración de perfiles) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

Podríamos clasificarla en información Fija y Variable, siendo la primera aquella información que siempre se ha de facilitar al interesado y Variable aquella información que varía en función de que la misma sea aplicable al supuesto de hecho o al concreto responsable de tratamiento de que se trate.

Información Fija:

• Identidad y datos de contacto del responsable y, en su caso, de su representante.
• La finalidad del tratamiento y la base jurídica para el tratamiento del mismo.
• Plazos de conservación de los datos o criterios para determinar el plazo.
• De la posibilidad de solicitar el ejercicio de derechos: acceso, rectificación, supresión, limitación, oposición y portabilidad.
• El derecho a revocar el consentimiento.
• El derecho a presentar reclamación ante la Autoridad de Control.

Información Variable:

• Identidad del Delegado de Protección de Datos.
• Del interés legítimo del responsable o un tercero, en el caso de uso de dichos supuestos de tratamiento.
• De los destinatarios en caso de que existan.
• De las transferencias internacionales incluyendo información sobre las garantías adoptadas.
• De la existencia de decisiones individualizadas automatizadas.
• La existencia de comunicaciones de datos, bien por requisito legal o contractual, y de la obligación a facilitar dichos datos y las consecuencias de la negativa a facilitarlos.

La referida información no será de aplicación en los supuestos en los que interesado ya disponga de la misma.

2. Datos No obtenidos del interesado

En el art.14 se establece la información que se deberá facilitar cuando los datos no hayan sido recabados u obtenidos del interesado. En estos casos el responsable deberá facilitar en el plazo de 1 mes (se modifica el plazo de 3 meses de nuestra normativa) además de la información anterior del art. 13 la siguiente información:

• El origen de los datos.
• Las categorías de datos.

Se aclara además que en estos supuestos de no obtención directa del interesado el plazo para informar es de un mes con dos excepciones:

• Si trata el dato para comunicarse con el afectado, se deberá informar antes o a más tardar en la primera comunicación que se dirija.
• Si se realiza el tratamiento para facilitárselo a un tercero, se deberá informar antes de la comunicación o a más tardar en el momento en que los datos sean comunicados por primera vez (lo que era el antiguo art. 27 de la LOPD)

Adicionalmente, se establece que en los casos en los que se proyecte realizar un tratamiento posterior para una finalidad distinta a la de la recogida y obtención del dato, se deberá informar con anterioridad a dicho tratamiento de toda la información recogida en dichos arts. 13 y 14.

Por último, en el art. 14.5 se establecen los supuestos o excepciones respecto al deber de información al interesado:

14.5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

1. el interesado ya disponga de la información;
2. la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1 (Investigación científica o estadística), o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
3. la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
4. cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Al igual que en el supuesto de obtención directa del interesado, no será necesario informar en los casos en los que el interesado ya dispone de dicha información, ni en los siguientes supuestos:

• Resulte imposible o suponga un esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica. Se entiende por el considerando 62 que para que se dé esta circunstancia es necesario tener en consideración el número de interesados, la antigüedad de los casos y las garantías adoptadas.
• Exista una Previsión legal expresa de tratamiento o prohibición de revelación, con medidas oportunas de protección.
• Obligación de secreto legal o profesional.

3. Guía de la AEPD para el cumplimiento del deber de informar.

En relación con el deber de información la AEPD de datos ha publicado unas Guías para el cumplimiento del deber de informar en donde destaca la división de la información por capas o niveles, de forma similar a como se venía realizando con las cookies. Así la AEPD recomienda dividir la información en dos capas, de tal forma que una primera capa se informe de la información básica y resumida del tratamiento de datos en el mismo momento y en el mismo medio en el que se recojan los datos, para a continuación remitir a un segundo nivel o segunda capa en donde se incluirá de forma detallada el resto de obligaciones de información. Esta segunda capa podrá ser un medio distinto más adecuado para su presentación y comprensión pudiendo tratarse incluso de un archivo descargable. El cuadro resumen publicado por la AEPD sería el siguiente:

De esta manera ala AEPD recomienda presentar siempre los cinco primeros epígrafes (“Responsable”, “Finalidad”, “Legitimación”, “Destinatarios” y “Derechos”), añadiendo el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado. El objetivo por tanto por un lado es facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios de recogida de datos, y por otro, conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada en una primera capa, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD.

Un ejemplo de Cláusula de información en formato papel podría ser el siguiente:

Otra ejemplo de cláusula de información en formato electrónico podría ser el siguiente:

CONCLUSIONES

• Información fija a facilitar: Datos del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, ejercicio de derechos, posibilidad de revocar el consentimiento y posibilidad de reclamación.
• Información variable: Cesiones o comunicaciones, Delegado de PD, Interés legítimo, Transferencias internacionales y decisiones automatizadas.
• En caso de no obtener la información del interesado se deberá informar en el plazo de 1 mes añadiendo información sobre el origen de los datos y las categorías de datos obtenidas.
• Se recomienda por las Autoridades de control dividir la información en dos capas, una de primer nivel con la información básica resumida y otra de segundo nivel con información adicional detallada.

1.3 DERECHO DE ACCESO

El derecho de acceso viene regulado en al art. 15 y en los considerandos 63 y 64 del RGPD.

Artículo 15: Derecho de acceso del interesado

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
   1. los fines del tratamiento;
   2. las categorías de datos personales de que se trate;
   3. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
   4. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
   5. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
   6. el derecho a presentar una reclamación ante una autoridad de control;
   7. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
   8. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 (Decisiones individuales automatizadas, incluida la elaboración de perfiles), y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia (Transferencia con garantías adecuadas).
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.

1. Alcance

A diferencia con el derecho de acceso de nuestra normativa de protección de datos, el derecho de acceso que introduce el RGPD, es un derecho más amplio que debe incluir la siguiente información:

• Finalidad del tratamiento.
• Categoría del dato tratado.
• Destinatarios.
• Plazo de conservación.
• Existencia del derecho a rectificar, suprimir, limitar u oponerse al tratamiento.
• Reclamación.
• Origen de la fuente de obtención del dato.
• Existencia de decisiones individuales automatizadas y elaboración de perfiles, así como la lógica aplicada para las mismas.
• Transferencias internacionales y garantías implantadas para la realización de las mismas.

Respecto al modo en el que se debe facilitar el acceso, el art. 15.3 y el considerando 63 señalan que se deberá facilitar una copia de los datos objeto de tratamiento de forma sencilla o con facilidad en intervalos de plazo razonables, con el fin de que el interesado pueda verificar y conocer la licitud del tratamiento. Se hace una mención específica en dicho considerando, a los datos relativos a la salud incluidos en los Historiales Clínicos, debiendo contener información sobre diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.

Así mismo, en caso de que el interesado solicite otra copia, esta podrá ser remunerada con una tasa o canon razonable basado en los costes administrativos que suponga dicha copia. Además, debe facilitarse por medios electrónicos de uso común, si el interesado utilizó estos para realizar su solicitud. A este respecto, el considerando 63 establece que los responsables deben estar facultados para permitir un acceso remoto seguro que ofrezca al interesado un acceso directo a sus datos personales.

Se habilita igualmente por el considerando 63 la posibilidad de solicitar al interesado mayor concreción en la solicitud de acceso cuando la misma conlleve gran cantidad de información relativa al interesado.

Por último, en el mismo considerando se restringe el ejercicio del derecho de acceso a que el mismo no afecte negativamente a los derechos y libertades de otros, incluidos los secretos comerciales o la propiedad intelectual, y en particular los derechos de propiedad intelectual que protegen los programas informáticos.

CONCLUSIONES

• Se amplía el derecho de acceso a la finalidad, categoría de datos, destinatarios, plazo de conservación, existencia de los restantes derechos y posibilidades de reclamar y, en su caso, al origen de la fuente del dato, existencia de decisiones automatizadas, elaboración de perfiles, y transferencias internacionales.
• Se habilita al responsable a que en supuestos de grandes cantidades de información solicite  mayor concreción al interesado.