Toda persona, empresa u organismo (tanto privado como público) que trate datos de carácter personal, debe cumplir una serie de requisitos y aplicar unas medidas de seguridad dependiendo del tipo de datos que posean (nivel básico-intermedio-alto riesgo). Así como llevar un control sobre los datos que recaban.
A nivel europeo se desarrolló el Reglamento en materia de protección de datos de carácter personal, que fue aprobado por el Parlamento Europeo el 16 de abril de 2016. Siendo de aplicación inmediata a todos los Estados miembros de la Unión Europea, y entró en vigor en mayo de 2018.
A nivel estatal tenemos la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que deroga la antigua Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), esta norma debía adaptarse al RGPD.
¿Cómo cumplir la protección de datos?
La protección de datos no es un mero trámite puesto que estamos hablando de derechos fundamentales: derecho al honor, la intimidad personal, y la propia imagen. Regulados en el artículo 18 de la Constitución.
Aunque inicialmente partió su configuración del Derecho Fundamental al honor y a la intimidad personal y familiar y a la propia imagen, gracias al desarrollo normativo y a la construcción jurisprudencia, se ha convertido en un derecho fundamental independiente y autónomo del derecho a la intimidad personal y familiar y a la propia imagen.
Ya seas una empresa o un particular que trata datos de carácter personal, debes cumplir una serie de obligaciones legales.
- Notificación ante la Agencia Española de Protección de Datos (AEPD) de los ficheros.
- Redacción del Documento de Seguridad donde se reflejan las medidas técnicas y organizativas que se deben adoptar para cumplir con la protección de datos.
- Redacción de todos aquellos documentos necesarios para la protección de datos.
- Facilitar el ejercicio de los derechos ARCO (derecho de acceso, derecho de rectificación, derecho de cancelación y derecho de oposición).
- Auditoría bienal. Aquellas empresas que tengan ficheros de nivel medio o alto deben realizar una auditoría cada dos años, puede ser interna o externa.
Una serie servicios de protección de datos que tanto las empresas como los autónomos que manejen datos de carácter personal deben tener en cuenta.
Los derechos de carácter personal
- Consentimiento inequívoco: el Reglamento General de Protección de Datos y la LOPDGDD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito.
- Información: El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
- El derecho de acceso, rectificación, oposición, cancelación, limitación y portabilidad de los datos: están reconocidos en el Reglamento General de Protección de Datos (Artículos 15 a 21) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los derechos digitales (artículos 12 a 18). Permiten conocer qué información personal nuestra está siendo tratada por un responsable (sin que ello suponga el acceso a los documentos), de quién o de dónde han obtenido esos datos y a quién se los ha cedido. También permiten modificar o rectificar errores, cancelar datos que no se deberían estar tratando u oponernos a tratamientos de datos personales realizados sin nuestro consentimiento.
- Derecho de acceso: saber para qué se utilizan los datos, quién los tiene, la finalidad, qué personas pueden acceder a ellos y quiénes son sus destinatarios.
- Derecho de rectificación: el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos o incompletos que le conciernan.
- Derecho de cancelación o supresión: el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. Derecho a suprimir los datos por tratamiento ilícito, por desaparecer la finalidad que motivó la recogida de los datos, cuando la persona revoca su consentimiento y cuando la persona se opone al tratamiento de sus datos.
- Derecho de oposición: el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
- Derecho a la limitación de los datos, el interesado tiene derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos.
- Derecho a solicitar al responsable de los datos: la suspensión del tratamiento de los datos, la conservación de los datos y la portabilidad de los datos a otros proveedores de servicios.
Procedimiento para el ejercicio de los derechos
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.
- Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.
El ejercicio de los derechos será gratuito para el interesado, excepto:
- En los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas, el responsable podrá cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar (el canon no podrá implicar un ingreso adicional para el responsable, sino que deberá corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud).
El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes).
Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
Deja una respuesta