Browsing Tag

Ejercicios de derechos

Derechos de los clientes

Author: \ 21 mayo, 2024 \ Actualidad, Publicaciones AEPD, Reglamento europeo, Tecnología \ 0 Comentarios

La normativa vigente de protección de datos concede a los interesados una serie de derechos que debemos tramitar. Recogidos en los artículos 15 a 22 del Reglamento Europeo General de Protección de Datos (2016/679 (RGPD) y en los artículos 13 a 18 de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), los derechos de los interesados son: acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Transparencia e información

Aunque en ocasiones no se tiene en cuenta, el primer derecho de los interesados o clientes es el derecho a obtener información clara, transparente e inteligible sobre el tratamiento de datos que hacemos. Este derecho se impone como un deber a las empresas o profesionales que tratan datos y es que debemos ofrecer los detalles sobre cómo y para qué vamos a tratar los datos. Este deber se cumple con las cláusulas correspondientes que deberán incluirse en la documentación o formularios que utilicemos. En su área de clientes dispone del principio de información con las cláusulas jurídicas adaptadas a su empresa.

Derechos

Acceso

Se trata de la solicitud para conocer si tratamos o no los datos de un interesado. En caso de tratar los datos, debemos ofrecer la siguiente información: copia de los datos, la finalidad del tratamiento, procedencia, las posibles cesiones o transferencias internacionales, plazo de conservación, la posibilidad de solicitar la rectificación o supresión de los datos, reclamar antes la AEDP, entre otras.

Rectificación

La posibilidad del interesado de solicitar la rectificación de los datos personales que obran en nuestro poder, a la mayor brevedad posible, o que se complete la información incompleta. Este derecho requiere que el interesado haga referencia a los datos inexactos o incompletos, además de acreditar con la documentación correspondiente que lo justifique.

Oposición

El interesado o cliente puede oponerse a que trataremos sus datos, teniendo en cuenta dos supuestos:

  1. Si realizamos el tratamiento con fines de interés público o en base a nuestro interés legítimo (artículos 6.1.c y f RGPD, respectivamente), debemos cesar en el tratamiento de datos salvo que acreditemos motivos suficientes que prevalezcan sobre los intereses y derechos del interesado. Asimismo, podremos seguir tratando los datos para el ejercicio o defensa frente a reclamaciones.
  2. Cuando tratemos los datos con fines de mercadotécnica directa o publicitaria, dejaremos de tratar los datos. Tendremos en cuenta que si se ejerce el derecho solo para esta finalidad, podemos seguir tratando los datos para el resto de finalidades con los que fueron recogidos.

Supresión (olvido)

Supone la posibilidad de que el cliente solicite la supresión de todos sus datos en los siguientes supuestos, que aunque existen otros, la regla general es que debemos tratar de atender el derecho de supresión en la medida de lo posible:

  • Cuando los datos ya no son necesarios para el fin con el que los recogimos
  • Nos retiren el consentimiento prestado siempre que no exista otra base legitimadora del artículo 6 RGPD.
  • Cuando hayamos hecho un tratamiento ilícito
  • Cuando debamos suprimirlos para cumplir con una obligación legal

Por otro lado, encontramos su extensión o denominación como “derecho al olvido” ya que en caso de que nos soliciten este derecho y los datos del interesado los hayamos comunicado o cedido a terceros, tendremos que asegurarnos que esos terceros eliminen los datos, enlaces o cualquier copia sobre los datos del interesado.

Ahora bien, el derecho de supresión no es ilimitado. La supresión no procede o puede no ser factible cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

Limitación del tratamiento

Este derecho apareció con la entrada en vigor del Reglamento Europeo General de Protección de Datos (2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). Supone que el interesado pueda obtener la limitación del tratamiento de sus datos. No debe confundirse con el bloque de los datos que se regulaba antes de la entrada en vigor de la normativa citada.

Este derecho se podrá ejercer cuando concurra alguna de las siguientes condiciones:

  • El interesado o cliente impugne la exactitud de los datos personales, durante un plazo que nos permita la exactitud de los mismos.
  • El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
  • Lo datos del cliente ya no son necesarios para los fines del tratamiento, pero el interesado sí los necesita para el ejercicio o defensa de reclamaciones.
  • El interesado se haya opuesto al tratamiento, mientras verificamos si nuestros motivos deben prevalecer sobre los suyos.

Portabilidad

Este derecho permite a los clientes o interesados cuyos datos son tratados de forma automatizada a recibir o transmitir sus datos a otro responsable en un formato estructurado, de uso común, de lectura mecánica, cuando el tratamiento esté legitimado por el consentimiento expreso del cliente o por ejecución contractual.

Ahora bien, como venimos viendo a lo largo de este artículo, el derecho no se aplicará cuando el tratamiento se realice con fines de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Derecho a no ser objeto de decisiones individuales automatizadas

Este derecho garantiza a los clientes a no ser objeto de decisiones que esté basado exclusivamente en decisiones automatizadas y que produzcan efectos jurídicos, como por ejemplo la predicción de aspectos personales, rendimiento laboral, situación económica, salud, intereses personales o comportamiento.

Las excepciones a este derecho se encuentran en la necesidad de realizar el tratamiento por ejecución de un contrato con el cliente o por haber obtenido el consentimiento expreso de forma previa. En todo caso, debemos garantizar la intervención humana en ambos supuestos.

Características generales de los derechos de los clientes

  • El ejercicio de los derechos debe ser gratuito
  • Cuando el ejercicio del derecho sea repetitivo o excesivo, podremos negarnos a contestar o incluso cobrar un canon
  • Debe responderse en el plazo de un mes, pudiendo ampliarse este plazo cuando el derecho sea complejo o exista un alto número de solicitudes
  • Facilitar a los clientes la información sobre cómo y dónde pueden ejercer sus derechos
  • Cuando el derecho se haya ejercido por medios electrónicos, debemos contestarlo por el mismo medio, salvo que nos soliciten otro medio
  • En todo caso debemos informar de la actuación o no actuación frente al ejercicio
  • Se pueden ejercer los derechos por medio de representante legal o voluntario. En todo caso confirmar dicha representación
  • El derecho podremos contestarlo directamente nosotros o un encargado del tratamiento con el que así lo hayamos pactado

Deberes y obligaciones de las empresas

Además de disponer del protocolo de contestación al ejercicio de derechos, debemos cumplir con el resto de principios de protección de datos del artículo 5 RGPD, que se traduce en diferentes obligaciones sobre el registro de actividades del tratamiento, cláusulas informativas, registro de brechas de seguridad, formación de empleados, entre otras.

Para más información, puede acceder a su área de clientes pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.


Warning: A non-numeric value encountered in /home/legal2/web/blog.legaldpo.es/public_html/wp-content/themes/ruby/lib/ruby-customizer-colors.php on line 1074

La Agencia Española de Protección de Datos multa con 10.000€ a un particular por difundir fotos en WhatsApp

Author: \ 28 febrero, 2020 \ Actualidad, Publicaciones AEPD, Redes Sociales, Reglamento europeo, Tecnología \ 0 Comentarios

Con fecha 18 de diciembre de 2019, la Agencia Española de Protección de Datos (en adelante, AEPD) hacía uso de su potestad sancionadora y multaba con 10.000€ a un particular que, a través de los ‘’estados de WhatsApp’’ publicó fotos personales de dos compañeros de su trabajo y que, previamente, obtuvo de un dispositivo USB que había sustraído. Aunque no es el primer caso en el que la AEPD sanciona a un particular como veremos más adelante, si es un caso especial por la polémica generada por la aplicación del RGPD (Reglamento Europeo de Protección de Datos 2016/679, de 27 de abril) y de la LOPDGDD (Ley Orgánica de Protección de Datos y garantía de los derechos digitales 3/2018, de 5 de diciembre) a una actividad personal o doméstica, como se deduce de la resolución y que, por lo tanto, queda excluida su aplicación al caso que nos ocupa, debiendo haber actuado la jurisdicción penal.

¿Puede la AEPD multar a particulares?

La polémica que ha generado este caso deriva de lo establecido en el artículo 2.2.c) del RGPD, así como en su considerando 18 y el 2.2.a) de la LOPDGDD. Ambos artículos establecen que ninguna de las dos normas será de aplicación ‘’al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas’’. Sin embargo, estos preceptos chocarían con el objeto principal del propio Reglamento que en su artículo 1.2 establece el objeto principal: proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos. A esta protección hay que añadir el derecho fundamental de las personas físicas en los que respecta al tratamiento de sus datos personales, amparado por el artículo 18.4 de la Constitución Española.

La opinión generalizada es que la AEPD no puede sancionar a particulares puesto que el RGPD fue concebido para proteger a los ciudadanos del tratamiento de datos que realizan las empresas, ya sea en el marco de una relación contractual o no. Sin embargo, la AEPD ya dejó claro en varias ocasiones que si era competente para conocer y resolver estos casos.

Precedentes

Hay que remontarse al año 2017 para encontrar un caso similar. En este caso, una mujer grabó con su teléfono móvil a un agente de la policía local que, supuestamente, estaba realizando un acto de violencia de género durante la prestación de los servicios policiales. La mujer alegó que grabó el vídeo con la única pretensión de que la agredida pudiera utilizar el vídeo como prueba en un proceso judicial, hecho que no ocurrió. La mujer autora del vídeo envió el mismo a varios de sus contactos vía WhatsApp, con lo que infringió el deber de solicitar el consentimiento del afectado y siendo sancionada por ello con multa de 2.000 euros. Estando todavía vigente la LOPD 15/1999 para este caso concreto, recordemos que en su artículo 2.2.a) establecía que la LOPD no sería de aplicación a los, tan famosos, ficheros mantenidos por personas en el ejercicio de actividades meramente personales o domésticas. Pese a ello, en este procedimiento sancionador PS/00576/2017 la AEPD se consideró plenamente competente para resolver el caso, al amparo del artículo 37 de la antigua LOPD en el que se establecen las funciones de la AEPD que, entre otras, recoge la atención de las reclamaciones y peticiones formuladas por las personas afectadas.

Nuevo Reglamento, pero pocos cambios

En la actualidad hemos sufrido un cambio normativo muy grande en materia de protección de datos, sin embargo, los preceptos antes mencionados se mantienen prácticamente iguales. El caso que nos ocupa, sobre la sanción de 10.000 euros impuesta al hombre que difundió por WhatsApp mensajes íntimos de dos compañeros de trabajo, la AEPD ha hecho uso de los mismos fundamentos ya mencionados. La Directora de la AEPD se considera competente al amparo de los artículos 58.2 del RGPD y 47 y 48 de la actual LOPDGDD. En este sentido, termina por sancionar con 10.000 euros por infringir el artículo 6.1 del RGPD conforme a los establecido en el 83.5.b) del mismo reglamento y difundir los mensajes sin el consentimiento de los afectados.

¿Sanción administrativa o delito?

Otro debate que genera este caso es la vulneración del artículo 197.1 del Código Penal, relativo al descubrimiento de secretos o violación de la intimidad. Aunque no es nuestra materia, este es un delito privado y que se persigue a instancia de parte, por lo que es necesaria la interposición de querella por parte del agraviado, salvo lo dispuesto en el artículo 201 del Código Penal que podrá actuar el Ministerio Fiscal: cuando se trate de menores de edad o se vean afectados los intereses generales o una pluralidad de personas.

Canales de denuncia

La Agencia dispone, además de un canal ordinario, de un canal urgente de denuncia, cuya finalidad es que personas que vean perjudicados sus derechos a la intimidad o al honor, por publicaciones en Internet o redes sociales cuyo contenido tenga carácter violento o sexual, puedan solicitar la eliminación del mismo de forma ‘’inmediata’’.

En relación con este canal urgente de denuncia, junto al ordinario, comprenden herramientas eficaces para que los ciudadanos puedan protegerse ellos mismos por violaciones de sus derechos en materia de protección de datos. Pero hay que recordar que la AEPD puede iniciar de oficio procedimientos sancionadores y viendo que las sanciones a particulares prosperan, es razón de peso ahora más que nunca cuidar todo aquello que compartimos en la red, WhatsApp o cualquier red social. Las sanciones de la AEPD no tienen bonificación como otras que muchos conocemos, además de que el impago de la posible multa impuesta será causa de embargo de la cantidad requerida.

Ejercicio de derechos de carácter personal sobre personas con enfermedades degenerativas.

Author: \ 25 abril, 2019 \ Actualidad, Reglamento europeo \ 0 Comentarios

Tanto el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), como la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPD 3/2019, de 5 de diciembre), otorgan a las personas físicas una serie de derechos (derecho de acceso, rectificación, supresión –olvido-, limitación del tratamiento, portabilidad y oposición). Hoy nos centraremos en el ejercicio de derechos, pero concretamente, en el ejercicio de derechos sobre los datos de carácter personal de las personas que padecen algún tipo de enfermedad degenerativa.