Los derechos del interesado son deberes para las empresas


Uno de los aspectos más relevantes en aras de cumplimiento del RGPD es prestar atención al ejercicio de derechos. Las empresas deberían diseñar procedimientos realmente eficaces para dar respuesta a los interesados/afectados que deseen ejercer sus derechos. El RGPD enumera los diferentes derechos entre sus artículos 15 y 21, que son: acceso, rectificación, limitación, supresión, portabilidad y oposición.

DERECHOS ARCO LOPD vs DERECHOS ARCO-POL RGPD | Grupo Adaptalia España

Desde un primer momento, el RGPD destaca estos derechos como algo que puede solicitar el propio interesado/afectado. Por lo que las empresas lo han traducido en: “hay que estar pendientes por si alguien ejerce sus derechos responder en tiempo y forma”. Es decir, lo que entre oficinas se dice como: “ya si eso, cuando nos lo pidan vemos lo que hacemos”.

Esto es un error gravísimo de interpretación. Todos sabemos que el RGPD destaca por la incorporación del principio de “accountability”, que lo que viene a exigir a las empresas es que traten los datos personales de forma ética y que muestren un comportamiento proactivo de cumplimiento. Esto quiere decir, que no solo vale con cumplir, sino que deben demostrarlo con políticas y procedimientos acordes a la normativa aplicable. Por lo que interpretar el “ejercicio de derechos” como algo que solo se debe tener en cuenta cuando una persona lo ejerza es un grave error. Ahora veremos como el ejercicio de derechos, en realidad, es un deber para la empresa.

  1. Derecho de acceso: el interesado puede solicitar información sobre el responsable del tratamiento así como los datos personales que éste maneja, (categoría de datos, legitimación, plazos, canal de ejercicio de derechos, etc). Y solicitar copia de los datos personales que el mismo ha entregado, es decir, se excluyen los que el responsable haya obtenido en la prestación del servicio.

Este derecho está totalmente ligado al deber de información del responsable del tratamiento pues lo que se le debe informar a la persona es aquello que se le debe informar desde un primer momento. Por lo tanto, más que un derecho es un deber para la empresa desde el momento en que recaba los datos.

  • Derecho de rectificación: puede solicitar la actualización o revisión de cualquier dato. Podría ser absurdo este derecho ya que las empresas deben garantizar que los datos que manejan estén actualizados en todo momento. Si la información es necesaria para la ejecución de un contrato o prestación de servicio, obviamente los datos deben ser correctos, el primer interesado sería la empresa. Por lo tanto, otro deber para la empresa que el interesado no tendría ni que por qué ejercer este derecho, basta con comunicar algún cambio significativo.
  • Derecho de limitación: el interesado puede limitar el tratamiento de sus datos personales en determinadas circunstancias que el propio art. 18 detalla:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos (¿resulta obvio no?)

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; (¿el interesado es el que se opone a la supresión de sus datos? ¿mandé?)

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; (más obvio todavía, relacionado con el principio de minimización de datos).

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. (y también obvio).

Esto es un claro deber de la empresa de no tratar los datos mientras se está resolviendo alguno de estos asuntos. No se puede ver como un ejercicio sino como un deber. El interesado normalmente no sabe ni lo que es este derecho. Debe ser la empresa la que de forma proactiva se autolimite al tratamiento.

  • Derecho de supresión: si lees el art. 17 veras como el propio RGPD dice que la empresa está obligado a suprimir los datos cuando se den X situaciones. Por lo tanto, no tenemos que esperar que el interesado nos lo solicite. Sino que de forma proactiva debemos tenerlo en cuenta y llevarlo a cabo.

Absurdo. Ciclo de vida. Las empresas deben fijar plazos para la destrucción o el borrado de la documentación. No se pueden tener de por vida. Entonces es un deber de la empresa. Recordemos que este derecho se puede ver “limitado” si es necesario bloquear los datos para atender a alguna norma específica. El famoso derecho al olvido, se da cuando se pueda, tiene su origen en google y demás motores de búsqueda, por lo demás, no le veo el sentido. Leer considerando 39 del RGPD y entenderéis lo que digo.

  • Derecho de portabilidad: Normalmente la portabilidad es necesaria para la ejecución de un contrato por lo que una empresa porta los datos a otra sin mediar el propio interesado. Esto es lo de más común en las compañías de teléfono. Realmente lo que se hace es firmar un contrato nuevo con otra compañía y para mantener el número se pide la portabilidad (a la empresa con la que nos vamos no a la que ya tiene nuestros datos). Esta empresa automáticamente solicita los datos personales para hacer el contrato. Con el formulario que rellenas estás autorizando a pedir estos datos. El RGPD dice que la empresa que recibe los datos debe cumplir con las exigencias del RGPD e implementar medidas para garantizar la seguridad de esos datos. Por lo tanto, una vez más, un deber para la empresa sin que el interesado lo ejerza.
  • Derecho de oposición: Bueno, este derecho lo veo más lógico. Es una forma de que el interesado de marcha atrás y retire su consentimiento. La empresa está obligada a facilitar esta posibilidad pero es cierto que hasta que el interesado no lo pida, la empresa no lo puede saber.

A muchos de vosotros esto que digo puede parecerle absurdo pero debéis reconocerme que muchas empresas creen que el ejercicio de derechos es algo que se pide y no que se respeta. Es decir, que es “algo” que los interesados pueden ejercer, pero no que las empresas por si solas deban de cumplir.

Si esto no se entiende, no entendemos el principio de accountabilidad y por tanto, tampoco se entiende la esencia del RGPD.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.