fbpx
Contacto

Los 7 derechos de los usuarios en materia de protección de datos

Fernando Sánchez Vázquez
El RGPD establece siete grandes derechos de los usuarios en materia de protección de datos, que van desde el acceso hasta la oposición
Los derechos de los usuarios en materia de protección de datos están garantizados por el RGPD


Cada día entablamos relaciones, y cada vez más en marcos y contextos digitales, en las que el titular o responsable lleva a cabo un tratamiento de nuestros datos personales (acceso a una página web, compras online, acceso a redes sociales, etc.).

En todo este tipo de actividades nosotros, como usuarios, estamos amparados por el Reglamento General de Protección de Datos (RGPD), que reconoce cuáles son los derechos de los usuarios, y que cada vez es más importante conocer y entender.

Los derechos de los usuarios que establece el RGPD

El artículo 15 y siguientes del RGPD, establecen los derechos de los usuarios: acceso, rectificación, supresión (olvido), limitación del tratamiento, portabilidad de los datos, oposición, y no ser objeto de decisiones automatizadas. A continuación, vamos a definir cada uno de ellos.

1. Derecho de acceso

El primero de los derechos de los usuarios aparece configurado en el art. 15 RGPD y consiste en el derecho del usuario de obtener del responsable confirmación de, entre otras cuestiones, si se están tratando sus datos personales y, en tal caso, cuáles son esos datos.

2. Derecho de rectificación

Este derecho, regulado en el art. 16 RGPD, consiste en el derecho de rectificar o completar los datos personales que conciernan al usuario.

3. Derecho de supresión u olvido

El art. 17 RGPD establece el derecho a que el responsable suprima todos los datos personales del usuario, cuando concurra alguno de los supuestos tasados:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

El derecho de acceso es el primero de los derechos de los usuarios en materia de protección de datos

4. Derecho a la limitación del tratamiento

El cuarto de los derechos de los usuarios incluidos en el RGPD (art. 18) consiste en la limitación del tratamiento de datos que lleva a cabo el responsable, en dos vertientes:

  • a. Solicitar la supresión de tus datos:
    • i. Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación.
    • ii. Cuando te hayas opuestos al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos.
  • b. Solicitar la conservación de tus datos:
    • i. Cuando el tratamiento sea ilícito, te has opuesto a la supresión y solicitas la limitación de uso.
    • ii. Cuando el responsable ya no necesite los datos para los fines de tratamiento, pero el usuario los necesite para formular, ejercer o defender una reclamación.

5. Derecho de portabilidad

En el art. 20 RGPD se define otro de los derechos de los usuarios. Concretamente, el derecho a recibir los datos que haya facilitado a un responsable «en un formato estructurado, de uso común y lectura mecánica» y transmitirlos a otro responsable.

6. Derecho de oposición

Como su nombre indica, este derecho (art. 21 RGPD) se basa en la oposición a que cualquier responsable realice un tratamiento de los datos de un usuario, en dos supuestos:

  • a. Cuando el tratamiento se legitime en una misión de interés público o legítimo del responsable o tercero (salvo que acredite motivos que prevalecen sobre los intereses, derechos y libertades del interesado).
  • b. Cuando el tratamiento tenga por finalidad la mercadotecnia directa.

7. Derecho a no ser objeto de decisiones individuales automatizadas

El último de los derechos de los usuarios en materia de protección de datos recogidos en el RGPD (art. 22) consiste en el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente.

Ejemplos sobre la aplicación de los derechos de los usuarios

Teniendo en cuenta todo lo anterior, y a efectos ilustrativos vamos a comentar, brevemente, a continuación, dos ejemplos que nos permiten analizar cómo se aplican los derechos de los usuarios y las consecuencias de no respetar dichos derechos.

10.000 € de sanción a Easyjet

El primer ejemplo sobre la aplicación de los derechos de los usuarios gira en torno a una sanción recientemente confirmada por la Agencia Española de Protección de Datos (AEPD) a EASYJET AIRLINE COMPANY LIMITED (Exp. 202204836). El supuesto se presenta iniciado por la reclamación de un usuario que pretende ejercer su derecho de acceso, y comunica tal decisión a la compañía vía email en fecha de 28 de diciembre de 2021.

Teniendo incluso que enviar nuevos emails en forma de recordatorio, EasyJet incumple el procedimiento de atención al usuario tanto en tiempo como en forma.

El artículo 12.3 del Reglamento General de Protección de Datos otorga al responsable un plazo de un mes desde que recibe la solicitud de acceso para dar respuesta al derecho ejercido, e incluso incluye la opción de ampliar ese plazo hasta los dos meses siempre que se informe debidamente al interesado.

Pues bien, en el caso expuesto si bien EasyJet remitió respuesta a todos los emails del interesado, estas no cumplían los requisitos de forma. En este sentido, se enviaron respuestas genéricas de recibo de la comunicación y remisión al departamento correspondiente, y no fue hasta el 17 de marzo de 2022 cuando se acusó recibo haciendo referencia explícita a la reclamación de acceso del interesado. Finalmente, en fecha de 1 de abril de 2022 se remitió la respuesta final, facilitando los datos del reclamante que la compañía tenía en su poder.

Todo lo anterior, supone la vulneración del artículo 15 del RGPD que sustenta la sanción de 10.000 euros (del artículo 83.5 RGPD) impuesta a la compañía británica.

El incumplimiento de los derechos de los usuarios puede acarrear cuantiosas multas

Los futbolistas españoles quieren saber cómo se usan sus datos

(II) El segundo supuesto todavía no ha llegado, ni mucho menos, a manos de la AEPD. Se centra en el comunicado, a través de la Asociación de Futbolistas Españoles (AFE), de que el colectivo de futbolistas ha decidido obtener información respecto del uso de sus datos personales. La información versa precisamente sobre la puesta a disposición de los usuarios de la información necesaria para que puedan ejercer el derecho de acceso, antes comentado, del artículo 15 del RGPD.

Parece lógico que, a medida que avanza la exposición y publicación de estudios y análisis (Big Data, Data Analysis, Inteligencia Artificial, etc), estos futbolistas, como usuarios, quieran tener el control sobre sus datos personales.

Si finalmente se produce este ejercicio de los derechos de los usuarios, parece que el objetivo sería conocer cuáles son los datos que manejan sus clubes, La Liga y la Real Federación Española de Fútbol (RFEF), qué tratamientos se llevan a cabo y a quién se ceden esos datos (e incluso qué beneficio económico se obtiene).

Lo interesante respecto de esta cuestión se encuentra realmente en las consecuencias que puedan derivar de todo ello:

  • a) La adecuación de esas hipotéticas cesiones o transferencias de datos a la regulación del artículo 45 del RGPD, que las permite siempre que se puedan garantizar unos niveles adecuados de protección al usuario.
  • b) Los tratamientos de categorías especiales de datos, y su tratamiento conforme al artículo 9 del RGPD. Cada vez es más habitual (generalmente en la élite) el uso de sistemas de medición de los que se obtienen datos sobre el rendimiento o la salud. Es decir, categorías especiales y datos biométricos del artículo 4.14 del RGPD.
  • c) Por último, a donde debería llevar todo esto, es a la regulación de toda cuestión relativa a la protección de datos de los futbolistas, tanto del punto de vista de estos como de los clubes, seguramente, en próximas negociaciones colectivas.

En Vento Abogados & Asesores, ponemos a su disposición un equipo de juristas especializados en prestar servicios de protección de datos para asesorar a las empresas en todo lo relativo al tratamiento de la información personal de sus clientes y empleados.

Autor

Últimas entradas

  • Actualidad
  • Blog
  • Entradas más vistas

Síguenos

Política de cookies
Política de privacidad
Aviso legal

© All Rights Reserved

Facebook X-twitter Linkedin