Skip to content
SERVICIOS

Los llamados derechos “ARCO-POL”. A cargo de Daiana Lamela Scafarelli

Deja un comentario / AD+, Árbol del derecho, Protección de datos / Por

AD+

Los llamados derechos “ARCO-POL”: ¡Quiero ejercer mi derecho de acceso!

Hace unos días conocíamos la noticia sobre la imposición de una sanción por parte de la Agencia Española de Protección de Datos a un Responsable del Tratamiento que no atendió al ejercicio de derecho de acceso a imágenes: https://www.aepd.es/es/documento/ps-00267-2021.pdf

Antes de entrar a analizar la necesidad de elaborar e implantar un procedimiento interno para la atención del ejercicio de derechos, recordar que, la normativa vigente en materia de protección de datos recoge que los datos de carácter personal tienen que ser tratados de manera lícita, leal y transparente. El principio de transparencia se encuentra ligado al deber de información que todo interesado tiene que conocer en el momento de la recogida de sus datos por parte del Responsable para su posterior tratamiento.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece:

“Artículo 11 Transparencia e información al afectado

  1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
  2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.

  1. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

En estos supuestos, la información básica incluirá también:

a) Las categorías de datos objeto de tratamiento.

b) Las fuentes de las que procedieran los datos.”

Tal y como se menciona en el artículo referenciado, la información se puede facilitar en dos capas, pero, es importante destacar la obligación de nombrar la posibilidad de ejercer los derechos establecidos por la normativa en materia de protección de datos (derechos ARCO-POL), así como la indicación de ubicación sobre la información adicional en la primera capa.

La importancia de facilitar dicha información radica en el derecho de todo interesado de conocer sobre el tratamiento de sus datos o realizar cualquier otra acción sobre los mismos dependiendo del derecho que desee ejercitar, así como de poder atender correctamente su petición.

La respuesta dependerá del ejercicio de derecho que se haya presentado:

DERECHOS
ACCESO Conocer los datos que está tratando el Responsable.

Derecho de acceso a las imágenes de las cámaras de videovigilancia.
RECTIFICACIÓN Rectificar datos incompletos o inexactos.
SUPRESIÓN Cancelar o suprimir datos de carácter personal.
OPOSICIÓN Oponerse al tratamiento de datos.
PORTABILIDAD Solicitud de portabilidad de datos a otro Responsable en formato estructurado, de uso común y lectura mecánica.
LIMITACIÓN Limitar el tratamiento.
LIMITACIÓN DE DECISIONES ATUMATIZADAS Limitar las decisiones individuales automatizadas para no ser objeto de decisiones individualizadas.

 

Todo Responsable del Tratamiento tiene que conocer los requisitos y obligaciones para la atención del ejercicio de derechos:

Se deberá facilitar el ejercicio de los derechos por parte del interesado.

El plazo para responder al interesado es un mes a partir de la recepción de la solicitud. Dicho plazo puede prorrogarse otros dos meses en casos de complejidad o número de solicitudes (hay que informar de la prórroga).

Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

La negativa a la solicitud podrá el interesado presentar reclamación ante Autoridad de Control.

Gratuidad del ejercicio de derechos, se podrá establecer una tasa en supuestos de solicitudes abusivas o manifiestamente infundadas.

Por tanto, además de cumplir con el deber de informar, así como de tener conocimiento de los requisitos y obligaciones para atender el ejercicio de derechos, si la información facilitada en cuanto a la vía de comunicación para solicitud de los mismos es errónea o no es atendida correctamente por la entidad (dirección postal o correo electrónico sin atención), la consecuencia es el incumplimiento de la normativa vigente en materia de protección de datos que pueden derivar en sanciones para el Responsable del Tratamiento.

Dentro de las medidas de control desarrolladas en la entidad, se tiene que tener en cuenta dos perspectivas:

Externa: información que se vaya a facilitar a los interesados en el momento de recogida del dato tiene que ser real en cuanto a la vía de comunicación para el ejercicio de derechos (dirección postal y correo electrónicos activos y atendidos).

Interna: implantación de un procedimiento interno que permita el ejercicio de derechos en tiempo y forma. El ejercicio de derechos y el procedimiento interno que se va a implementar en la entidad tiene que ser conocido por el personal y, más aún, por la persona encargada de atender los mismos.

La falta de atención al ejercicio de derechos por un error interno en la entidad (falta de procedimiento) pueden derivar en la presentación de una denuncia tal y como sucedió en la resolución mencionada en el presente artículo. No se atendió en tiempo y forma y los datos habían sido suprimidos, por tanto, la AEPD considera que se ha cometido una infracción por vulnerar el artículo 12 del Reglamento General de Protección de Datos en relación con los artículos 15 al 22 (“El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 al 22”) y vulneración del artículo 6 del RGPD en cuanto a la licitud del tratamiento.

Daiana Lamela Scafarelli

10 de junio de 2022

Fuentes:

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Agencia Española de Protección de Datos.
Daiana Lamela Scafarelli

Socia en I+D Abogados

Nuevas Tecnologías/Privacidad/DPO

Miembro de la Asociación Profesional Española de Privacidad – APEP

dlamela@imasdabogados.es

https://www.imasdabogados.es/

Deja un comentario

A %d blogueros les gusta esto: