Normativa de Protección de Datos II: Derechos y Obligaciones

Publicado el de labinoteca

Proseguimos con nuestro análisis de la normativa sobre protección de datos personales en el ámbito de España. Ahora nos detendremos a analizar qué derechos se le reconocen a los titulares de los datos, quiénes son lo que intervienen en el tratamiento de estos datos y qué obligaciones tienen.

Derechos TARSOPOL

La anterior ley de protección de datos de 1999 ya recogía unos derechos para todo titular de datos personales. Eran los conocidos como derechos ARCO. Con la aprobación del reglamento europeo y, posteriormente, de la nueva ley española estos derechos se ampliaron. Por tanto, los derechos ARCO se transformaron en derechos TARSOPOL. Este acrónimo responde a los siguientes 8 derechos:

Rights TARCOPOL.jpg

  1. Derecho a la Transparencia (o a estar informado): el responsable debe facilitar al interesado la información pertinente que éste necesite de forma clara y concisa.
  2. Derecho de Acceso: Si el interesado obtiene del responsable del tratamiento confirmación de que está tratando sus datos personales, tiene derecho a acceder a sus datos y a la información pertinente para poder ver de qué se trata.
  3. Derecho de Rectificación: El interesado tiene derecho a obtener, por parte del responsable, la rectificación de los datos personales erróneos y/o la compleción de los datos que juzgue incompletos. Hasta que no se hayan rectificado los datos el responsable está obligado a bloquearlos. Pueden haber excepciones a esta obligación de bloqueo si la autoridad de control considera que este bloqueo puede generar riesgos o un coste desproporcionado.
  4. Derecho de Supresión: A este derecho, anteriormente conocido como de cancelación, también se le llama con el romántico nombre de “derecho al olvido”. Este sobrenombre responde al derecho que debería tener toda persona a pasar página respecto de sus errores pasados. El pasar página se ha vuelto más difícil con la aparición de los potentes motores de búsqueda online (google, yahoo…), puesto que cualquier información subida a internet queda en ellos referenciada (aunque el autor hubiese borrado el contenido). Para poner solución a esta problemática el Tribunal de Justicia de la UE dictó una sentencia en el 2014 que obligó a Google a suprimir, previa petición del interesado, enlaces a informaciones que le pudiesen resultar lesivas o irrelevantes. Esta sentencia fue el precursor del derecho de supresión que reconoce al interesado el poder obtener la supresión de sus datos personales siempre que concurra alguna de las siguientes circunstancias:
    • Los datos personales ya no son necesarios para cumplir los fines por los que fueron obtenidos.
    • El interesado ha retirado su consentimiento
    • El interesado se opone al tratamiento
    • Los datos personales han sido tratados ilícitamente
    • Por el cumplimiento de una ley.
  5. Derecho de Oposición: el interesado tiene derecho a oponerse, en cualquier momento, a que los datos que le afecten sean objeto de un tratamiento.
  6. Derecho a la Portabilidad de los datos: el interesado tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica. Es decir, deben tener el mismo formato en el que podríamos encontrar las fuentes de datos abiertos.
  7. Derecho a No Ser Objeto de decisiones individuales automatizadas incluida la elaboración de perfiles. ¿A qué se refieren las elaboraciones de perfiles? A los tratamientos que, a partir de datos personales, analizan y predicen el comportamiento de un individuo. Si estas actuaciones producen efectos jurídicos o le afectan significativamente, entonces el interesado puede decidir no formar parte.
  8. Derecho a la Limitación del tratamiento: el interesado tiene derecho a que el tratamiento de sus datos este limitado en tiempo y forma por los fines a los cuales previamente él ha dado su consentimiento.

Responsables y encargados de los tratamientos de datos

Como hemos visto en la anterior publicación la normativa de protección la ley diferencia a los obligados por la misma entre responsables y encargados del tratamiento de datos. Pero ¿qué diferencia hay entre los unos y los otros? y como profesionales de BI ¿Cuándo seremos responsables y cuándo encargados?

  • Responsable de los tratamientos de datos o ficheros: es la persona física o jurídica que alberga la responsabilidad de los datos personales, tiene el poder de decisión sobre ellos en función de las finalidades y los medios que ha decido adoptar en los tratamientos de datos.
  • Encargado del tratamiento: es la persona física o jurídica que no tiene poder de decisión sobre los datos ni sobre las finalidades y los medios de los tratamientos de datos. El encargado se limita a acceder a los datos y a tratarlos siguiendo las instrucciones del responsable con el cual está vinculado mediante un contrato u otro acto jurídico.
  • Representante del responsable: esta figura aparece cuando el responsable de los tratamientos de datos no está establecido en la UE. En este caso, el responsable está obligado a designar un representante en la UE que asumirá sus responsabilidades.

Captura4

Obligaciones de los responsables y de los encargados

Como es lógico a mayor poder, mayor responsabilidad y, en el caso de la protección de datos, quien carga con el mayor peso de obligaciones es aquél que decide sobre los datos, es decir, el responsable. Por tanto, mientras la responsabilidad del encargado se limita a dar respuesta a las peticiones del responsable según lo acordado mediante contrato y respetando las limitaciones de la ley, el responsable debe cumplir, entre otras, con las siguientes obligaciones:

  • Respetar y garantizar el ejercicio de los derechos TARSOPOL por parte de los interesados. Esto quiere decir responder con la mayor brevedad posible las peticiones de los interesados
  • Informar al interesado sobre su identidad, o la de su representante, la finalidad del tratamiento y la posibilidad de ejercer sus derechos
  • Llevar un registro de las actividades de tratamiento (excepto las empresas con menos de 250 trabajadores)
  • Bloquear los datos, si procede, cuando se ejerza el derecho de rectificación o supresión
  • Observar los principios de actuación y en especial el de responsabilidad proactiva. Éste obliga al responsable a impulsar, teniendo en cuenta los potenciales riesgos, las medidas técnicas y organizativas necesarias para acreditar que el tratamiento cumple con la normativa de protección de datos.
  • Colaborar con las autoridades independientes y con el delegado de protección de datos.
  • Responder con su patrimonio los posibles daños causados a los interesados en el tratamiento de sus datos personales

En resumen

En esta entrada hemos visto como las partes implicadas en la protección de datos se vinculan mediante derechos y deberes. Son, por así decirlo, las reglas del juego que todos los jugadores deben conocer y respetar. En futuras entradas veremos otros actores a los que podríamos considerar como árbitros y cuestiones más específicas sobre las reglas que nos dirán por ejemplo que multa puede llevar asociada una determinada infracción.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s