GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULOS 12-22 DEL RGPD

Los ocho derechos fundamentales que tienen los interesados

Las personas cuyos datos personales son tratados por una empresa se denominan «interesados». Según el RGPD, hay varios derechos diferentes que los interesados tienen con respecto a sus datos personales.

Aquí puede leer sobre los ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD. A saber, el derecho a:

  • información (artículos 12, 13 y 14)
  • acceso (artículo 15)
  • rectificación (artículo 16)
  • supresión (artículo 17)
  • limitación del tratamiento (artículo 18)
  • portabilidad de los datos (artículo 20)
  • objeto (artículo 21); y
  • derechos relacionados con la toma de decisiones automatizada y la elaboración de perfiles (artículo 22)

Además de la información sobre los derechos establecidos en los respectivos artículos pertinentes del RGPD, puede encontrarse más información en los considerandos 58 a 73 del RGPD. 

Antes de describir con más detalle los ocho (8) derechos fundamentales mencionados anteriormente que los interesados tienen en virtud del RGPD, es importante comprender cómo debe actuar la empresa cuando un interesado presenta una solicitud para que se cumpla un derecho. Por lo tanto, comenzamos describiendo el proceso a continuación y las reglas asociadas en torno a esto. A continuación se presenta un resumen de los ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD.

What breaches of the GDPR can lead to an administrative fine?

¿Cuál es el límite de tiempo para las empresas cuando un interesado solicita que se le otorgue un derecho?

Cuando una empresa reciba una solicitud de un interesado invocando sus derechos en virtud del RGPD, la empresa tramitará la solicitud sin demora indebida. Por ejemplo, cuando un interesado solicita la supresión de sus datos personales de conformidad con el artículo 17 del RGPD. Es importante tener en cuenta que la empresa debe manejar la solicitud dentro de un (1) mes de la recepción. Esta es la regla principal. 

Prórroga del plazo para responder a las solicitudes de los interesados de que se les conceda un derecho

En algunos casos, puede ser posible que una empresa obtenga una extensión del plazo de acuerdo con la regla principal. Sin embargo, en tales casos, el interesado debe ser informado de la prórroga dentro del primer mes. El plazo puede ampliarse por un máximo de otros dos meses, dando a la empresa un total de tres meses para tramitar la solicitud. 

Tenga en cuenta que la empresa debe poder justificar su decisión de ampliación y proporcionar la justificación al interesado. Un ejemplo de cuándo se puede considerar una extensión es si la empresa ha recibido un gran número de solicitudes al mismo tiempo. Sin embargo, muy pocas empresas y circunstancias pueden justificar una prórroga válida del plazo.

Coste para que los interesados ejerzan sus derechos

No debe costar a los interesados que se cumplan sus derechos en virtud del RGPD. Por lo tanto, de acuerdo con la regla general, los interesados tienen derecho a acceder a la información, sus datos personales corregidos, eliminados, etc. de forma gratuita. Sin embargo, hay ciertas excepciones a esta regla general. Por ejemplo, una empresa puede cobrar una tarifa, si la solicitud del interesado es manifiestamente infundada o excesiva. Por ejemplo, en caso de múltiples solicitudes de la misma persona.

Identificación de los interesados que solicitan la concesión de un derecho

La empresa debe poder identificar a los interesados que solicitan que se les otorgue un derecho. Si no, existe el riesgo de que la compañía entregue la información a una persona no autorizada. En tales casos, constituiría una violación de datos personales. Sin embargo, la identificación debe llevarse a cabo de manera proporcionada y razonable. Por ejemplo, puede no ser permisible que una empresa solicite una copia de un documento de identificación al identificar a una persona.

Una empresa debía pagar una multa porque, entre otras cosas, había solicitado una copia de un pasaporte a efectos de identificación en un caso en el que no era proporcionada. El pasaporte contenía más información de la necesaria para demostrar la identidad del interesado. 

Por lo tanto, una empresa puede considerar identificar al interesado haciendo otras preguntas de verificación. Por ejemplo, haciendo preguntas sobre el historial del interesado y la comunicación previa con la empresa, la verificación de los datos de contacto que la empresa ha registrado, etc.

Las empresas pueden negarse a conceder derechos en ciertos casos

En algunos casos, se puede permitir que las empresas se nieguen a conceder un derecho solicitado por un interesado. Por ejemplo, si no pueden identificar al interesado. Lo mismo se aplica si la concesión de un derecho supondría un riesgo para las libertades y los derechos de otra persona. 

Utilizar medidas técnicas y organizativas para hacer valer los derechos

Para estar bien preparados para cumplir con los derechos de los interesados, es importante que la empresa eduque a sus empleados sobre la ley aplicable. También es beneficioso para las empresas elaborar la siguiente documentación y tomar las siguientes medidas:

Aviso de privacidad con información sobre el tratamiento de datos personales

Los interesados tienen derecho a recibir información sobre el tratamiento de sus datos personales por parte de la empresa. La información debe presentarse por escrito y figurar en el denominado «aviso de privacidad». Es beneficioso para las empresas publicar su aviso de privacidad en línea en su sitio web oficial. Por lo general, está disponible en el pie de página del sitio web de una empresa. 

Es importante saber cuándo debe presentarse al interesado la información sobre el tratamiento. Esto siempre debe hacerse en relación con la recopilación de datos personales, si es posible. Los artículos 13 y 14 del RGPD regulan lo que debe contener el aviso de privacidad para cumplir los requisitos mínimos. Además, el aviso de privacidad debe redactarse de manera que el destinatario entienda y en la lengua nacional. No debe ser demasiado complicado formulado.

Measures that companies need to take to comply with GDPR

Información insuficiente sobre varios derechos

Una empresa sueca tuvo que pagar una multa de 7,5 millones de coronas suecas por, entre otras cosas, proporcionar información insuficiente a los interesados sobre sus derechos en virtud del RGPD. Por ejemplo, la información era inadecuada en relación con el derecho de oposición, etc. La autoridad de control consideró que la información no cumplía el requisito de transparencia.

Procedimientos internos que deben seguir los empleados de la empresa al procesar datos personales

Las empresas también deben establecer procedimientos internos escritos que los empleados deben implementar al procesar datos personales. Por ejemplo, rutina para el borrado de datos personales y el manejo de violaciones de datos personales. 

Además de las rutinas, una empresa también puede producir plantillas de respuesta listas para usar, para facilitar la preservación cuando un interesado invoca sus derechos en virtud del RGPD.

Una empresa también necesita tomar e implementar varias soluciones técnicas, con el fin de proteger los datos personales y poder cumplir con los derechos de los interesados.  

Los ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD

He aquí un resumen de los ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD:

Derecho a la información (artículos 12, 13 y 14 del RGPD)

Cuando una empresa procesa datos personales, la empresa debe informar a los interesados sobre el procesamiento. Esto debe hacerse antes de que la empresa comience el procesamiento (si es posible) y ser gratuito. Además, el interesado tiene derecho a solicitar conocer la información durante el procesamiento. En algunos casos, las empresas también deben informar a los interesados cuando se produce una violación de datos personales.

Ejemplos de información que debe facilitarse sobre el tratamiento: 

  • Objeto: La finalidad del tratamiento; 
  • Base jurídica: la base jurídica utilizada por la empresa; 
  • Período de almacenamiento: Cuánto tiempo almacenará la empresa los datos personales; 
  • Derechos:Los derechos de los interesados en virtud del RGPD; 
  • Denuncias: la posibilidad de que el interesado presente una reclamación ante la autoridad nacional de control;
  • Datos de contacto: Datos de contacto del responsable del tratamiento de datos personales. Además, la empresa deberá incluir los datos de contacto del delegado de protección de datos si es nombrado. 

Derecho de acceso (artículo 15 del RGPD)

Cuando una empresa procesa datos personales, los interesados tienen derecho a ponerse en contacto con la empresa para averiguar si están procesando datos personales que les pertenecen o no. El artículo 15 del RGPD regula esto, que constituye el llamado derecho de acceso. En tales casos, el interesado tiene derecho a obtener una copia de los datos personales que la empresa procesa que pertenecen al interesado. 

Ejemplos de información que debe facilitar la empresa al interesado:

  • Copia: Una copia o resumen de los datos personales del interesado que la empresa procesa;
  • Objeto: Cuál es la finalidad del tratamiento:
  • Categorías:Las categorías de datos personales que la empresa procesa; 
  • Período de almacenamiento: La duración de almacenamiento de los datos personales; 
  • Transferencias: Las partes a las que la empresa ha transferido los datos personales. Por ejemplo, procesadores de datos personales u otros terceros. 
  • Origen:Información sobre cómo la empresa obtuvo acceso a los datos personales. Por ejemplo, si es el interesado quien proporcionó la información o un tercero. 

Derecho de rectificación (artículo 16 del RGPD)

Las empresas no tratarán datos personales inexactos o incompletos. Si la empresa descubre que los datos personales son incorrectos o incompletos, los corregirá o completará. Alternativamente, la empresa eliminará los datos personales en cuestión. 

Además, los interesados tienen derecho a solicitar a la empresa que rectifique los datos personales que sean inexactos de conformidad con el artículo 16 del RGPD, que rige el derecho de rectificación. La corrección se llevará a cabo sin demora indebida. Tenga en cuenta que la empresa también debe informar a los interesados después de que hayan realizado una corrección.

Derecho de supresión (artículo 17 del RGPD)

De acuerdo con el RGPD, un interesado tiene derecho a solicitar a una empresa que elimine sus datos personales que la empresa procesa. Así se desprende del artículo 17 del RGPD, que regula el derecho de supresión. Este derecho también se denomina «derecho al olvido». Sin embargo, esto no siempre significa que la empresa deba dejar de procesar y llevar a cabo el borrado. Existen ciertas excepciones que permiten a la empresa tener derecho a continuar procesando los datos personales de todos modos. 

Estos son algunos ejemplos de cuándo las empresas deben eliminar datos personales en caso de una solicitud de este tipo de un interesado: 

  • Cuando los datos personales ya no sean necesarios para la finalidad para la que fueron recogidos; 
  • Si la base jurídica es el consentimiento y el interesado lo retira; 
  • Cuando la finalidad del tratamiento sea la comercialización directa y el interesado solicite la terminación de la empresa; 

Si la empresa ha llevado a cabo un equilibrio de intereses y ha llegado a la conclusión de que la empresa tiene un interés legítimo. Tenga en cuenta que la empresa puede realizar una nueva evaluación de interés legítimo después de recibir la solicitud de eliminación. Si la empresa llega a la conclusión de que tiene un interés legítimo, puede continuar con el tratamiento. Sin embargo, la empresa debe justificar la evaluación, incluida la decisión, e informar al interesado. 

Derecho a la limitación del tratamiento (artículo 18 del RGPD)

En algunos casos, los interesados tienen derecho a solicitar a una empresa que restrinja el tratamiento de sus datos personales. Por ejemplo, en relación con la solicitud del interesado de que se rectifiquen sus datos personales. En tales casos, el interesado tiene derecho a solicitar que la empresa restrinja el procesamiento hasta que haya investigado si los datos personales son correctos o no. Tenga en cuenta que la empresa debe informar al interesado cuando finalice la restricción. 

Derecho a la portabilidad de los datos (artículo 20 del RGPD)

Este derecho significa que, en algunos casos, los interesados tienen derecho a que sus datos personales se transfieran a otra empresa. Por ejemplo, si un interesado tiene una cuenta en un servicio de redes sociales y desea crear una cuenta en otro servicio similar. El requisito del derecho a la portabilidad de los datos es que la base jurídica del tratamiento sea: 

  • Consentimiento; o 
  • Acuerdo con el interesado. 

Derecho de oposición (artículo 21 del RGPD)

Este derecho significa que los interesados pueden oponerse al procesamiento de sus datos personales, a la empresa que los procesa. Sin embargo, esto no siempre significa que la empresa tenga que detener el procesamiento. Por ejemplo, si la empresa puede demostrar que tiene un interés legítimo mediante la realización de una nueva evaluación de interés legítimo, tiene derecho a continuar el procesamiento.  

Aquí hay tres situaciones en las que los interesados tienen derecho a oponerse: 

  • Interés general: Cuando la finalidad del tratamiento sea la realización de una tarea realizada por razones de interés público; 
  • Ejercicio del poder público: Cuando el tratamiento se lleve a cabo en el ejercicio del poder público;
  • Interés legítimo: Cuando el tratamiento tenga lugar tras una ponderación de intereses con un interés legítimo como base jurídica.

Decisiones automatizadas (artículo 22 del RGPD)

Un derecho que los interesados tienen en virtud del RGPD no debe estar sujeto a decisiones automatizadas. En otras palabras, las decisiones tomadas por una máquina sin contacto personal. Un ejemplo de una decisión automatizada es cuando una empresa decide denegar la concesión de un préstamo de crédito a través de un algoritmo. 

Dos casos en los que se permiten decisiones automatizadas: 

  • Cuando el propósito es poder cumplir un contrato. 
  • Cuando una empresa obtenga el consentimiento explícito del interesado;
Más derechos de los interesados en virtud del RGPD

Además de los ocho (8) derechos fundamentales descritos anteriormente que los interesados tienen en virtud del RGPD, también hay varios derechos en el RGPD. Entre otras cosas, el derecho a presentar una reclamación ante la autoridad de control (artículo 77 del RGPD), el derecho a una indemnización por daños y perjuicios (artículo 82 del RGPD) y el derecho a retirar un consentimiento dado (artículo 7, apartado 3, del RGPD). 

Other data protection principles

Legal bases under the GDPR

There are sig legal bases for lawful processing of personal data under the GDPR. Each individual processing of personal data must be conducted based on a legal basis. Such as consent or performance of a contract with the data subject. If a company does not have a legal bases for a processing, the processing is unlawful and shall not be conducted. It is important to have knowledge about the legal bases, for the processing of personal data to be carried out correctly. 

Want to learn more?

Read more
Scroll al inicio