Dentro de la normativa en materia de protección de datos los interesados cuentan con una serie de derechos que pueden ejercitar ante el responsable del tratamiento de sus datos de carácter personal, dichos derechos se encuentran recogidos en las disposiciones del Capítulo II de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y de garantía de los derechos digitales (LOPDGDD) y de la Sección III del Reglamento Europeo en materia de protección de Datos (RGPD).En concreto el interesado cuenta con los siguientes derechos, conocidos comúnmente como Derechos ARSOPOL, por sus siglas:
- Derecho de Acceso: Derecho a dirigirse al responsable del tratamiento para conocer si están tratando o no los datos y en qué términos. Íntimamente ligado con el principio de información y transparencia.
- Derecho de Rectificación: Derecho a que se modifiquen, sin dilación indebida, los datos que resulten ser inexactos o incompletos.
- Derecho de Supresión: Derecho a que un interesado solicite la supresión de los datos cuando concurra alguno de los supuestos contemplados en la norma.
- Derecho de Oposición: Derecho a que el interesado se oponga al tratamiento de sus datos en determinados supuestos tasados en el articulado referenciado.
- Derecho de Portabilidad: Derecho a recibir los datos personales, que haya facilitado un interesado a un responsable, y a transmitirlos a otro responsable del tratamiento.
- Derecho de Oposición: Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado.
- Derecho de Limitación: Derecho a obtener la limitación del tratamiento de los datos cuando se cumpla alguna condición prevista en la norma.
Además, los derechos indicados se caracterizan por lo siguiente:
- Su ejercicio es gratuito
- Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable del tratamiento podrá:
- Cobrar un canon proporcional a los costes administrativos soportados
- Negarse a actuar
- Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
- El responsable está obligado a informar al interesado sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que se opte por otro medio.
- Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
- Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
- El interesado puede ejercer los derechos directamente por medio de su representante legal o voluntario.
Pero ¿Qué ocurre si una entidad no atiende un ejercicio de derecho de un interesado?
En este caso, la entidad puede enfrentarse a sanciones económicas por parte de la autoridad de control, como ocurre en la resolución de la Agencia Española de Protección de Datos (AEPD) que vamos a analizar en el presente artículo, PS 00522-2023;
La interesada interpone una reclamación ante la AEPD alegando lo siguiente:
En el escrito de reclamación presentado por el reclamante se manifiesta que, el 27/01/23 envió un correo electrónico a la parte reclamada en el que solicitaba ejercer su derecho de borrado de todos sus datos personales que hubiera en los sistemas de parte reclamada para que no volvieran a enviarle más comunicaciones comerciales y el 30/01/23 recibe el acuse de recibo indicándole que “lo van a pasar al personal responsable”.
El día 23/04/23 el reclamante vuelve a enviar un correo electrónico a la parte reclamada recordando que aún no han borrado sus datos personales pues aún tiene acceso al sistema con sus datos y sus claves, contestándole que el borrado de sus datos se realizará inmediatamente, pero pese a ello, vuelve a recibir otros dos correos electrónicos publicitarios el 21/06/23 y el 01/07/23. Con fecha 03/08/23, como contestación al requerimiento hecho por parte de la AEPD, la parte reclamada manifiesta que la entidad se encontraba en un periodo de transición de una plataforma web a otra cuando ocurrieron los hechos y que, durante ese proceso de migración se produjo una situación inesperada que resultó en el cruce de algunos datos de clientes antiguos siendo un incidente aislado por lo que pedía disculpas y garantizaba que dicha situación no volvería a ocurrir en el futuro pues habían puesto los medios técnicos necesarios para ello.
En paralelo con lo anterior, el reclamante recibe, con fecha 26/07/23, un correo electrónico de la parte reclamada en el que le piden disculpas por los errores cometidos y le aseguran que han eliminado de forma definitiva todos sus datos personales de sus listas de difusión. No obstante, el día 11/08/23, el reclamante vuelve a recibir un nuevo correo electrónico publicitario desde la dirección de la entidad reclamada.
A lo ocurrido, la entidad reclamada alega que el error ocurrido en sus sistemas resultó en que no procedieran al borrado completo de todas las listas de difusión asociadas a su cuenta, a pesar de que la interesada solicitase expresamente su baja. Reconocen que esto fue una falta por su parte e indican que han revisado cuidadosamente sus procesos para asegurarse de que no se repita en el futuro.
A pesar de las disculpas y el reconocimiento, la autoridad de control (AEPD) ha estimado conveniente proceder a la sanción de la entidad reclamada, puesto que entiende que ha quedado constatado que la parte reclamante solicitó la supresión de sus datos personales en dos ocasiones. La primera el día 27/01/23, y la segunda el día 23/04/23, recibiendo en ambos casos el acuse de recibo correspondiente de la parte reclamada. Por tanto, se considera que la parte reclamante solicitó inicialmente la supresión de sus datos personales hasta en dos ocasiones, solicitud que no fue atendida, pues incluso, después de haber declarado ante la AEPD que los datos personales del reclamante habían sido borrados, se volvieron a utilizar para enviarle un nuevo correo electrónico publicitario por lo que estos hechos son constitutivos de una infracción, imputable a la parte reclamada por vulneración del artículo 17 del RGPD.
En este caso considerando la gravedad de la infracción constatada, atendiendo especialmente a las consecuencias que su comisión provoca en la parte reclamante, procede la imposición de multa, además de la adopción de medidas, en su caso, además considerando los factores expuestos, la valoración inicial que alcanza la multa por la infracción del artículo 17 del RGPD, es de 10.000 euros. A esta cantidad final se le puede aplicar la reducción por el pago voluntario de la sanción es acumulable a la que corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular alegaciones a la apertura del procedimiento. El pago voluntario con reducción del 20% de la sanción (quedaría finalmente en 8.000€) podrá hacerse en cualquier momento anterior a la resolución. En este caso, si procediera aplicar ambas reducciones (tanto pago voluntario como reconocimiento de la responsabilidad), el importe de la sanción quedaría establecido en 6.000 euros.
Tras la resolución, la entidad reclamada procede al pago de la sanción en la cuantía de 6000 euros haciendo uso de las dos reducciones previstas en el Acuerdo de inicio explicado en el párrafo anterior, lo que implica el reconocimiento de la responsabilidad y la renuncia a cualquier acción o recurso en vía administrativa contra la sanción.
Para finalizar no quiero perder la oportunidad de dar una serie de pautas desde distintos puntos de vista en la materia que trae causa del presente artículo.
Como hemos podido comprobar a lo largo del artículo, si eres un interesado afectado por la no atención o atención incompleta/incorrecta de un ejercicio de derechos en materia de protección de datos tienes a tu disposición a la autoridad de control (AEPD) para poder interponer una reclamación al respecto, siempre contando con pruebas como hemos visto en el presente caso. Asimismo, como ciudadano cuentas con una Guía para el ciudadano en materia de protección de datos creada por la AEPD que puede serte de mucha ayuda.
En caso contrario, si estas leyendo el presente artículo y eres una entidad que quiere cumplir con la normativa en materia de protección de datos, en lo relativo al ejercicio de derechos y para evitar una sanción como la que hemos analizado en esta publicación te aconsejo de seguir los siguientes tips;
- Cuenta con un procedimiento interno en el que se detalle como atender los ejercicios de derechos de los interesados, de esta manera todo el personal de la entidad conocerá como hacerlo de manera correcta.
- Establece un email al efecto, para tener centralizadas dichas solicitudes y que una persona experta en materia de protección de datos (como por ejemplo el delegado de protección de datos) pueda gestionar todas las solicitudes.
- Comprueba la identidad de los solicitantes, hemos de asegurarnos de que la persona que solicita el ejercicio de derecho es quien dice ser, eso sí siempre sin pedir datos desproporcionados (por ejemplo, si no he pedido el DNI al inicio de la relación contractual no deberé de solicitarle para atender este ejercicio de derechos). No olvides que también se puede ejercitar un derecho de acceso mediante representante legal o voluntario.
- Responde al interesado indicándole los plazos con los que cuenta la entidad para que entienda que estáis revisando su solicitud, recuerda que como regla general cuentas con un mes desde la recepción del ejercicio de derechos.
- Asegúrate de que has atendido correctamente la solicitud antes de dar la respuesta final al interesado, de esta manera no te ocurrirá como a la entidad que hemos visto en el presente artículo y evitaras una sanción.
- Da la respuesta final, realizando una respuesta fundada en derecho sobre la resolución o no del ejercicio de derechos que se te haya solicitado. Si como responsable no das curso a la solicitud, informa y a más tardar en un mes, de las razones de tu no actuación y la posibilidad de reclamar ante una Autoridad de Control.