Derechos de los ciudadanos en materia de protección de datos (A4C42A1D01)

Los derechos que recoge la Constitución Española se clasifican en distintas categorías según su relevancia. Los más importantes son los denominados Derechos Fundamentales. El derecho a la protección de los datos personales es un Derecho Fundamental. A partir de ahí, el legislador da contenido a ese derecho por distintas vías: impone deberes a los sujetos que tratan o manipulan datos personales, reconoce derechos más concretos a la ciudadanía o establece mandatos de actuación a los poderes públicos. Este documento desarrolla esos derechos de la ciudadanía en los que se desgaja el derecho a la protección de los datos personales.

El primero de ellos es el derecho a la información. Sus manifestaciones son muy amplias y variadas (por ejemplo, el derecho de acceso que se trata un poco más adelante se puede considerar una concreción del derecho a la información).

Una de las manifestaciones para garantizar este derecho es la imposición al responsable del tratamiento del deber de facilitar determinada información al interesado. La normativa prevé que esa información se pueda facilitar por capas o niveles:

• Primera capa, una información básica.
• Segunda capa, una información detallada.

El contenido de la información varía según los datos personales se obtengan directamente del interesado (por ejemplo, se introducen datos al abrir una cuenta en Facebook o YouTube) o de un tercero (por ejemplo, una cadena hotelera cede ciertos datos personales a una agencia de viajes. para la realización de una campaña de publicidad).

Información que debe facilitarse cuando los datos personales se obtengan del interesado

En la primera capa (información básica), la Agencia Española de Protección de Datos recomienda facilitar la siguiente información:

• La identidad del responsable del tratamiento.
• Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese.
• La base jurídica del tratamiento.
• Si se prevé que los datos puedan ser cedidos a terceros. Previsión o no de transferencias a terceros países.
• La posibilidad de ejercer los derechos que se exponen en este documento.
• Una dirección electrónica u otro medio (por ejemplo, la descarga de un documento pdf) que permita acceder de forma sencilla e inmediata a la restante información.

En la segunda capa (información detallada), se recomienda incluir la siguiente información:

• Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
• Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
• Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
• Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
• Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.

Información que debe facilitarse cuando los datos personales no se obtengan del interesado

Cuando los datos personales no han sido obtenidos del interesado, además de la información que se indica en el apartado anterior, se debe facilitar la siguiente:

En la primera capa (básica):

• La fuente de los datos, esto es, su procedencia

En la segunda capa (detallada):

• La información detallada del origen de los datos, incluso si proceden de fuentes de acceso público. Son fuentes de acceso público, por ej., los diarios y boletines oficiales, los medios de comunicación social, las páginas web, etc.
• La categoría de datos que se traten (por ejemplo, datos identificativos generales como el nombre o teléfono; o datos sensibles como el origen racial o las opiniones religiosas).

Consiste en el derecho del interesado a obtener del responsable del tratamiento confirmación de si se está tratando o no datos personales que le conciernen.

En ese caso, el responsable debe facilitar dos cosas:

• Una copia de esos datos o un sistema de acceso remoto, directo y seguro a ellos
• Una serie de información que coincide con la expuesta
  en la sección anterior (fines del tratamiento, categorías de datos personales, destinatarios, plazo de conservación, etc.)

Este derecho tiene una serie de limitaciones materiales y formales. En cuanto a los materiales, son dos:

• No debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual.
• Ciertos intereses públicos (seguridad del Estado; defensa; seguridad pública; ...).

En cuanto a la limitación formal, cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte, el responsable podrá solicitarle que especifique los datos o actividades de tratamiento a los que se refiere.

El derecho de rectificación tiene dos manifestaciones:

• Por un lado, obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. El interesado debe indicar a qué datos se refiere y la corrección que haya de realizarse.
• Por otro, teniendo en cuenta los fines del tratamiento, el derecho a que se completen los datos personales que sean incompletos. Supone que en aquellos casos en los que la información que aporte el interesado se adecúe a los fines del tratamiento y complete los datos que trata el responsable, éste vendrá obligado a admitirla y a incluirla en su tratamiento (por ej., piénsese en el tratamiento de datos sobre solvencia crediticia).

En el supuesto de que sea necesario, el interesado deberá acompañar a la solicitud la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.

En cualquier caso, el responsable tiene el deber de garantizar la exactitud en los datos que trata, esto es, que es algo que debe hacer incluso de oficio sin solicitud alguna.

El derecho de supresión supone el derecho a obtener sin dilación indebida del responsable del tratamiento la eliminación de los datos personales que le conciernan. Puede ejercerse respecto de la totalidad de los datos que se tratan o sólo sobre alguno de ellos.

Esta supresión es obligatoria cuando concurran algunas de las siguientes circunstancias:

1. Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
2. El interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico. 
3. El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para dicho tratamiento.
4. Los datos personales hayan sido tratados ilícitamente.
5. Los datos personales deban suprimirse para el cumplimiento de una obligación legal.
6. Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información relativos a los niños.

Cuando el derecho de supresión se ejerce sobre datos que se hayan hecho públicos, se habla del derecho al olvido. Por tanto, el derecho al olvido sólo se exige frente al responsable que haya publicado los datos personales y no alcanza a los supuestos de mera comunicación de datos, esto es, cuando esos datos se hayan facilitado a personas o entidades singulares.

En cualquier caso, el derecho de supresión no es absoluto y la normativa prevé una serie de supuestos en los que no procede, aunque con determinadas condiciones. Los más relevantes:

1. Para ejercer el derecho a la libertad de expresión e información (piénsese, por ej., en las noticias publicadas en prensa digital).
2. Para el cumplimiento de una obligación legal que requiera el tratamiento de datos y que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable (por ej., ciertos datos de investigaciones policiales o penales).
3. Por razones de interés público en el ámbito de la salud pública.
4. Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
5. Para la formulación, el ejercicio o la defensa de reclamaciones.

Es el derecho a obtener del responsable el marcado de los datos personales conservados con el fin de limitar su tratamiento de manera provisional cuando proceda alguna de las siguientes circunstancias:

• El interesado impugne la exactitud de los datos, mientras el responsable la verifica.
• El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso. En este caso, lo que se pretende fundamentalmente es evitar que se destruyan las pruebas acreditativas de la infracción cometida por el responsable.
• El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para el ejercicio o la defensa de reclamaciones.
• El interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos invocados por el responsable para continuar el tratamiento prevalecen sobre los del interesado.

Mientras dure esa limitación, los datos sólo podrán ser objeto de tratamiento, con excepción de su conservación, por una serie de motivos tasados: consentimiento del interesado, formulación de reclamaciones, protección de los derechos de otra persona y razones de interés público.

Como acaba de exponerse, esta limitación se regula como un derecho del interesado y no como un deber del responsable del tratamiento. Esto es, el responsable del tratamiento no tiene el deber de proceder de oficio a la limitación del tratamiento cuando concurran algunas de las circunstancias expuestas, sino que para que ello ocurra el interesado habrá de ejercer expresamente este derecho.

Consiste en el derecho del interesado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

Los datos sobre los que se puede ejercer este derecho son aquellos que el interesado haya facilitado. Estos no son solo aquellos que de manera consciente y activa entregó la persona interesada (por ejemplo, a través de un formulario), sino que también están incluidos en esta noción aquellos obtenidos a partir de la actividad del usuario en el uso de un servicio o de un dispositivo, para los que no se produce realmente una entrega activa de los mismos (por ejemplo, el historial de actividad física de un usuario registrado en una app de entrenamiento). Se excluyen los datos creados por el responsable del tratamiento (por ejemplo, las puntuaciones o estadísticas que esa app genere a partir de esos datos). Este derecho está sometido a dos condiciones:

1. Que el tratamiento esté basado en el consentimiento o en un contrato. Si las causas de licitud del tratamiento son otras (por ejemplo, una obligación legal), los datos no podrán ser objeto de este derecho.
2. Que el tratamiento se efectúe por medios automatizados.

Al ejercer este derecho, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Por ejemplo, la portabilidad de los datos de los recibos domiciliados que una persona tiene en una entidad bancaria a otra entidad bancaria.

Son evidentes las implicaciones y dificultades de orden práctico y técnico que puede conllevar el ejercicio de este derecho. Piénsese, en la extensión de los datos de carácter personales, de todo tipo y en diferente formato, que se mueven por las diferentes redes sociales, blogs, servicios de cloud computing, de correo electrónico, etc. A todos estos servicios se les confía el almacenamiento y tratamiento masivo de datos de carácter personal. De lo que se trata es de establecer mecanismos jurídicos que impidan, bajo el argumento de dificultades técnicas, que los interesados quedan cautivos digitales de por vida de un concreto proveedor. Además, ello origina un efecto beneficioso para la promoción de la competencia.

Por estos motivos, es necesario elaborar un conjunto de normas y formatos comunes que sean interoperables a fin de responder a los requisitos del derecho a la portabilidad de datos. No obstante, es inmenso el camino que queda por recorrer.

En cuanto a la diferencia entre este derecho y el derecho de acceso, la portabilidad garantiza al interesado la obtención de una copia de la información susceptible de ser procesada fácilmente por otro sujeto, mientras que el acceso se limita a garantizar la información en sí misma. Esta diferencia tiene también consecuencias en cuanto a la forma de cumplir con la solicitud de ejercicio del derecho. En el derecho de acceso, los datos deben facilitarse al interesado en un formato de lectura accesible, que le permita conocer y entender la información.

En el derecho a la portabilidad, los datos se pueden facilitar en un formato incomprensible para el ser humano, pero sí para el tratamiento informatizado. También puede establecerse alguna diferencia entre ambos derechos en cuanto a su alcance. Por ejemplo, un sujeto tiene derecho de acceso a su historia clínica en un hospital privado. Eso incluye las pruebas médicas y el diagnóstico. Pero si el interesado solicita la portabilidad a otro hospital privado, se puede limitar a los resultados de las pruebas en bruto -los datos-, sin incluir los diagnósticos médicos -que es información generada por el responsable-.

El derecho de oposición atribuye al interesado la facultad para impedir el tratamiento de sus datos personales. Hay dos supuestos:

• Cuando el tratamiento tenga por objeto la mercadotecnia directa (publicidad) o la elaboración de perfiles relacionados con dicha mercadotecnia, el interesado podrá oponerse sin necesidad de justificación alguna y debe necesariamente aceptarse por el responsable.
• Cuando el tratamiento tenga como fundamento el interés público, el ejercicio de poderes públicos o el interés legítimo del responsable o de un tercero, deberá motivar esa oposición en función de su situación particular.

Por ejemplo, una Universidad pública, sobre la base de su misión realizada en interés público, impone a sus alumnos que enciendan las cámaras en la docencia on line. No obstante, un alumno, por su especiales circunstancias personales y familiares (sólo pudiera conectarse en lugares donde hay otros miembros de la familia), puede ejercer su derecho de oposición a este tratamiento.

En este segundo supuesto, el responsable puede seguir tratando los datos si acredita motivos legítimos que prevalezcan sobre los del interesado. Por ejemplo, posiblemente la Universidad podría imponer la medida anterior si fuera para verificar la identidad del alumno a la hora de efectuar un examen.

En cualquier caso, es necesario que el responsable responda al interesado expresando los motivos por los que rechaza su solicitud de oposición.