Derechos de los interesados

1 – PROCEDIMIENTOS DE RESPUESTA AL EJERCICIO DE DERECHOS.

El afectado o interesado puede ejercitar sus derechos por cualquier medio: personalmente (in situ), carta, fax, teléfono o e-mail, pero siempre ha de quedar acreditada la recepción de dicha solicitud. La recomendación es atender con la máxima prioridad y eficiencia las solicitudes realizadas por parte de los interesados, transmitiendo seriedad y profesionalidad.

Se considera afectado o interesado a la persona física de la cual LA EMPRESA realice un tratamiento de datos de carácter personal en un fichero propiedad del Responsable.

RESPONSABILIDADES ANTE EL EJERCICIO DE UN DERECHO

En caso de que LA EMPRESA recibiera una comunicación, por cualquiera que sea el medio, en la que se solicitara el ejercicio de los derechos de acceso, rectificación, supresión, oposición y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles), limitación del tratamiento y portabilidad de datos, el empleado receptor de la misma lo pondrá inmediatamente en conocimiento del RESPONSABLE de LA EMPRESA o en su caso al Delegado de Protección de Datos (en adelante DPD), para proceder a la contestación dependiendo del derecho solicitado por el interesado.

PRINCIPIOS ESENCIALES ANTE EL EJERCICIO DE UN DERECHOS

El RGPD exige que el Responsable del tratamiento ha de tomar las medidas oportunas para facilitar al interesado toda la información relativa al tratamiento de sus datos personales, en forma concisa, transparente, inteligible y de fácil acceso. Asimismo, se habrá de utilizar un lenguaje claro y sencillo, y en particular cualquier información dirigida a un menor de edad.

Esta información será facilitada por escrito u otros medios análogos informáticos, inclusive (si procede) de medios electrónicos. Adicionalmente, es necesario traer a colación que el RGPD permite que, a petición del interesado, la información podrá facilitarse verbalmente siempre que demuestre la identidad del interesado por otros medios.

2 – PROCEDIMIENTO DE RESPUESTA AL EJERCICIO DE UN DERECHO

El afectado puede solicitar en cualquier momento y de forma totalmente gratuita a acceder, rectificar, suprimir, oponerse (así como a no ser objeto de decisiones individualizadas automatizadas), a limitar el tratamiento y a solicitar la portabilidad de los datos que sobre su persona obren en poder de LA EMPRESA.

Se designa a una persona como Responsable del procedimiento de forma que a través de él se canalice todo el procedimiento de ejercicio de derechos

3 – FASES COMUNES DEL PROCEDIMIENTO

  1. Cualquier empleado deberá atender la petición del afectado en el momento de la solicitud por cualquier medio en que lo ejerciten.
  2. Ante conocimiento del ejercicio de tal derecho, el empleado deberá notificarse a la persona anteriormente asignada para la contestación de tal solicitud.
  3. En caso de rectificaciones de datos de carácter personal que se realicen por teléfono, el receptor del ejercicio de este derecho realizará comprobaciones en los datos contenidos en sus aplicaciones con el fin de comprobar la identidad del llamante. Comunicándole el empleado al interesado que sus datos han sido rectificados, y preguntándole si desea confirmación de su derecho por escrito.
  4. En el caso de peticiones in situ por parte del afectado, se hará entrega al afectado del formulario de ejercicio de derechos correspondiente para dejar constancia del ejercicio del derecho, y fotocopiará el DNI o documento acreditativo de la personalidad del afectado que deberá firmarlo y se le dará copia estampando el sello de la Empresa. En cualquier caso siempre se deberá notificar a la persona asignada en el presente documento del ejercicio y/o entrega de los formularios.
  5. Todo ejercicio de derechos realizado por un afectado será puesto en conocimiento del Responsable del Tratamiento, y en su caso del Delegado de Protección de Datos (DPD) y de todas aquellas empresas a las cuales se hayan cedido los datos o a empresas que accedan a los mismos.

4 – CUESTIONES GENERALES DEL PROCEDIMIENTO

  1. El Responsable del Tratamiento tomará las medidas oportunas indicadas para informar al interesado de forma concisa, transparente, inteligible y de fácil acceso con un lenguaje claro y sencillo.
  1. Obligatoriamente se le deberá contestar al interesado ante cualquier solicitud de derechos.
  1. El plazo estipulado en el artículo 12.3 del RGPD es de un mes a partir de la recepción de la solicitud. Puede existir una prorroga de otros dos meses en atención a la complejidad, así como del número de solicitudes. En caso de dicha dilación, se deberá indicar los motivos.
  1. Si no se contesta a la solicitud se deberá informar, como plazo máximo en un mes, explicando los motivos y razones de la negativa de contestación, dando al interesado la posibilidad de dirigirse a una autoridad de control o de ejercitar otras acciones judiciales.
  1. Cualquier ejercicio de los derechos que la normativa de protección de datos pone a disposición de los interesados, así como la información facilitada será gratuita. No obstante, ante solicitudes infundadas, excesivas o repetitivas por un mismo interesado en cortos periodos de tiempo, el RGPD permite el cobro de un canon o tasa razonable a razón de los costes administrativos; o en su caso se podría negar a actuar respecto a dicha solicitud.
  1. Ante dudas razonables en relación con la identidad de la personal, el Responsable del Tratamiento podrá solicitar información adicional al interesado para poder confirmar correctamente y sin ningún género de duda la identidad de quien ejercita tal solicitud.
  1. Finalmente, en el caso de que el interesado haya utilizado medios electrónicos para el ejercicio de sus derechos, el Responsable del tratamiento, y por ende quien sea el responsable para la contestación de tales derechos, deberá utilizar dichos medios para proceder a la contestación.

5 – DERECHO DE ACCESO (artículo 15 y Considerandos 63 y 64 RGPD)

El afectado puede en cualquier momento solicitar acceder a los datos que sobre su persona obren en poder de LA EMPRESA.

  1. El Responsable del Tratamiento analizará la situación para comunicar la resolución al afectado antes de treinta (30) días, a contar desde la recepción de la solicitud, procediendo según el caso. Dicho plazo podrá prorrogarse otros dos (2) meses en caso necesario dependiendo de la complejidad y el número de solicitudes registradas. No obstante si se produjera dicha dilación, se deberá motivar dicha prórroga.
 Puntos a tener en cuentaEs muy importante verificar si el afectado ha ejercido algún tipo de derecho con anterioridad con el fin de tener todos los datos para realizar un análisis exhaustivo de cara a la resolución.En caso de tener algún dato del interesado, es especialmente importante verificar que no ha solicitado previamente la cancelación de alguno de ellos (facilitar datos cuya cancelación ha sido solicitada puede suponer un grave problema).

 

  1. Si la resolución es atender la solicitud, se recabarán internamente los datos necesarios, remitiendo al afectado la siguiente información:
  1. Finalidad del tratamiento.
  2. Categoría de los datos tratados.
  3. Destinatario de sus datos.
  4. Plazo de conservación.
  5. Existencia de otros derechos (rectificación, supresión, limitación y/u oposición).
  6. Reclamación ante la Autoridad de Control (AEPD).
  7. Origen de la fuente de obtención de los datos.
  8. Existencia de decisiones individuales automatizadas y/o elaboración de perfiles.
  9. Transferencia internacional de datos y garantías implantadas para su realización.

Adicionalmente y de forma obligatoria, se deberá facilitar copia de los datos objeto de tratamiento de forma sencilla para que el interesado pueda verificar y conocer la licitud del tratamiento. En el caso de que el interesado solicitase una segunda copia de la documentación solicitada, esta podrá ser remunerada con una tasa o canon razonable (artículo 15.3 y Considerando 63 RGPD). El Responsable del tratamiento está habilitado para solicitar al interesado mayor concreción de lo que exactamente solicita.

En el caso de que el interesado ejercitase dicha solicitud a través de medios electrónicos, y a menos que el interesado solicite otro medio, la información se facilitará en un formato electrónico de uso común.

 

  1. Si se decide no atender la solicitud, se deberá informar al interesado en el plazo máximo de un (1) mes desde la recepción de su solicitud, explicando las razones de su no actuación así como la posibilidad de reclamar ante una autoridad de control y la posibilidad de ejercitar acciones judiciales.

 

  1. Si el Responsable del tratamiento tiene dudas razonables en relación con la identidad de la persona física que cursa la solicitud, se podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del interesado.

5.1 - Solicitud de acceso a los datos personales.

6 – DERECHO DE RECTIFICACIÓN (artículo 16 y Considerando 65)

El afectado puede solicitar en cualquier momento que LA EMPRESA rectifique los datos que obren en su poder.

  1. El RESPONSABLE analizará la situación para comunicar la resolución al afectado antes de un (1) mes a contar desde la recepción de la solicitud. El Responsable del Tratamiento, comunicará al afectado los datos antiguos y los nuevos datos rectificados que, desde el momento de su solicitud, serán los que figuren en LA EMPRESA.

Dicho plazo podrá prorrogarse otros dos (2) meses en caso necesario dependiendo de la complejidad y el número de solicitudes registradas. No obstante si se produjera dicha dilación, se deberá motivar dicha prórroga.

  1. Asimismo el interesado tendrá derecho a que se completen los datos personales que sean incompletos inclusive mediante una declaración adicional.
  1. Si el Responsable del Tratamiento no da curso a la solicitud del interesado, le informará sin dilación y a más tardar en el plazo de un (1) mes desde la recepción de la solicitud, indicando las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales.
  1. En su caso, el RESPONSABLE velará por que en las distintas aplicaciones disponibles en LA EMPRESA se realicen las rectificaciones de los datos del afectado.
  1. La comunicación de la resolución será realizada por el RESPONSABLE al afectado por correo certificado con acuse de recibo en el plazo máximo de un (1) mes desde la comunicación de ejercicio del derecho por parte del afectado.

6.1 – Solicitud de rectificación de los datos personales.

7 – DERECHO DE SUPRESIÓN (artículo 17 y Considerando 65 y 66)

El afectado puede solicitar en cualquier momento que LA EMPRESA la supresión de los datos que obren en su poder en base del Responsable del Tratamiento.

  1. El RESPONSABLE analizará la situación para comunicar la resolución al afectado antes de un (1) mes a contar desde la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos (2) meses en caso necesario dependiendo de la complejidad y el número de solicitudes registradas. No obstante si se produjera dicha dilación, se deberá motivar dicha prórroga.
  1. Si el Responsable del Tratamiento no da curso a la solicitud del interesado, le informará sin dilación y a más tardar en el plazo de un (1) mes desde la recepción de la solicitud, indicando las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales.
  1. En su caso, el RESPONSABLE velará por que en las distintas aplicaciones disponibles en LA EMPRESA se realicen las supresiones de los datos del afectado.
  1. La comunicación de la resolución será realizada por el RESPONSABLE al afectado por correo certificado con acuse de recibo en el plazo máximo de un (1) mes desde la comunicación de ejercicio del derecho por parte del afectado.
  1. El derecho de supresión de los datos se produce bajo los siguientes supuestos:
    1. Cuando los datos personales ya no son necesarios con la relación con los fines para los que fueron recogidos o tratados de otro modo.
    2. Cuando el interesado haya retirado su consentimiento.
    3. El interesado se oponga al tratamiento.
    4. Los datos hayan sido tratados ilícitamente.
    5. Hayan de ser suprimirse en base al cumplimiento de una obligación legal.
  1. A colación del principio de supresión, es importante traer a colación el derecho al bloqueo de datos establecido en el artículo 17 así como el Considerando 65 del RGPD. Según dichos preceptos aunque los datos tratados por el Responsable dejen de ser útiles o necesarios, los datos no serán suprimidos cuando sean necesarios:
    1. Para ejercer el derecho a la libertad de expresión e información.
    2. Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que sea aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público.
    3. Por razones de interés público.
    4. Con fines de archivo en interés público, fines de investigación científica o histórica.
    5. Formulación, el ejercicio o la defensa de reclamaciones.

7.1 – Solicitud de supresión de los datos personales.

8 – DERECHO DE LIMITACIÓN DEL TRATAMIENTO (artículo 18 y Considerando 67)

El afectado puede solicitar en cualquier momento que LA EMPRESA, limite el tratamiento de los datos que obren en su poder en base del Responsable del Tratamiento, siempre siguiendo alguno de los supuestos contemplados en el punto 5 del presente documento.

  1. El RESPONSABLE analizará la situación para comunicar la resolución al afectado antes de un (1) mes a contar desde la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos (2) meses en caso necesario dependiendo de la complejidad y el número de solicitudes registradas. No obstante si se produjera dicha dilación, se deberá motivar dicha prórroga.
  1. Si el Responsable del Tratamiento no da curso a la solicitud del interesado, le informará sin dilación y a más tardar en el plazo de un (1) mes desde la recepción de la solicitud, indicando las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales.
  1. En su caso, el RESPONSABLE velará por que en las distintas aplicaciones disponibles en LA EMPRESA se realicen dicha limitación del tratamiento de los datos del afectado.
  1. La comunicación de la resolución será realizada por el RESPONSABLE al afectado por correo certificado con acuse de recibo en el plazo máximo de un (1) mes desde la comunicación de ejercicio del derecho por parte del afectado.
  1. El interesado tendrá derecho a obtener del responsable dicha limitación del tratamiento bajo alguna de las siguientes circunstancias:
  1. El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.
  2. Tratamiento sea ilícito y el interesado se oponga a su supresión.
  3. El responsable ya no necesite los datos personales para los fines del tratamiento pero el interesado lo necesite para la formulación, el ejercicio o la defensa de reclamaciones.
  4. Cuando el interesado haya opuesto al tratamiento en virtud del artículo 21.

8.1 – Solicitud de limitación del tratamiento de los datos personales.

9 – DERECHO DE PORTABILIDAD (artículo 20 y Considerando 68)

El afectado puede solicitar en cualquier momento que LA EMPRESA entregue al interesado los datos personales que le incumba, que éstos hayan sido entregados / facilitados a un responsable del tratamiento en un formato estructurado, de uso común y lectura mecánica y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, siempre y cuando este tratamiento esté basado en el consentimiento y se haya efectuado por medios automatizados.

  1. El RESPONSABLE analizará la situación para comunicar la resolución al afectado antes de un (1) mes a contar desde la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos (2) meses en caso necesario dependiendo de la complejidad y el número de solicitudes registradas. No obstante si se produjera dicha dilación, se deberá motivar dicha prórroga.
  1. Si el Responsable del Tratamiento no da curso a la solicitud del interesado, le informará sin dilación y a más tardar en el plazo de un (1) mes desde la recepción de la solicitud, indicando las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales.
  1. La comunicación de la resolución será realizada por el RESPONSABLE al afectado por correo certificado con acuse de recibo en el plazo máximo de un (1) mes o en su caso por medios electrónicos (sí así lo ha iniciado el interesado) desde la comunicación de ejercicio del derecho por parte del afectado.
  1. Al ejercer su derecho a la portabilidad de los datos el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
  1. Este derecho no afectará negativamente a derechos y libertades de otros.

 9.1 – Solicitud de portabilidad de los datos personales.

10 – DERECHO DE OPOSICIÓN (artículo 21 y Considerando 69 y 70)

El interesado puede oponerse al envío de publicidad o a cualquier otro tratamiento diferente a la finalidad estricta para la que se recogen los datos.

  1. LA EMPRESA analizará la situación para comunicar la resolución al afectado antes del plazo de treinta (30) días, a contar desde la recepción de la solicitud, procediendo según el caso:
    • Si la resolución es atender la solicitud, se procederá a comunicar al afectado que sus datos no serán objeto del tratamiento especificado, bien con carácter general o bien para aquellos terceros que haya indicado en caso de oposición a la cesión de datos.
    • Si la resolución es no atender la solicitud, se informará al interesado de los motivos formales por los que no se atiende la misma, motivando también el motivo del plazo de dicha prorroga.
  1. En su caso, el RESPONSABLE velará por que en las distintas aplicaciones disponibles en LA EMPRESA se realicen las indicaciones necesarias para garantizar los derechos del afectado.
  1. La comunicación de la resolución será realizada por el RESPONSABLE al afectado por correo certificado con acuse de recibo (en su caso por medios informáticos, si el interesado lo ejercitó por esas vías) en el plazo máximo de treinta (30) días desde la comunicación de ejercicio del derecho por parte del afectado.
  1. El interesado podrá oponerse en cualquier momento a que datos personales que le conciernan sean objeto del tratamiento. El Responsable dejará tratar los datos personales salvo que acredite motivos legítimos para el tratamiento que prevalezca sobre los intereses, o para la formulación, el ejercicio o la defensa de reclamaciones.
  1. Cuando el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse al tratamiento en cualquier momento (incluida la elaboración de perfiles). Por ello, cuando el interesado se oponga al tratamiento, los datos personales dejarán de ser tratados para dichos fines.
  1. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho por motivos relacionados con su situación particular a oponerse al tratamiento de datos personales que le conciernan.

10.1 – Solicitud de oposión al tratamiento de los datos personales.

11 – DERECHO A LIMITAR DECISIONES INDIVIDUALIZADAS AUTOMATIZADAS (artículo 22)

El interesado tendrá derecho a no ser objeto de tratamientos basados en elaboración de perfiles. Este supuesto solo podría plasmarse si el tratamiento de datos se realiza de forma automatizada y que éstos produzcan efectos jurídicos o afecten al interesado de forma similar.

  1. El Responsable del Tratamiento (LA EMPRESA) analizará la situación para comunicar la resolución al afectado antes de treinta (30) días, a contar desde la recepción de la solicitud, procediendo según el caso. Dicho plazo podrá prorrogarse otros dos (2) meses en caso necesario dependiendo de la complejidad y el número de solicitudes registradas. No obstante si se produjera dicha dilación, se deberá motivar dicha prórroga.
  1. Existen excepciones a los presentes principios:
  1. Cuando dichos datos son necesarios para la celebración o ejecución de un contrato y un responsable del tratamiento.
  2. Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
  3. Se basa en el consentimiento explicito del interesado.
  1. El responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

11.1 – Solicitud del derecho de limitar las decisiones individuales automatizadas.