El procedimiento para el ejercicio de los derechos contemplado en el GDPR
El GDPR obliga a los responsables del tratamiento de los datos a proporcionar un procedimiento accesible, sencillo y visible, incluyendo medios electrónicos, máxime si el tratamiento tiene lugar por estos medios.
El procedimiento deberá ser gratuito, salvo en los casos en los que el responsable pueda probar el carácter infundado o excesivo de la solicitud, pudiendo cobrarse un canon equivalente al coste de la tramitación de dicha solicitud.
Así mismo, dicho procedimiento debe incluir medios para que el interesado pueda acreditar el ejercicio de sus derechos por vía electrónica. Deberá incluir además la verificación de la identidad del interesado que realice la solicitud.
El nuevo GDPR obliga a los responsables del tratamiento de los datos a proporcionar un procedimiento accesible, sencillo y visible, que incluya medios electrónicos, para que el usuario pueda ejercer sus derechos.
Por otro lado, el GDPR también recoge que el responsable debe informar al interesado sobre aquellas actuaciones realizadas como resultado de su petición, así como de los motivos de no tramitar su solicitud, en caso de que se proceda de este modo. Esta información deberá realizarse en un plazo de uno o dos meses, tratándose de solicitudes complejas.
El GDPR recoge los tradicionales derechos ARCO de acceso, rectificación, cancelación y oposición, si bien con unas ligeras modificaciones. Además, contempla el derecho al olvido, a la limitación del tratamiento y a la portabilidad de los datos.
Los derechos ARCO
El GDPR recoge los tradicionales derechos ARCO (de acceso, rectificación, cancelación y oposición) que ya se contemplaban en la anterior legislación, la LOPD.
No obstante, el derecho de acceso se ha visto ligeramente modificado en el GDPR. Ahora los interesados tienen derecho a acceder a sus datos, pudiéndose satisfacer este derecho por vía de acceso remoto seguro. Además, a partir de ahora el responsable está obligado a proporcionar una copia de los datos personales en caso de que lo solicite el interesado.
Una novedad del GDPR: el derecho al olvido
El derecho al olvido es una consecuencia directa de los derechos de cancelación y oposición en el entorno de Internet, y así lo ha zanjado la jurisprudencia europea en el nuevo GDPR.
El derecho a la limitación del tratamiento
Los interesados pueden solicitar que determinadas operaciones de tratamiento no sean aplicadas sobre sus datos cuando:
- Se haya solicitado la rectificación u oposición, y el responsable esté analizando la legitimidad de dicha solicitud.
- El tratamiento de los datos sea ilícito, lo que obliga al borrado de los datos, pero el interesado se oponga a dicha eliminación.
- Pese a que los datos han de ser borrados una vez que ya no son necesarios, el interesado solicita la limitación porque necesita dichos datos para el ejercicio, defensa o formulación de reclamaciones.
El derecho a la portabilidad
El derecho a la portabilidad complementa el derecho de acceso en el GDPR, permitiendo que el interesado solicite que el responsable del tratamiento transmita los datos directamente a un tercero. Para ello, los datos deben ofrecerse en un formato estructurado que se preste a una lectura mecánica.
Este derecho puede ejercerse siempre que el tratamiento de los datos tenga lugar por medios automatizados o se haya legitimado con un consentimiento o un contrato, o bien cuando el interesado lo solicite.
Por el contrario, el derecho a la portabilidad no puede ser invocado en el caso de datos de terceras personas que el interesado haya facilitado al responsable, ni cuando los datos del interesado hayan sido proporcionados por parte de terceros.