Todas las personas debemos tener control y poder de disposición sobre nuestros datos personales. Este poder de control sobre los propios datos se resume en una serie de facultades personales del titular: consentir el tratamiento que se realiza sobre sus datos personales, conocer el uso o fin que se da a los mismos, ser informado de quién los posee y para qué, etc. Con el fin de materializar dicho control y poder de disposición, así como proteger sus datos personales frente a las posibles amenazas o vulneraciones que pudieran sufrir, los interesados cuentan con una serie de derechos. Al mismo tiempo, el ejercicio de estos derechos por parte de los interesados supone la obligación para los responsables de protección de datos como son las administraciones locales de establecer mecanismos para facilitar al interesado el ejercicio de cada uno de sus derechos de forma visible, accesible y sencilla.
Los derechos en materia de protección de datos están regulados en el Capítulo III del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento UE 2016/679) y en los artículos 12 a 18 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y garantía de los derechos digitales (en adelante, L.O. 3/2018). El Reglamento UE 2016/679 modificó el régimen relativo a los derechos del interesado relativos al tratamiento de datos personales, que anteriormente eran los denominados derechos ARCO (derecho acceso, rectificación, cancelación y oposición), introduciendo nuevos derechos, como son el derecho a la portabilidad y el derecho a la limitación del tratamiento de datos, así como nuevos aspectos relativos a los derechos ya existentes.
Las administraciones públicas como responsables del tratamiento de datos personales deben facilitar al interesado el ejercicio de sus derechos en materia de protección de datos.
En virtud de esta normativa, el responsable del tratamiento, es decir, la entidad local debe facilitar el ejercicio de 7 derechos al interesado.
El primero de ellos es el derecho de información, el cual supone informar al interesado sobre el tratamiento que se va a realizar con sus datos personales, bien en el momento en el que se soliciten los datos (presentación de la solicitud en los procedimientos administrativos iniciados a instancia de parte), o bien «dentro de un plazo razonable» (cuando los datos no se obtienen del propio interesado).
El segundo de los derechos en materia de protección de datos es el derecho de acceso, por el que el interesado tiene derecho a conocer si se están tratando sus datos, con qué finalidad, el origen, el destinatario, el plazo o si se han comunicado o se van a comunicar a un tercero. Se trata, por tanto, del primer paso para hacer uso del poder de disposición que se le reconoce al titular de los datos personales, es decir, conocer y comprobar la veracidad del tratamiento que se lleve a cabo sobre sus datos o información personal.
El tercero de los derechos es el de rectificación, por el que el interesado puede modificar aquellos datos que sean inexactos o incompletos permitiendo corregir o completar los mismos garantizando la certeza de la información que es objeto de tratamiento. El interesado en su solicitud indicará a qué datos se refiere y la corrección que en su caso haya que realizar, debiendo acompañar, cuando sea necesario, la documentación justificativa. Una vez remitida la solicitud, la entidad local responsable deberá atender la misma y en su caso completar o rectificar dichos datos.
El cuarto derecho es el de supresión o cancelación, a través del cual el interesado puede obtener la eliminación de sus datos personales cuando concurra alguna de las circunstancias establecidas en la ley. Este derecho también incluye el derecho al olvido el cual supone la aplicación a los buscadores de internet de este derecho de supresión para impedir la difusión de la información cuando ya es obsoleta o no tiene relevancia ni interés público. Mediante este derecho se solicitará el borrado de los datos en dichos buscadores debiendo los titulares de estos habilitar formularios para facilitar su ejercicio. Asimismo, el responsable del tratamiento deberá adoptar las medidas necesarias con el fin de informar a otros responsables que estén tratando los datos personales, de la solicitud del interesado de la supresión de cualquier enlace a esos datos personales o cualquier copia o réplica de estos.
El quinto derecho en materia de protección de datos es el de oposición, el cual supone oponerse al tratamiento de los datos personales en determinados casos, incluyendo la elaboración de perfiles, así como cuando el tratamiento tenga por objeto la mercadotecnia directa. Asimismo, una manifestación específica del derecho de oposición es el derecho a oponerse ante decisiones individuales automatizadas. Es decir, todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en él o le afecte significativamente de modo similar, estableciendo como excepciones el caso de que el tratamiento sea necesario para la celebración o ejecución de un contrato o bien exista consentimiento explícito del titular de los datos.
El sexto es el derecho de limitación de datos personales por el que el interesado puede solicitar la suspensión o conservación de sus datos personales en los diferentes supuestos legales. De esta manera, cuando el interesado ejercite este derecho, la entidad local responsable del tratamiento deberá valorar la limitación de sus datos y en su caso proceder a efectuarla.
Y finalmente, el séptimo es el derecho de portabilidad por el que el interesado podrá recibir los datos personales que le incumban y que le haya facilitado a un responsable y transmitírselo a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.
El ejercicio de estos derechos se deberá proporcionar a través de medios electrónicos.
En cuanto al modo de ejercicio de estos derechos, el Reglamento UE 2016/679 ya regulaba su ejercicio por medios electrónicos, por lo que la entidad local debe proporcionarlos para el ejercicio de las solicitudes de ejercicio de los derechos de los interesados. Es más, cuando el interesado presente la solicitud por medios electrónicos, la información se le facilitará por esta forma, a menos que este solicite que se facilite de otro modo. De esta manera, la entidad local puede facilitar al interesado el ejercicio de los derechos como trámite en su sede electrónica.
Así las cosas, dado que todas las personas debemos tener control y poder de disposición sobre nuestros datos personales, los responsables del tratamiento deben facilitar las medidas necesarias para garantizar el ejercicio de los derechos de los interesados sobre el tratamiento de sus datos personales. Este ejercicio se deberá facilitar de una manera electrónica.
Puede ampliar la información sobre este tema, accediendo a la Sección de Administración Electrónica de la Plataforma Corporativa de esPublico: un espacio de contenido especializado dedicado a facilitar la adaptación de las entidades locales a su actuación por medios electrónicos, así como a apoyar el proceso de transformación digital.
La Sección ofrece numerosos recursos explicativos, entre otros, guías didácticas, infografías interactivas, videotutoriales, diccionario de terminología digital, etc.
Puede acceder a la Sección de Administración Electrónica de esPublico, pulsando aquí.
