Blog de JD Services

Josemi 26 julio 2023

Compartir:

Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Asimismo, está orientado a pequeños negocios que realizan tratamientos de datos de poco riesgo y escala, omitiendo completamente consideraciones para otros supuestos. Podría, además, no estar actualizado.

Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida o responder a cualquier solicitud de interesados. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Este resumen es propiedad intelectual de JD Services y todos sus derechos quedan reservados.

Recomendamos leer previamente nuestro Resumen del RGPD / GDPR para pequeños negocios

Consideraciones para todas las solicitudes de interesados (DSR)

Plazo de tramitación

De forma general, se deben completar todas las solicitudes sin dilación indebida, y a más tardar en el plazo de 1 mes desde la recepción.

Este plazo puede prorrogarse excepcionalmente en 2 meses adicionales en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. En tales supuestos, el responsable debe informar de dicha prorroga al interesado:

• en el plazo máximo de 1 mes desde la recepción de la solicitud
• indicando los motivos de la dilación

Forma de respuesta

Cuando la solicitud haya sido presentada por el interesado por medios electrónicos, la información se facilitará por medios electrónicos a menos que:

• no sea posible o,
• el interesado solicite que se facilite de otro modo

La información correspondiente solo podrá ser facilitada verbalmente si:

• lo solicita el interesado y,
• se demuestra la identidad del interesado por otros medios

Verificación de identidad

Cuando el responsable tenga dudas razonables sobre la identidad de la persona que cursa la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

Los responsables pueden negarse a actuar a petición del interesado con el fin de ejercer sus derechos RGPD cuando puedan demostrar que no están en condiciones de identificar al interesado.

Coste y solicitudes excesivas

Cualquier solicitud de un interesado respecto a sus derechos bajo RGPD deberá ser generalmente tramitada a título gratuito.

Sin embargo, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable podría elegir:

• cobrar un canon razonable en función de los costes administrativos afrontados
• negarse a actuar respecto a la solicitud

El responsable soportará la carga de demostrar al carácter manifiestamente infundado o excesivo de la solicitud.

Rechazo de solicitudes

Si el responsable no da curso a la solicitud de un interesado, le deberá informar:

• sin dilación, y a más tardar transcurrido 1 mes de la recepción
• de las razones de su no actuación
• de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales

Solicitudes recibidas por un encargado

Si un encargado recibe una solicitud de derechos RGPD relativa, deberá remitirla inmediatamente al responsable de dicho tratamiento de datos personales.

Documentación probatoria

El responsable, como parte del principio de responsabilidad proactiva, debe dejar constancia de todas las solicitudes recibidas y hacer seguimiento a cada caso, a fin de poder demostrar su cumplimiento del RGPD:

Derechos de interesados bajo el RGPD

Debe tenerse en cuenta que algunos de estos derechos se aplican incluso aunque no se hayan recibido solicitudes del interesado.

Solicitudes de derecho de acceso (DSAR)

También conocidas como DSAR (Data Subject Access Request).

El responsable deberá proporcionar al interesado la siguiente información:

• si no se están tratando sus datos personales:
  • confirmación de que no se están tratando datos personales que le conciernen
• si se están tratando sus datos personales:
  • confirmación de que se están tratando datos personales que le conciernen
  • fines del tratamiento
  • categorías de datos personales tratados
  • los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales
  • la existencia del derecho a solicitar al responsable la rectificación o supresión de datos personales, o la limitación u oposición al tratamiento
  • el derecho a presentar una reclamación ante una autoridad de control
  • si se toman decisiones automatizadas (incluida la elaboración de perfiles):
    • la existencia de las mismas
    • información significativa sobre la lógica aplicada
    • la importancia y las consecuencias previstas de dicho tratamiento para el interesado
  • cuando se transfieran datos personales internacionalmente a países fuera de la UE o a una organización internacional:
    • las garantías adecuadas relativas a la transferencia internacional (artículo 46 del RGPD)
  • el plazo de conservación de datos:
    • si es posible: el plazo previsto de conservación de los datos personales
    • de no ser posible: los criterios utilizados para determinar el plazo
  • una copia de los datos personales objeto de tratamiento, teniendo en consideración que:
    • no deberá afectar negativamente a los derechos y libertades de otros
    • cuando la DSAR se haya recibido por medios electrónicos, la copia se deberá facilitar en un formato electrónico de uso común

Derecho a la portabilidad de los datos personales

El derecho a la portabilidad solo puede ser solicitado por el interesado cuando el tratamiento:

• se efectúe por medios automatizados, y
• esté basado en el consentimiento o en un contrato

Bajo el derecho a la portabilidad de los datos, el responsable deberá según solicite el interesado:

• proporcionar al interesado los datos personales que le incumban, que haya facilitado al responsable, en un formato estructurado de uso comun y lectura mecánica
• trasmitirlos directamente a otro responsable del tratamiento (cuando sea técnicamente posible)

El responsable debe asegurarse de que la portabilidad de datos no afecte negativamente a los derechos y libertades de otros.

Derecho de rectificación

Bajo el derecho de rectificación, el interesado podrá solicitar del responsable:

• la rectificación de los datos personales inexactos que le conciernan
• que se completen los datos personales que sean incompletos (inclusive mediante una declaración adicional)

Al tramitar estas solicitudes, el responsable deberá comunicar cualquier rectificación a cada uno de los destinatarios a los que se hayan comunicado los datos personales (salvo que sea imposible o exija un esfuerzo desproporcionado). Si el interesado así lo solicita, el responsable deberá informarle acerca de dichos destinatarios.

Derecho de supresión (derecho al olvido)

Bajo el derecho al olvido, el responsable está obligado a que los datos personales que conciernan a un interesado sean suprimidos cuando concurra alguna de las circunstancias siguientes:

• los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos (sin necesidad de que el interesado lo solicite)
• cuando el interesado retire el consentimiento (cuando el tratamiento esté fundamentado exclusivamente en el consentimiento)

El derecho al olvido no se aplicará cuando el tratamiento sea necesario para:

• ejercer el derecho a la libertad de expresión e información
• el cumplimiento de una obligación impuesta por la legislación aplicable
• la formulación, el ejercicio o la defensa de reclamaciones
• ciertas otras razones y fines de interés público

Al tramitar supresiones, el responsable deberá comunicar cualquier supresión a cada uno de los destinatarios a los que se hayan comunicado los datos personales (salvo que sea imposible o exija un esfuerzo desproporcionado). Si el interesado así lo solicita, el responsable deberá informarle acerca de dichos destinatarios.

Derecho a la limitación del tratamiento

El interesado tendrá derecho a obtener del responsable la limitación del tratamiento de los datos cuando se cumplan alguna de las condiciones siguientes:

• el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos
• el tratamiento sea ilícito, y el interesado se oponga a la supresión de los datos y solicite en su lugar la limitación de su uso
• el responsable ya no necesite los datos personales paraa los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones
• el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado

Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de tratamiento (más allá de su mera conservación):

• con el consentimiento del interesado
• para la formulación, ejercicio o defensa de reclamaciones
• con miras a la protección de los derechos de otra persona física o jurídica
• por razones de interés público importante

Todo interesado que haya obtenido la limitación del tratamiento será informado por el responsable antes del levantamiento de dicha limitación.

Derecho de oposición

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento (incluyendo elaboración de perfiles) con base jurídica en:

• intereses legítimos
• interés público

En tales casos, el responsable dejará de tratar los datos personales, salvo:

• que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del interesado
• para la formulación, ejercicio o defensa de reclamaciones

Bajo cualquier circunstancia, en todo momento el interesado puede oponerse al tratamiento con fines de marketing directo.

Derechos sobre decisiones individuales automatizadas

Los interesados tendrán derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (incluida la elaboración de perfiles) que produzca efectos jurídicos sobre él o le afecte significativamente de modo similar.

Este derecho no se aplicará a decisiones no basadas en categorías especiales de datos personales que:

• estén autorizadas por la legislación que aplique al responsable,
• sean necesaria para la celebración/ejecución de un contrato entre el interesado y un responsable, o
• se basen en el consentimiento explícito del interesado

En estos supuestos en que no aplique plenamente este derecho, siempre se deberán adoptar medidas adecuadas para salvaguardar los derechos, libertades e intereses legítimos del interesado, incluyendo como mínimo:

• el derecho a obtener intervención humana por parte del responsable
• a expresar su punto de vista
• a impugnar la decisión

Derecho a ser informado

Consultar nuestro resumen y los artículos 13/14 del RGPD.

Recursos útiles

Hemos recopilado los siguientes recursos que pudieran resultar útiles a algunos pequeños negocios:

• Respect individuals’ rights | European Data Protection Board
• Addendum de Protección de Datos de los Productos y Servicios de Microsoft (DPA)
• Solicitudes de los temas de datos del RGPD y CCPA – Microsoft GDPR
• Tools Export Personal Data Screen – WordPress.org Documentation
• Tools Erase Personal Data Screen – WordPress.org Documentation
• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

¿Quiere contratar nuestros servicios? Solicitar información