Saltar als continguts principals.

El comercio electrónico y la nueva LOPDGDD: desarrollo del RGPD en nuestro ordenamiento jurídico (1a parte)

21/06/2019

SUMARIO (1a parte)

1. Introducción. 

2. Comercio electrónico y cumplimiento de la LOPD. Análisis de las obligaciones existentes hasta la entrada en aplicación del RGPD y de la LOPGDD.             

3. Entrada en aplicación del RGPD y de la LOPDGDD. Qué ha cambiado para los Comercios Electrónicos y para sus usuarios.                                   

3.1. El punto de partida. La privacidad desde el diseño y la privacidad por defecto. 

3.2. Los principios que establece el RGPD en materia de protección de datos(art. RGPD).                                                                                                                     

3.3.  Base legal para el tratamiento de datos de carácter personal (art. 6 RGPD) para los Comercios Electrónicos. La licitud en el tratamiento.     
           3.3.1. El consentimiento de los menores de edad. Especial atención al comercio electrónico.   

3.4. Las categorías especiales de datos (art. 9 RGPD y LOPGDD).             

3.5. El deber de información por parte de los comercios electrónicos (art. 11  A 14 RGPD).                                                                                                 

3.6. Los nuevos derechos: acceso, rectificación, supresión (derecho al olvido), limitación en el tratamiento, portabilidad y oposición (arts. 15 a 23 RGPD y 12 a 18 LOPDGDD). 

3.6.1. Disposiciones generales aplicables al ejercicio de los derechos A.R.S.O.L.P. (art. 12 LOPGDD).       

3.6.2. El derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD).             

3.6.3. El derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD).                          

3.6.4. El derecho de supresión (art. 17 RGPD y art. 15 LOPDGDD).                               

3.6.5. El derecho de limitación en el tratamiento (art. 18 RGPD y art. 16 LOPDGDD).  

3.6.6. El derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD).                          

3.6.7. El derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD).                               

                                                                

_____________________________

1. Introducción

El pasado 25 mayo de 2018 entró en aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
 
Posteriormente se publica la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que permite al legislador estatal desarrollar determinados aspectos del Reglamento, con entrada en vigor desde el 7 de diciembre de 2018.
 
2. Comercio electrónico y cumplimiento de la LOPD. Análisis de las obligaciones existentes hasta la entrada en aplicación del RGPD y de la LOPGDD.
 
Las obligaciones existentes hasta el momento de la entrada en vigor del RGPD para todos aquellos responsables de tratamiento (a partir de este momento RT) y encargados de tratamiento (a partir de este momento ET) venían recogidas en los siguientes cuerpos normativos:
 
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD).
- El Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal (en adelante, RLOPD).  Es la norma de desarrollo de la LOPD, amplía las prescripciones de la LOPD e incluye previsiones específicas en materia de seguridad.
 
Si resumimos, a groso modo, las principales obligaciones a las cuales se tenían que enfrentar serían las siguientes:
 
- Registro de ficheros ante la A.E.P.D. (clientes, proveedores, usuarios web...) Esta obligación desaparece con el nuevo RGPD. 
Tener un documento de seguridad actualizado, donde se recogían las medidas de seguridad técnicas y organizativas que debían cumplir para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por las disposiciones de la LOPD y del RLOPD.
- Firmar compromisos de confidencialidad con los trabajadores ( si es que se tenían).
- Firmar los compromisos de tratamiento con los diferentes encargados de tratamiento de datos de carácter personal.
- Incluir cláusulas informativas y recoger el consentimiento para el tratamiento de datos de carácter personal.
- Establecer políticas de privacidad en los sitios web y articular consentimiento en la recogida de datos de carácter personal a través del sitio web.
- Atender Derechos ARCO (acceso, rectificación, cancelación y oposición).
 

3. Entrada en aplicación del RGPD y de la LOPDGDD. Qué ha cambiado para los Comercios Electrónicos y para sus usuarios.

3.1. El punto de partida. La privacidad desde el diseño y la privacidad por defecto.

El RGPD apuesta por un enfoque más proactivo, ello quiere decir que los RT y ET deberán analizar qué tipo de datos personales tratarán en el ejercicio de su actividad, y qué peligros puede entrañar este tratamiento de datos, y basándonos en ello, adoptar las medidas técnicas y organizativas adecuadas, a fin de poder establecer las medidas de seguridad que consideren más adecuadas y proporcionales, para evitar que terceros no autorizados  puedan tener acceso a los datos de carácter personal, o sean modificados o eliminados.

De esta manera el responsable de tratamiento y el encargado de tratamiento planificará con anterioridad a tratar los datos de carácter personal, las medidas de seguridad más adecuadas que implantará (privacidad desde el diseño), y menos invasivas para los datos que trata,  es decir, que tratará únicamente los datos imprescindibles para la finalidad para la que se han recogido(privacidad por defecto).

La finalidad última del RGPD es reducir al máximo los riesgos que todo tratamiento conlleva, no la eliminación del riesgo. Éste siempre existirá cuando tratamos datos de carácter personal.

3.2. Los principios que establece el RGPD en materia de protección de datos (art. 5 RGPD).

Los principios en materia de protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Dichos principios son:

a) Licitud, lealtad, transparencia.

Se introduce el principio de transparencia: la información otorgada por los responsables de tratamiento y encargados de tratamiento debe ser concisa, fácilmente accesible y fácil de entender. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (limitación de la finalidad).

El principio de transparencia obliga tanto al RT como al ET  a que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender.

A ello hemos de sumar los nuevos derechos de los interesados, en nuestro caso usuarios y clientes, siendo los mismos:

  1. derecho de acceso,
  2. rectificación,
  3. supresión (derecho al olvido),
  4. oposición,
  5. limitación del tratamiento,
  6. portabilidad sobre sus datos personales.

b) Adecuados, pertinentes, y limitados

Los datos de carácter personal que se vayan a tratar han de ser adecuados, pertinentes, y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos)

c) Exactos

Los datos de carácter personal han de ser exactos y si fuera necesario actualizados. Se añade por tanto la obligación de actuar de oficio si los datos son incorrectos o innecesarios, no sólo a la espera de que el usuario ejercite los derechos de rectificación, cancelación.

El RT no incurrirá en responsabilidad ante la A.E.P.D. de la inexactitud de los datos, siempre que se hayan adoptado las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales cuando:

  1. Hubiesen sido obtenidos por el responsable directamente del afectado.
  1. Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.
  1. Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgánica.
  1. Fuesen obtenidos de un registro público por el responsable.

d) Limitados en el tiempo de conservación

Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. Cómo mínimo, se recomiendan los siguientes plazos de conservación:

  1. cuatro años en caso de mandato tributario,
  2. cinco años para la formulación, ejercicio o la defensa de reclamaciones, y
  3. seis años respecto los libros de contabilidad, facturas y
  4. diez años en aquello que afecte a la Ley 10/2010 y el RD 304/2014 de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

e) Integridad y confidencialidad de los datos de carácter personal.

Los datos de carácter personal deben ser tratados de tal manera que se garantice una seguridad adecuada mediante la aplicación de medidas de control apropiadas, por lo que se deben tratar los datos de manera que se garantice su seguridad, y que los mismos sean confidenciales.

Será el responsable de tratamiento quien debe cumplir estos principios, y además debe ser capaz de demostrarlo. Recae sobre el RT la carga probatoria.

3.3.  Base legal para el tratamiento de datos de carácter personal (art. 6 RGPD) para los Comercios Electrónicos. La licitud en el tratamiento.

El artículo 6 del RGPD establece las diferentes bases que legitiman el tratamiento de datos personales, y por tanto, establece cuando dichos tratamientos será lícitos.

Así pues, estaremos ante tratamientos lícitos cuando:

a) El tratamiento se base en el consentimiento previo otorgado por el propio interesesado (art. 6.1.a. RGPD.). En el caso concreto, en el formulario de recogida de datos de carácter personal de los usuarios, previo a la celebración del contrato de prestación de servicio (ej. venta producto fisico a través de sitio web), implantar una casilla de verificación no premarcada donde se solicite el consentimiento.

b) El tratamiento sea necesario para a ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b).

Asimismo, el art. 6 de la LOPGDD define que se entiende por consentimiento del interesado/afectado:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

En todo caso, cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

Es importante señalar que no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.

3.3.1. El consentimiento de los menores de edad. Especial atención al comercio electrónico.

Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de datos personales de un niño menor de 16 años en relación con la oferta directa a niños de servicios de la sociedad de la información, salvo que los Estados miembros establecieran por ley una edad inferior, el legislador estatal ha optado en su artículo 7 por establecer como lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor de 14 años, en cualquiera de los casos.

Resumiendo, que el consentimiento para el tratamiento de datos de carácter personales, podrá prestarse por el propio menor, cuando éste sea mayor de 14 años.

Pero cuidado: se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento. Por ende, cuidado con aquellos contratos celebrados a distancia con menores de edad, a través de un sitio web, porqué quién debiere prestar su consentimiento será los titulares de de la patria potestad o tutela, y en caso contrario, dicho tratamiento puede ser considerado como ilícito, aunque el menor tenga 14 años.  Recordemos que estos contratos pueden ser impugnados por los titulares de la patria potestad o los tutores, declarándose nulos y será como si nunca hubiera existido.

 

Recomendaciones:

En nuestros sitios web establecer en los formularios de contacto varias casillas de verificación no premarcadas en las cuales se obligue al usuario a:

- informar sobre si el usuario es mayor de edad (obligando a poner una fecha de nacimiento, por ejemplo)

- obligar a aceptar la política de privacidad y protección de datos, con un link que redirija a la página web donde se recoge la misma.

3.4. Las categorías especiales de datos (art. 9 RGPD y LOPGDD).

Nos encontramos ante categorías especiales de datos cuando tratamos:

  1. Datos que revelen el origen étnico o racial.
  1. Datos que revelen las opiniones políticas, las convicciones religiosas o filosóficas.
  1. Datos que revelen la afiliación sindical.
  1. Datos que revelen el tratamiento de datos genéticos.
  1. Recabamos datos biométricos dirigidos a identificar de manera unívoca a una persona física.
  1. Recabamos datos relativos a la salud .
  1. Recabamos datos relativos a la vida sexual o la orientación sexual de una persona física.Por norma general se prohibe el tratamiento de dichos datos cuando la finalidad última establecida por el RT y el ET sea única y exclusivamente la de identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para el resto de casos, en los que existe un tratamiento de datos de categoría especial deberemos recabar el consentimiento expreso del interesado/afectado, salvo que esos datos se hayan hecho manifiestamente públicos por parte del interesado.

En cualquier caso, por norma general en los contratos celebrados a distancia, el tratamiento de dichas categorias especiales no debería efectuarse. Siempre que pensamos en comercio electrónico, por norma general, tenemos en mente la compra-venta de productos físicos o digitales a través de un sitio web o bien la prestación de servicios que no impliquen el tratamiento de dichas categorías de datos recogidas en el art. 9 RGPD y LOPDGDD.

3.5. El deber de información por parte de los comercios electrónicos (art. 11  A 14 RGPD).

La información mínima que deberá poner a disposición del usuario el RT y el ET será la siguiente (art. 13. RGPD y 11 LOPDGDD):

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

g) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

h) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

i) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

j) el derecho a presentar una reclamación ante una autoridad de control;

k) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

l) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Recomendaciones:

Para ello, en el sitio web deberemos crear una página con el título política de privacidad, y dentro de la misma establecer toda la información reseñada anteriormente. Igualmente, en la captación de la información en los formularios de compra, volvemos a reseñar la obligación de establecer una casilla no premarcada en la que se introduzca un link que derive a la política de privacidad.

3.6. Los nuevos derechos: acceso, rectificación, supresión (derecho al olvido), limitación en el tratamiento, portabilidad y oposición (arts. 15 a 23 RGPD y 12 a 18 LOPDGDD).

3.6.1. Disposiciones generales aplicables al ejercicio de los derechos A.R.S.O.L.P. (art. 12 LOPGDD).

El presente artículo recoge una serie de disposiciones aplicables a todos los derechos, y que no venían reguladas en el RGPD, entre ellos:

  • Pueden ejercerse directamente por el interesado o por medio de representante legal o voluntario.
  • Obligación del RT de informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.
  •  El ET podrá tramitar, por cuenta del RT, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
  • Es el RT quien ha de demostrar que ha respondido a la solicitud del ejercicio de los derechos formulados, ello implica guardar todas las peticiones de ejercicio de derechos formulados por los interesados.
     
  • Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto en aquellas.
     
  • Los titulares de la patria potestad (progenitores o tutores) podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.

 

El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

En atención a la complejidad de la petición o de la multitud de peticiones se podrá prorrogar un mes más, siempre comunicando al interesado dentro del plazo del mes dicha prórroga.

Si incumple el RT con su obligación, deberá dar información de su no actuación y de la posibilidad de reclamar ante la autoridad de control y de ejercitar acciones judiciales.

La información derivada del ejercicio de derechos se realizará con gratuidad, salvo en las solicitudes manifiestamente infundadas, excesivas o repetitivas, en que, podrá cobrarse un canon, o negarse a actuar.

Además, y una novedad que ha traído consigo la LOPDGDD el artículo 37 de la LOPDGDD habilita a los afectados, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, a dirigirse al delegado de protección de datos de la entidad contra la que se reclame, obligando al delegado de protección de datos a comunicar al afectado su decisión en el plazo de dos meses a contar desde la recepción de la reclamación.

Así mismo, se habilita a la autoridad de control, en nuestro caso la Agencia Española de Protección de Datos (a partir de este momento A.E.P.D.), a remitir la reclamación interpuesta por el afectado ante esta al delegado de protección de datos, otorgándole el plazo de un mes para responder. Transcurrido dicho plazo, en caso de que el delegado de protección de datos no conteste a dicha reclamación, la A.E.P.D. continuará con el procedimiento por posible vulneración de la normativa de protección de datos.

3.6.2. El derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD).

Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad, con el fin de conocer y verificar la licitud del tratamiento.

Deben poder obtener información sobre:

  1. Fines del tratamiento
  2. Categorías de datos que se traten
  3. Destinatarios de los datos, en particular terceros países o organizaciones internacionales.
  4. De ser posible, el plazo de conservación de dichos datos, o criterios para determinar dicho plazo.
  5. Existencia del derecho a solicitar rectificación o supresión, limitación u oposición al tratamiento.
  6. Derecho a presentar una reclamación frente la autoridad de control.
  7. Si los datos no se han obtenido del interesado, cualquier información sobre su origen.
  8. La existencia de decisiones automatizadas

 

La forma de hacer efectivo el derecho:

  • Facilitando copia de los datos al interesado (visualización en pantalla,, escrito, copia o fotocopia remitida por correo certificado o no, fax, correo electrónico...).
  • Pudiendo percibir el RT un canon por copias adicionales por costes administrativos para el caso de acceso repetitivo.

- Si la solicitud se realiza en formato electrónico, se le dará la misma en formato electrónico de uso común, a no ser que manifieste otra cosa.

Ahora bien, la nueva LOPDGDD establece una serie de criterios a tener en cuenta para determinados supuestos, véase:

- Se permite al RT solicitar al interesado, antes de contestar a la petición de derecho de acceso, aquellos datos a los que quiera tener acceso, en el caso de que disponga de múltiples del afectado.

- Si el RT tiene un sistema remoto, permanente, directo y seguro de acceso a los datos personales del interesado a los que éste puede acceder, se tendrá por otorgado el derecho de acceso. Ejemplo: una pagina web con un apartado del usuario, dónde se éste pueda acceder a comprobar que datos se están tratando.

En caso de que no estén en dicha base de datos algún dato solicitado por el interesado, este podrá ejercitar dicho derecho sobre dicho datos y el RT deberá dar respuesta sobre el mismo.

- En caso de que el interesado solicite al RT el acceso al mismo dato de carácter personal en un periodo inferior 6 meses, salvo que exista causa legítima, el RT podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada,

b) negarse a actuar respecto de la solicitud.

- En caso de que el interesado solicite que se le comunique un dato de carácter personal por un medio diferente al que el RT haya establecido, los costes excesivos del mismo podrán repercutirse al interesado. Ejemplo: Si respondemos a un correo electrónico la petición de acceso y el interesado solicita el envío de una carta o correo electrónico, dicho coste deberá ser asumido por el interesado.

3.6.3. El derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD).

El acceso de rectificación tiene dos finalidades, recordemos:

  • corregir datos personales inexactos.
  • completar datos personales incompletos.

La nueva LOPD establece que el interesado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.

3.6.4. El derecho de supresión (art. 17 RGPD y art. 15 LOPDGDD).

Es el derecho del interesado a obtener la supresión de los datos personales que le conciernan, si se da alguna de estas circunstancias:

  1. los datos personales ya no son necesarios en relación con los fines para los que se obtuvieron.
  2. el interesado retire el consentimiento en que se base el tratamiento
  3. el interesado se oponga al tratamiento
  4. los datos personales  hayan sido tratados ilícitamente
  5. los datos personales deban suprimirse por obligación legal
  6. se hayan obtenido los datos en relación con la oferta de servicios de sociedad de la información dirigida a niños.

Si el RT ha hecho blicos los datos, deberá comunicación al resto de responsables tratamiento de la supresión de cualquier enlace, copia o réplicas de tales datos.

En todo caso, se denegará el ejercicio del derecho al olvido de los datos si el tratamiento es necesario para:

  • el ejercicio del derecho a la libertad de expresión e información
  • cumplimiento de una obligación legal o misión en interés público
  • razones de interés público en el ámbito de la salud
  • fines de archivo, investigación, fines estadísticos
  • formulación, ejercicio o defensa de reclamaciones

Como se ha visto, se puede denegar el derecho a la supresión, pero siempre es obligatorio informar al interesado/afectado del motivo de la denegación.

La nueva regulación establecida en la LOPGDD dispone que cuando la supresión derive del ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento (UE) 2016/679, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

3.6.5. El derecho de limitación en el tratamiento (art. 18 RGPD y art. 16 LOPDGDD).

Supone el derecho del interesado de obtener del responsable de tratamiento la limitación de los datos cuando se cumpla alguna de las siguientes condiciones:

  1. el interesado impugne la exactitud de los datos personales durante un plazo que permita al responsable verificar la exactitud de los mismos. (tras ejercitar el derecho de rectificación)
  2. el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso. (ej: un cliente de un banco que cancela una cuenta corriente, pero que habilita el uso de sus datos para recibir ofertas comerciales)
  3. el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. (tras ejercitar el derecho de oposición) En este caso tb, cuando se ejercita el derecho al olvido frente a un buscador.
  4. el responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los necesite para la formulación, ejercicio, o la defensa de reclamación.

Se trata estos casos como una suspensión cautelar tras el ejercicio de dichos derechos.

La LOPGDD establece que el hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.

3.6.6. El derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD).

Debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. 

Se prevén aparentes limitaciones a la portabilidad, que deben analizarse como:

  • es un derecho que se entiende sin perjuicio del derecho al olvido, la portabilidad no supone la automática supresión de los datos
  • únicamente cabe cuando el tratamiento se base en consentimiento o contrato.
  • únicamente cabe cuando el tratamiento se efectúe por medios automatizados.

3.6.7. El derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD).

El interesado puede solicitar que no se lleve a cabo el tratamiento de sus datos personales o se cese en su tratamiento, siempre que exista  causa justificada.

El RT dejará de tratar sus datos personales salvo sí:

  • el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable de tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o derechos y libertades fundamentales del interesado.
  • o para la formulación, ejercicio y defensa de reclamaciones.
  • el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Esto se da en el caso de que los datos sean tratados   con fines de investigación científica o histórica o fines estadísticos de conformidad.
  • En este caso se invierte la carga de la prueba, será el responsable quien deberá estimar este derecho, salvo que invoque razones justificadas.
  • También puede el interesado oponerse  a ser objeto de una decisión basada únicamente en el tratamiento automatizado, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna, incluida la elaboración de perfiles (consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado), que produzca efectos jurídicos sobre él o le afecte significativamente de modo similar. (Art. 22 RGPD).


(consulteu la segona part de l'article fent clic aquí)

 
 
Il·lustre Col·legi de l'Advocacia de Tarragona © Copyright 2015. Reservats tots els drets.
  • Tecnologies
  • Disseny Pàgines Web Tarragona

Avís cookies

Per poder millorar els nostres serveis, utilitzem cookies de tercers per recollir informació estadística. Si contínua navegant considerem que accepta la seva utilització. Més informació aquí..