Derechos ARCO: Acceso, Rectificación, Cancelación y Oposición

 

Introducción


La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación, cancelación y oposición de sus datos personales (derechos ARCO).

Los denominados derechos ARCO son el conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos personales. Estos derechos se regulan en el Título III de la Ley Orgánica de Protección de Datos (LOPD) y en el Título III de su Reglamento de Desarrollo (RDLOPD), y son cuatro: Acceso, Rectificación, Cancelación y Oposición.

Se trata de derechos cuyo ejercicio es personalísimo, es decir, que sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado, de forma que el responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación. Puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos (derecho de rectificación), la oposición parcial o completa (derecho de oposición), o en su caso, la cancelación de los datos en sus ficheros (derecho de cancelación).

El afectado, deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar.

El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos y gratuitos puestos a disposición por el responsable del fichero y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendidos en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la Agencia Española de Protección de Datos (AEPD).

 

Resumen y Conceptos de los Derechos


  • Derecho de acceso.

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

Justificación: No es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.

Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.

Denegación: Debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.

  • Derecho de rectificación.

Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.

Plazos: 10 días hábiles.

Denegación: 10 días hábiles.

  • Derecho de cancelación.

Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos.

Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.

Plazos: 10 días hábiles.

Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

  • Derecho de oposición.

Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, que se trate de ficheros de prospección comerciales o que tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en le tratamiento automatizado de sus datos.

Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.

Plazos: 10 días hábiles.

Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.

 

Ejercicio de Derechos


No basta con garantizar el derecho del titular de los datos a conocer de la existencia de un fichero o tratamiento. Este conocimiento no le atribuiría, per se, ninguna posibilidad de actuación material. Precisamente una de las novedades que introduce el derecho fundamental a la protección de datos en el ámbito de los derechos de la personalidad, es el de proporcionar a su titular un haz de facultades que permiten una conducta activa, y no meramente reactiva, a su titular. Por tanto, es necesario proporcionar al titular de la información personal las posibilidades de actuación de que dispone para un control material de sus datos.

La Ley contempla una serie de derechos que se desarrollaron en la Instrucción 1/1998 y el reglamento de desarrollo de la LOPD los ha clarificado definitivamente. Para ello nos referiremos primero a una serie de disposiciones comunes a todos los derechos y posteriormente se analizará cada uno de los derechos.

Disposiciones comunes:

  • Carácter personalísimo (Artículo 23 RDLOPD).

El artículo 23 del RDLOPD dispone que los derechos son personalísimos y serán ejercidos por el afectado para lo cual deberá acreditar su identidad. Tales derechos se ejercitarán:

a. Bien por el interesado, acreditando su identidad, como después se indicará.

b. Bien por el representante acreditando la representación:

  1. el representante legal en los supuestos de menores de edad o incapaces.
  2. o el representante voluntario en cualquier caso
  • Acreditación de la personalidad o representación (Artículo. 23 RDLOPD).

La acreditación de la personalidad del interesado se debe realizar mediante copia de DNI o documento válido. Como puede ser por ejemplo el carné de conducir. También es posible que se acredite mediante firma electrónica, caso de tratarse de un procedimiento de ejercicio de derechos en vía telemática.

En el caso de representación, según sea un supuesto de representación legal o voluntaria, deberá aportarse el documento que confiere la representación.

No obstante, en el caso de las administraciones se puede sustituir esta forma de acreditar la condición de interesado o de representante mediante otros medios como puede ser la comparecencia.

  • Condiciones generales para el ejercicio de los derechos de acceso (Artículo 24 RDLOPD).

El RDLOPD relaciona una serie de condiciones generales para el ejercicio de los derechos.

La primera de las reglas se refiere a que se trata de derechos independientes, es decir: que el ejercicio de ninguno de ellos ese requisito previo para el ejercicio de otro.

La segunda de ellas es la que exige que se conceda al interesado un medio sencillo y gratuito para el ejercicio de los derechos.

La tercera de las reglas es la relativa a que el ejercicio por el afectado de sus derechos no podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan. Se concretan una serie de medios que no son válidos: cartas certificadas o semejantes, servicios de tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste excesivo para el interesado.

La última de las reglas mencionadas se refiere a que deberá atenderse la solicitud aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos que después se analizan.

Inicio: solicitud

El inicio del procedimiento de ejercicio de derechos se inicia con una solicitud. Dicha solicitud deberá incluir una serie de elementos esenciales que son:

  • Nombre y apellidos del interesado y documento que acredite la personalidad o representación.
  • Petición en que se concreta la solicitud.
  • Dirección a efectos de notificaciones, fecha y firma del solicitante.
  • Documentos acreditativos de la petición que formula, en su caso.

Contestación.

Esta solicitud deberá ser contestada en plazo, tal y como se indica posteriormente. El RDLOPD aclara ciertos aspectos relativos a la contestación:

1. El primero se refiere a que el responsable deberá contestar la solicitud con independencia de que figuren o no datos personales del afectado en sus ficheros.

2. El segundo a que si la solicitud no reúne todos los requisitos deberá solicitarse la subsanación de los mismos.

3. Y por ultimo una cuestión importante: se aclara que corresponde al responsable la prueba del cumplimiento del deber de respuesta, debiendo conservar la acreditación del cumplimiento del mencionado deber.

Ejercicio de derechos ante el encargado del tratamiento.

El artículo 26 del RDLOPD establece un régimen para la tramitación de las solicitudes que se presenten ante el encargado.

Se dispone una regla general que consiste en que cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva.

Y una excepción, que se refiere a que ello es así a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición.

 

Procedimientos y Fundamentos Legales


  • Derecho de acceso.

Concepto (Artículo 27 RDLOPD).

  1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
  2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.
  3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Forma de acceso (Artículo 28 RDLOPD).

1. Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno o varios de los siguientes sistemas de consulta del fichero:

a) Visualización en pantalla.
b) Escrito, copia o fotocopia remitida por correo, certificado o no.
c) Tele-copia.
d) Correo electrónico u otros sistemas de comunicaciones electrónicas.
e) Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.

2. Los sistemas de consulta del fichero previstos en el apartado anterior podrán restringirse en función de la configuración o implantación material del fichero o de la naturaleza del tratamiento, siempre que el que se ofrezca al afectado sea gratuito y asegure la comunicación escrita si éste así lo exige.

3. El responsable del fichero deberá cumplir, al facilitar el acceso, lo establecido en el Título VIII del Reglamento. Si tal responsable ofreciera un determinado sistema para hacer efectivo el derecho de acceso y el afectado lo rechazase, aquél no responderá por los posibles riesgos que para la seguridad de la información pudieran derivarse de la elección. Del mismo modo, si el responsable ofreciera un procedimiento para hacer efectivo el derecho de acceso y el afectado exigiese que el mismo se materializase a través de un procedimiento que implique un coste desproporcionado, surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, serán de cuenta del afectado los gastos derivados de su elección.

Contestación.

Otorgamiento del acceso (Artículo 29 RDLOPD).

  1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.
  2. Si la solicitud fuera estimada y el responsable no acompañase a su comunicación la información a la que se refiere el artículo 27.1, el acceso se hará efectivo durante los diez días siguientes a dicha comunicación.
  3. La información que se proporcione, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. Dicha información comprenderá todos los datos de base del afectado, los resultantes de cualquier elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

Denegación del acceso. (Artículo 30 RDLOPD).

  1. El responsable del fichero o tratamiento podrá denegar el acceso a los datos de carácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.
  2. Podrá también denegarse el acceso en los supuestos en que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
  3. En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.
  • Derechos de rectificación y cancelación.

Concepto (Artículo 31 RDLOPD).

  1. El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
  2. El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento. En los supuestos en que el interesado invoque el ejercicio del derecho de cancelación para revocar el consentimiento previamente prestado, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre y en el RDLOPD.

Solicitud (Artículo 32 RDLOPD. Ejercicio de los derechos de rectificación y cancelación).

La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando al efecto la documentación que lo justifique, en su caso.

Contestación (Artículo 32. Ejercicio de los derechos de rectificación y Cancelación).

El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo.

Comunicación al cesionario (Artículo 32. Ejercicio de los derechos de rectificación y cancelación).

Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos.

La rectificación o cancelación efectuada por el cesionario no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre.

Denegación (Artículo 33. Denegación de los derechos de rectificación y cancelación)

  1. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.
  2. Podrá también denegarse los derechos de rectificación o cancelación en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
  3. En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.
  • Derecho de oposición.

Concepto (Artículo 34. Derecho de oposición).

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 del RDLOPD, cualquiera que sea la empresa responsable de su creación.

c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los términos previstos en el artículo 36 de este reglamento.

Solicitud (Artículo 35. Ejercicio del derecho de oposición).

El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento.

Cuando la oposición se realice con base en la letra a) del artículo anterior, en la solicitud deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

Contestación (Artículo 35. Ejercicio del derecho de oposición).

El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.

En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.

Exclusión (Artículo 35. Ejercicio del derecho de oposición).

El responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto en el apartado 2 de este artículo.

  • Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos.

Concepto (Artículo 36. Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos).

Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta.

Excepciones (Artículo 36. Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos).

No obstante, los afectados podrán verse sometidos a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a) Se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso, el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, de que se adoptarán decisiones con las características señaladas en el apartado 1 y cancelará los datos en caso de que no llegue a celebrarse finalmente el contrato.

b) Esté autorizada por una norma con rango de Ley que establezca medidas que garanticen el interés legítimo del interesado.

¿QUIERES EJERCER TUS DERECHOS ARCO? Solicita el DOCUMENTO escribiendo a info@romehuconsultores.com