Probablemente estos días estés recibiendo una cantidad inusual de correos electrónicos que nos solicitan nuestro consentimiento expreso para poder seguir utilizando nuestros datos. Ello se debe a que el próximo día 25 de mayo entrará en vigor el nuevo Reglamento de Protección de Datos (RGPD). Dado que estamos muy cerca, vamos a intentar resumir los aspectos básicos más importantes que nos van a afectar como usuarios.
Temas relacionados que te pueden interesar:
- Datos Personales. Reglamento general de protección de datos.
- El impacto de la nueva Ley de Protección de Datos en las PYMES.
1. Nuestro consentimiento debe ser libre, informado, especifico e inequívoco.
De acuerdo con la nueva normativa para que, por ejemplo, podamos recibir correos electrónicos de carácter comercial, es muy importante tener en cuenta que debemos consentir expresamente y de forma inequívoca que les autorizamos a enviárnoslos. Además, debe hacerse siempre por escrito.
Obviamente, debemos tener la posibilidad de decidir libremente si queremos o no recibirlos.
Esto supone un paso muy importante, porque significa que los usuarios volvemos a tener el control sobre nuestros datos de carácter personal.
2. Obligación de información de la empresa.
En este sentido, la empresa, que es la responsable del tratamiento de nuestros datos, debe informarnos, entre otras cosas, de:
- ¿Quién es el responsable del tratamiento? (y sus datos de contacto)
- ¿Qué (tipos de) datos personales se tienen o se piden?
- ¿A qué fines se van a destinar?, ¿se van a elaborar perfiles con ellos?
- ¿Se piensan ceder a terceros?, ¿a quiénes y para qué?
- ¿Con qué base jurídica (lícita) se van a tratar esos datos personales?
3. Nos deben facilitar el ejercicio de nuestros derechos.
Aunque parezca una obviedad, de acuerdo con el nuevo Reglamento, nos deben facilitar el ejercicio de nuestros derechos. Deben establecer procedimientos y formas que deber ser visibles, accesibles y sencillos.
Este ejercicio será gratuito. Además, los responsables de los servicios a los que accedemos deberán informarnos de nuestra petición en un plazo máximo de un mes. Como excepción, podrá extenderse a dos meses, cuando se trate de solicitudes especialmente complejas, debiendo notificar esta ampliación dentro del primer mes.
4. Derecho de acceso.
Tenemos derecho a obtener una copia de todos nuestros datos personales objeto de tratamiento.
Nuevamente, se vuelve a poner de manifiesto la intención de que los usuarios recuperemos los derechos sobre nuestros datos personales.
Así, cuando recibamos un correo de una empresa a la que no recordemos haberle facilitado nuestros datos, tenemos el derecho a solicitarles, amparándonos en el RGPD, todo lo que queramos saber.
Para ello, podemos utilizar el siguiente modelo de solicitud de acceso y de información:
En ejercicio de mi derecho de acceso, contemplado en el art. 15 del Reglamento General de Protección de Datos, de aplicación en toda la Unión Europea desde el 25 de mayo de 2018, les ruego que me confirmen si se están tratando (o no) datos personales que me conciernen y, en tal caso, me faciliten una copia de los mismos, así como la siguiente información:
- ¿Quién es el responsable del tratamiento?
- ¿Cuáles son sus datos de contacto?
- ¿Qué datos personales tienen sobre mí?
- ¿Cómo y de dónde los han obtenido?
- ¿Con qué base jurídica se están tratando?
- ¿A qué fines se está destinando cada uno de ellos?
- ¿Se están elaborando perfiles con ellos?
- ¿Hay decisiones automatizadas basadas en ellos?
- ¿Se han cedido a terceros? ¿A quiénes?
- ¿Para qué finalidades concretas se les han cedido?
En el caso de que la ‘base jurídica’ para el tratamiento de mis datos personales sea mi consentimiento (expreso), les ruego me faciliten una copia del documento en que éste se demuestra (art. 7.1). En el caso de que sea un ‘interés legítimo’, les ruego me indiquen cuál y de quién es, así como la razón por la que creen que prevalece sobre mis intereses o derechos y libertades fundamentales (art. 6.1.f).
En el caso de ‘elaboración de perfiles’ o existencia de ‘decisiones automatizadas’ (basadas únicamente en el tratamiento automatizado de mis datos personales), ruego me faciliten información sobre la base jurídica utilizada para ello (art. 22.2), así como información significativa (en un lenguaje claro y sencillo) sobre la lógica aplicada y la importancia y las consecuencias de dichos tratamientos para mí.
Les recuerdo que, en virtud del art. 12.3, deberá facilitarme toda esta información en el plazo de un mes a partir de la recepción de esta solicitud, y que, en virtud del art. 83.5, de no hacerlo podrán ser sancionados con multas administrativas, como máximo, de 20.000.000 EUR o una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior.
Fuente: Borja Adsuara Varela.
5. Derecho al olvido.
El denominado ‘derecho al olvido’ es la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. Hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).
Finalmente, a modo de conclusión, os aconsejamos acceder al siguiente enlace, Infografía de la Comisión Europea, donde podréis encontrar una estupenda infografía que resume gráficamente todos los cambios que en cuanto a la protección de datos nos vamos a encontrar a partir del 25 de mayo.