Última revisión
datos
1630 - Procedimiento para ejercer el derecho de información y acceso a los datos personales en el sector público
Relacionados:
Vademecum: datos
Fecha última revisión: 08/10/2024
A la hora de ejercer el derecho de información y acceso a los datos personales en el sector público, el responsable del tratamiento deberá informar al interesado sobre la identidad y datos de contacto del mismo, los fines del tratamiento, los destinatarios o categorías de destinatarios de los datos, la intención de transferir datos a un tercer país, y los criterios para establecer el plazo de conservación de los datos. Además, el responsable deberá informar sobre los derechos del interesado como el de acceso, rectificación, supresión, limitación del tratamiento, oposición al tratamiento y portabilidad de los datos.
a. Información que deberá facilitarse cuando los datos personales se obtengan del interesado
Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le proporcionará la siguiente información:
- Identidad y datos de contacto del responsable del tratamiento y, en su caso, de su representante.
- Datos de contacto del DPD, en su caso.
- Fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- Intereses legítimos del responsable o de un tercero [si el tratamiento se base en el artículo 6, apartado 1, letra f), del RGPD].
- Destinatarios o categorías de destinatarios de los datos personales, en su caso.
- La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión o, en el caso de las transferencias señaladas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, del RGPD, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición, en su caso (artículo 13.1 del RGPD).
Además de la antedicha información, el responsable del tratamiento suministrará al interesado, en el momento en que se obtengan los datos personales, la información necesaria para garantizar un tratamiento de datos leal y transparente, es decir:
- Plazo durante el cual se conservarán los datos personales o los criterios utilizados para fijar este plazo (cuando lo anterior no sea posible).
- Existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, y el derecho a la portabilidad de los datos.
- Existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada, cuando el tratamiento se fundamente en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) del RGPD.
- Derecho a presentar una reclamación ante una autoridad de control.
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar los mismos.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, que indica el artículo 22, apartados 1 y 4, del RGPD, y, al menos en dichos supuestos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado (artículo 13.2 del RGPD).
Ahora bien, cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales con un objeto que no sea aquel para el que se hubieren recogido, proporcionará al interesado, con anterioridad al referido tratamiento ulterior, información sobre ese otro fin y cualquier información adicional oportuna de acuerdo con el apartado 2 del artículo 13 del RGPD.
A mayor abundamiento, la Agencia Española de Protección de Datos (AEPD) recomienda adoptar un modelo de información por capas o niveles de modo que se ofrezca una:
Información básica (1.ª capa, resumida)
- Identidad del responsable del tratamiento;
- Descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese;
- Base jurídica del tratamiento;
- Previsión o no de cesiones.
- Previsión de transferencias o no, a terceros países.
- Referencia al ejercicio de derechos.
Información adicional (2.ª capa, detallada)
- Datos de contacto del responsable. Identidad y datos del representante (si existiese).
- Datos de contacto del delegado de protección de datos (si existiese).
- Descripción ampliada de los fines del tratamiento.
- Plazos o criterios de conservación de los datos.
- Decisiones automatizadas, perfiles y lógica aplicada.
- Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
- Obligación o no de facilitar datos y consecuencias de no hacerlo.
- Destinatarios o categorías de destinatarios.
- Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
- Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento.
- Derecho a retirar el consentimiento prestado.
- Derecho a reclamar ante la autoridad de control.
- Esta información no se facilitará en los supuestos de que el afectado ya disponga de la misma.
Fuente: web de la AEPD.
A TENER EN CUENTA. Los preceptos establecidos en los apartados 1 a 3 del artículo 13 del RGPD no serán aplicables cuando y en la medida en que el interesado ya posea la información (artículo 13.4 del RGPD).
b. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le informará de los siguientes aspectos:
- Identidad y datos de contacto del responsable y, en su caso, de su representante.
- Datos de contacto del DPD, en su caso.
- Fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- Categorías de datos personales de que se trate.
- Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
- La intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, del RGPD, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición, en su caso (artículo 14.1 del RGPD).
Además de la citada información, el responsable del tratamiento suministrará al interesado la información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado, esta es:
- Plazo durante el cual se conservarán los datos personales o, los criterios utilizados para establecer dicho plazo (cuando lo anterior no sea posible).
- Intereses legítimos del responsable del tratamiento o de un tercero cuando el tratamiento se base en el artículo 6, apartado 1, letra f), del RGPD.
- Derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, y el derecho a la portabilidad de los datos.
- Existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada cuando el tratamiento se base en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), del RGPD.
- Derecho a presentar una reclamación ante una autoridad de control.
- Fuente de la que proceden los datos personales y si proceden de fuentes de acceso público, en su caso.
- Existencia de decisiones automatizadas, incluida la elaboración de perfiles, indicado en el artículo 22, apartados 1 y 4, del RGPD, y, al menos en esos supuestos, información significativa sobre la lógica aplicada, la importancia y las consecuencias establecidas de dicho tratamiento para el interesado (artículo 14.2 del RGPD).
Asimismo, el responsable del tratamiento de datos facilitará la información referida en los puntos explicados con anterioridad:
- Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, teniendo en cuenta las circunstancias específicas en las que se traten esos datos.
- Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
- Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez (artículo 14.3 del RGPD).
Sin embargo, atendiendo a lo dispuesto en el art. 14.5 del RGPD, las disposiciones establecidas en los apartados 1 a 4 del artículo 14 del RGPD no serán aplicables cuando y en la medida en que:
- El interesado ya disponga de la información.
- La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías establecidas en el artículo 89, apartado 1, del RGPD o en la medida en que la obligación referida en el apartado 1 del artículo de referencia pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información.
- La obtención o la comunicación esté expresamente dispuesta por el derecho de la Unión o de los EE. MM. que se aplique al responsable del tratamiento y que disponga medidas adecuadas para proteger los intereses legítimos del interesado.
- Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el derecho de la Unión o de los EE. MM., incluida una obligación de secreto de naturaleza legal.
Por último, la Agencia Española de Protección de Datos (AEPD) contesta a la cuestión acerca de ¿qué información debe facilitarse cuándo los datos no se hayan obtenido directamente del afectado?, añadiendo lo siguiente:
«- En la información básica (1.ª capa, resumida), la fuente (procedencia) de los datos.
- En la información adicional (2.ª capa, detallada), la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público, así como la categoría de datos que se traten.
Esta información se facilitará dentro de un plazo razonable, y más tardar en un mes, salvo que:
- Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado.
- Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
No obstante lo anterior, no será necesario comunicar el contenido del derecho de información cuando:
- El afectado ya disponga de la información.
- La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de que el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses legítimos del afectado.
- La comunicación de los datos esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y se establezcan medidas adecuadas para proteger los intereses legítimos del afectado.
- Los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida la obligación de secreto de naturaleza estatutaria».
Fuente: web de la AEPD.
A TENER EN CUENTA. Si el responsable del tratamiento proyecta el tratamiento ulterior de los datos personales para un objeto que no sea aquel para el que se obtuvieron, facilitará al interesado, antes de dicho tratamiento, información sobre ese otro fin y cualquier otra información pertinente establecida en el apartado 2 del artículo de referencia (artículo 14.4 del RGPD).
CUESTIONES
1. ¿Qué son los derechos ARSO?
El Diccionario del Español Jurídico de la RAE define los derechos ARSO como:
- Derecho de acceso: «derecho a obtener la confirmación de la existencia o inexistencia, en un fichero, de los datos personales del interesado».
- Derecho de rectificación: «derecho del afectado a obtener del responsable del tratamiento la modificación o complemento de los datos personales cuando resulten inexactos o incompletos».
- Derecho de supresión: «derecho del interesado a que el responsable del tratamiento suprima todos o algunos de sus datos personales y se abstenga de darles más difusión, cuando ya no son necesarios para los fines para los que fueron recogidos o tratados».
- Derecho de oposición: «facultad de impedir que los datos personales sean tratados, cuando existan motivos fundados y legítimos».
2. ¿Cuáles son los artículos reguladores de los derechos de los interesados en el RGPD y en la LOPDGDD?
Los derechos de los interesados se regulan:
a) En la LOPDGDD:
- Disposiciones generales sobre ejercicio de los derechos (artículo 12 de la LOPDGDD).
- Derecho de acceso (artículo 13 de la LOPDGDD).
- Derecho de rectificación (artículo 14 de la LOPDGDD).
- Derecho de supresión (artículo 15 de la LOPDGDD).
- Derecho a la limitación del tratamiento (artículo 16 de la LOPDGDD).
- Derecho a la portabilidad (artículo 17 de la LOPDGDD).
- Derecho a la oposición (artículo 18 de la LOPDGDD).
b) En el RGPD:
- Derecho de acceso del interesado (artículo 15 del RGPD).
- Derecho de rectificación (artículo 16 del RGPD).
- Derecho de supresión (artículo 17 del RGPD).
- Derecho a la limitación del tratamiento (artículo 18 del RGPD).
- Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (artículo 19 del RGPD).
- Derecho a la portabilidad de los datos (artículo 20 del RGPD).
- Derecho de oposición (artículo 21 del RGPD).
- Decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 del RGPD).