Última revisión
datos
1380 - ¿Cuál es el contenido del derecho de acceso a los datos personales en las redes sociales?
Relacionados:
Vademecum: datos
Fecha última revisión: 07/10/2024
El interesado que haga uso de redes sociales tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando sus datos personales y, en su caso, derecho de acceso a los mismos y a la información relacionada. Según el artículo 15 del RGPD, se tiene derecho a conocer entre otros los fines del tratamiento, las categorías de datos personales, los destinatarios o categorías de destinatarios, el plazo de conservación de los datos, el derecho a solicitar rectificación, etc.
Además, cuando los datos se transfieren a un tercer país o a una organización internacional, el afectado tendrá derecho a ser informado de las garantías relativas a la transferencia.
Derecho de acceso del interesado en el RGPD
Artículo 15 del RGPD
«1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros».
Así, el interesado tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando sus datos personales y, en su caso, derecho de acceso a los mismos y a la siguiente información:
- Fines del tratamiento.
- Categorías de datos personales.
- Destinatarios o categorías de destinatarios.
- Si es posible, el plazo de conservación de los datos personales, o en su caso, los criterios para determinarlo.
- Derecho a solicitar del responsable la rectificación, supresión o limitación del tratamiento de datos personales.
- Derecho a presentar una reclamación ante la autoridad de control.
- Información disponible del origen de los datos, cuando no se hayan obtenido del interesado.
- Existencia de decisiones automatizadas, incluida la elaboración de perfiles.
Ahora bien, si se transfieren los datos a un tercer país o a una organización internacional, el afectado tendrá derecho a ser informado de las garantías relativas a la transferencia.
Igualmente, el responsable del tratamiento entregará al interesado una copia de los datos personales objeto del tratamiento; no obstante, el derecho a obtener una copia de los datos no influirá negativamente en los derechos y libertades de otros.
A mayor abundamiento, son numerosos los considerandos del texto legal que nos ocupa que se refieren al derecho de acceso del interesado. A título ilustrativo podemos destacar:
a) Considerando 59 del RGPD:
«Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas».
b) Considerando 63 del RGPD:
«Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo, los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas (...)».
c) Considerando 64 del RGPD:
«El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes».
A efectos meramente aclaratorios, la Agencia Española de Protección de Datos (AEPD) especifica que el derecho de acceso es:
«El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información:
- Una copia de tus datos personales que son objeto del tratamiento.
- Los fines del tratamiento.
- Las categorías de datos personales que se traten.
- Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales.
- El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo.
- La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos personales u oponerse a ese tratamiento.
- El derecho a presentar una reclamación ante una Autoridad de Control.
- Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado.
- Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias».
Fuente: página web de la AEPD.
CUESTIONES
1. ¿Qué preceptos del RGPD se refieren al derecho de acceso?
Si bien en el RGPD existen diversas alusiones al acceso a los datos, cabe destacar los siguientes artículos:
2. ¿Se pueden imponer restricciones al derecho de acceso a los datos personales?
En virtud del considerando 73 del RGPD, el derecho de la Unión Europea o de los Estados miembros pueden imponer restricciones a:
«(...) determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública o de violaciones de normas deontológicas en las profesiones reguladas, y su prevención, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, la llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios, o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios. Dichas restricciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales».
Derecho de acceso del afectado en la LOPDGDD
«1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679.
Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.
3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas».
A estos efectos, la LOPDGDD se remite a la regulación del derecho de acceso del interesado establecido en el artículo 15 del RGPD.
CUESTIÓN
¿Qué preceptos de la LOPDGDD se refieren al derecho de acceso del interesado?
Se refieren al derecho de acceso del afectado, entre otros, los que siguen:
- Datos de las personas fallecidas (artículo 3 de la LOPDGDD).
- Disposiciones generales sobre ejercicio de los derechos (artículo 12 de la LOPDGDD).
- Sistemas de información crediticia (artículo 20 de la LOPDGDD).
- Tratamientos de videovigilancia (artículo 22 de la LOPDGDD).
- Tratamiento de datos en el ámbito de la función estadística pública (artículo 25 de la LOPDGDD).
- Infracciones consideradas graves (artículo 73. c de la LOPDGDD).
- Infracciones consideradas leves (artículo 74. d de la LOPDGDD).
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90 de la LOPDGDD).
- Derecho al testamento digital (artículo 96 de la LOPDGDD).
- Acceso a los archivos públicos y eclesiásticos (D.A. 22.ª de la LOPDGDD).