El dret a la protecció de dades personals: potestats de control

El dret a la protecció de dades personals permet, dit d'una manera molt simple, que cada persona controli les seves dades personals. Òbviament, com qualsevol altre dret, té límits que s'han d’establir en una norma amb rang de llei.

Per controlar, de manera efectiva i real, les nostres dades personals, el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (RGPD), regula una sèrie de drets que s’integren dins del dret a la protecció de dades:

1. Dret d’informació
2. Dret d’accés
3. Dret de rectificació
4. Dret de supressió
5. Dret a la limitació del tractament
6. Dret d’oposició
7. Dret a no veure's sotmès a decisions individuals automatitzades.

Aquests drets permeten a les persones de “governar” la informació que els responsables del tractament utilitzen.

El punt de partida per a un exercici efectiu dels drets ha de ser el dret d’informació, ja que difícilment podem controlar una cosa quan desconeixem que s’està produint. No entraré a parlar d’aquest dret, al qual ja em vaig referir en un altre apunt del blog: Aplicació del principi de transparència i del dret d'informació en el Reglament general de protecció de dades, però sí dels altres drets, ressaltant les qüestions que són una novetat respecte de la regulació anterior.

En primer lloc, pel que fa al procediment d’exercici dels drets, cal destacar que l'RGPD estableix un termini únic per resoldre les peticions d’exercici dels drets, que és d’un mes a partir de la recepció de la sol·licitud (fins ara era d'un mes per al dret d’accés i de 10 dies per als drets de rectificació, supressió i oposició). Ara bé, en cas que sigui necessari, aquest termini es pot prorrogar dos mesos més, atesa la complexitat i el nombre de sol·licituds. D’aquesta pròrroga s’ha d’informar la persona interessada dins el termini del primer mes (des que es rep la sol·licitud) i s'han d'indicar els motius de la dilació.

En segon lloc, l'RGPD estableix que el responsable del tractament ha d’articular els procediments d’exercici de drets, de manera que ha d’elaborar models que facilitin l’exercici dels drets a la persona interessada, així com informar-la sobre els mitjans per exercir aquests drets. En aquest sentit, ha de permetre que les sol·licituds d’exercici de drets es presentin per mitjans electrònics, encara que la persona afectada pot optar per un altre mitjà.

A més, el responsable del tractament també ha d’establir un protocol d’actuació intern que permeti d'una manera àgil i efectiva donar resposta a les sol·licituds d'exercici de drets. En definitiva, el responsable ha de facilitar a la persona interessada l’exercici dels seus drets, i no s’ha de negar a actuar excepte que pugui demostrar que no està en condicions d’identificar-la. Si el responsable té dubtes raonables sobre la identitat de la persona física que ha presentat la sol·licitud, l'RGPD disposa que pot sol·licitar la informació addicional necessària per confirmar la identitat de la persona interessada.

Com he assenyalat, la finalitat d’aquests drets és que la persona interessada pugui controlar en tot moment les seves dades personals, i per aquest motiu l'RGPD exigeix al responsable que la resposta sigui concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, especialment si la informació s’adreça a un infant. És a dir, s’ha de donar la informació de manera que la persona interessada pugui entendre i comprendre què fa el responsable amb les seves dades. A més, l'RGPD també assenyala que la resposta s'ha de donar per escrit o per altres mitjans, incloent-hi els mitjans electrònics, especialment quan el tractament s’efectua per aquests mitjans.

En tercer lloc, val a dir que l'RGPD manté la gratuïtat en l'exercici del dret, si bé afegeix que el responsable de tractament pot cobrar un cànon raonable —en funció dels costos administratius generats— o bé negar-se a actuar respecte de la sol·licitud en els casos en què sigui manifestament infundada o excessiva, especialment a causa del caràcter repetitiu. Ara bé, recau sobre el responsable la càrrega de la prova, és a dir, és qui ha de demostrar el caràcter manifestament infundat o excessiu de la sol·licitud.

Finalment, cal mencionar que l’exercici d’aquests drets no és absolut, sinó que es pot limitar. Aquests límits s'han de regular amb una norma amb rang de llei. Els possibles supòsits estan regulats en l’article 23 de l'RGPD, com ara la seguretat de l’Estat, la defensa, la seguretat pública, la prevenció, la investigació, la detecció o l’enjudiciament d'infraccions penals o l'execució de sancions penals, la protecció de la independència judicial i dels procediments judicials, la protecció de la persona interessada o dels drets i les llibertats dels altres, etc.

Pel que fa al contingut concret dels diferents drets, l'RGPD ha mantingut els drets d’accés i de rectificació, n’ha modificat alguns altres, com el de supressió (incorpora la referència al dret a l’oblit) i el dret d’oposició, i finalment també n’ha creat de nous, com ara el dret a la portabilitat o el dret a la limitació del tractament.

El dret d’accés és el dret de la persona interessada a saber si el responsable tracta dades personals seves i, si és així, a accedir-hi i obtenir la informació sobre com s’estan tractant. No l'hem de confondre amb el dret d'accés a la informació pública (en aquest sentit, us recomano que llegiu l’apunt de Carles San José, que explica detalladament les diferències entre els diversos drets d’accés).

Com he dit, en línies generals aquest dret manté una regulació similar a l’anterior, si bé cal destacar que ara l'RGPD amplia la informació que cal donar, per exemple, que s’ha de facilitar el termini previst de conservació de les dades (o criteris per determinar-lo) o la possibilitat d’exercir el dret de rectificació, supressió, limitació o oposició, i també disposa que la primera còpia de les dades personals objecte de tractament s’ha de facilitar de manera gratuïta, però en cas de sol·licitar còpies addicionals el responsable pot cobrar un cànon raonable en funció de les despeses administratives generades.

Finalment, és important assenyalar que aquest dret a obtenir còpia no pot afectar negativament els drets i les llibertats d’altres persones, de manera que el responsable ha de tenir cura de no lliurar informació que reveli dades personals de tercers. Cal mencionar també que la LOPDGDD ha regulat una sèrie d’aspectes no inclosos en l'RGPD, com ara:

• La possibilitat que el responsable, quan tracti una gran quantitat de dades, pugui demanar a la persona interessada que especifiqui les dades o activitats de tractament que vol.
• La possibilitat d'establir un accés remot directe i segur a les dades personals que garanteixi de manera permanent l’accés a totes les dades.
• Es considera que la persona interessada formula una sol·licitud repetitiva (recordem que davant de sol·licituds repetitives el responsable pot no actuar) quan s’exerceix el dret d'accés en més d'una ocasió durant el termini de 6 mesos, llevat que hi hagi una causa legítima.
• Es considera que és una sol·licitud excessiva si la persona interessada escull un mitjà diferent que impliqui un cost desproporcionat (l’excés de cost l’ha d’assumir la persona interessada).

El dret de rectificació, vinculat amb el principi d’exactitud, permet rectificar les dades personals inexactes (per exemple, número de DNI incorrecte, dades d'al·lèrgies incorrectes) i que es completin les que siguin incompletes (per exemple, el número de pis en l’adreça), fins i tot mitjançant una declaració addicional.

Igual que en la regulació anterior, un cop rectificades les dades, el responsable ha de comunicar aquesta rectificació a cadascun dels destinataris als quals s’hagin comunicat les dades personals (excepte que sigui impossible o exigeixi esforços desproporcionats). A més, com a novetat, si la persona interessada ho sol·licita, el responsable l’ha d’informar sobre aquests destinataris.

La LOPDGDD disposa el bloqueig de les dades rectificades de manera que aquestes quedin a disposició exclusiva de jutges i tribunals, el ministeri fiscal o les administracions públiques competents, autoritats de protecció de dades, per exigir possibles responsabilitats derivades del tractament i pel termini de prescripció de les dades, i no poden ser tractades per a cap finalitat diferent. Un cop transcorreguts aquests terminis, les dades s’eliminen.

El dret de supressió és el dret a obtenir la supressió de les dades personals ("dret a l'oblit"), quan:

• ja no són necessàries per a la finalitat per a la qual es van recollir;
• es revoca el consentiment en el qual es basava el tractament;
• hi ha oposició al tractament;
• les dades s'han tractat il·lícitament, o
• les dades s’han tractat per complir una obligació legal o s'han obtingut en relació amb l'oferta de serveis de la societat de la informació adreçada a menors.

Com assenyala el considerant 65 de l'RGPD, aquest dret és especialment rellevant en els casos en què la persona va prestar el seu consentiment quan era menor d’edat —sense ser plenament conscient dels riscos que comportava donar el consentiment— i, més tard, vol suprimir les seves dades. La persona pot exercir aquest dret encara que ja no sigui menor.

Igual que succeeix amb el dret de rectificació, el responsable ha de comunicar la supressió a cadascun dels destinataris i, si ho sol·licita la persona interessada, el responsable també ha d’identificar els destinataris. En el mateix sentit, si el responsable ha fet públiques les dades personals que s'han de suprimir, ha d’adoptar mesures raonables per informar de la supressió altres responsables que estan tractant aquestes dades.

La LOPDGDD també estableix el bloqueig de les dades suprimides, de manera que queden a disposició exclusiva dels jutges i tribunals, el ministeri fiscal o les administracions públiques competents, autoritats de protecció de dades, per exigir possibles responsabilitats derivades del tractament i pel termini de prescripció de les dades, i no poden ser tractades per a cap finalitat diferent. Un cop transcorreguts aquests terminis, les dades s’eliminen.

Aquest dret, que en l'aspecte de "dret a l'oblit" ha generat molta polèmica, té uns límits que l'RGPD ha precisat i que comporten que les dades s’hagin de conservar. Aquest seria el cas quan el tractament sigui necessari per:

• Exercir el dret a la llibertat d’expressió i d’informació.
• Complir una obligació legal que requereix el tractament de dades.
• Complir una missió realitzada en interès públic.
• L’exercici de poders públics conferits al responsable.
• Raons d'interès públic en l'àmbit de la salut pública.
• Finalitats d'arxiu en interès públic, de recerca científica o històrica o finalitats estadístiques: si la supressió pot fer impossible o obstaculitzar greument l'assoliment aquestes finalitats.
• Formular, exercir o defensar reclamacions.

El dret a la limitació del tractament, que constitueix una de les novetats de l'RGPD, és el dret que permet a la persona interessada d'obtenir del responsable la limitació del tractament, és a dir, que no es faci un tractament concret quan es donin determinades circumstàncies, com ara:

• La persona interessada impugna l'exactitud de les dades durant el termini que permeti al responsable verificar l’exactitud de les dades.
• El tractament és il·lícit i la persona interessada s’oposa a la supressió.
• El responsable ja no necessita les dades personals per a les finalitats del tractament, però la persona interessada les necessita per formular, exercir o defensar reclamacions.
• La persona interessada s'ha oposat al tractament mentre es verifica si els motius legítims del responsable prevalen sobre els de la persona interessada.

Cal diferenciar la limitació del tractament del bloqueig de les dades (art. 32 de la LOPDGDD). El bloqueig comporta reservar les dades i adoptar mesures tècniques i organitzatives que n'impedeixin el tractament —incloent-hi la visualització—, de manera que les dades només queden a disposició dels jutges i tribunals, el ministeri fiscal o les administracions públiques competents, autoritats de protecció de dades, per exigir possibles responsabilitats derivades del tractament i pel termini de prescripció de les dades, i no poden ser tractades per a cap finalitat diferent. En canvi, la limitació del tractament consisteix a marcar les dades personals conservades, amb la finalitat de limitar-ne el tractament mentre duri la limitació.

La limitació obliga el responsable a conservar les dades, i només li permet tractar-les en determinades circumstàncies, per exemple, amb el consentiment de la persona interessada, o per formular, exercir o defensar una reclamació.

El considerant 67 de l'RGPD dona exemples de mètodes per limitar el tractament: traslladar temporalment les dades seleccionades a un altre sistema de tractament, impedir l’accés d’usuaris a les dades personals seleccionades o retirar temporalment les dades publicades d’un lloc d’internet.

Un altre dret nou és el dret a la portabilitat, que té poca aplicabilitat en el context de les administracions públiques, ja que no s'aplica quan les dades són necessàries per complir una missió realitzada en interès públic o en l'exercici de poders públics.

Aquest dret estableix que, quan el tractament de les dades personals s'efectua per mitjans automatitzats, les persones interessades poden obtenir del responsable de tractament les dades en un format estructurat, d'ús comú, de lectura mecànica i interoperable, i que si la persona interessada ho demana les transmetin a un altre responsable de tractament quan sigui tècnicament possible.

El dret d’oposició ja era regulat per la normativa anterior, i permet que una persona que, per motius relacionats amb la seva situació particular (per exemple, víctima de violència de gènere), no vol que es realitzi el tractament de les seves dades, s’hi oposi. Aquest dret, amb la regulació actual, només es pot exercir quan el tractament és necessari per:

• complir una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament, o
• quan el tractament és necessari per satisfer interessos legítims perseguits pel responsable del tractament o per un tercer.

Per tant, es tracta de tractaments per als quals no es demana el consentiment. El responsable només pot denegar-lo si acredita motius legítims imperiosos que prevalguin sobre els interessos, els drets i les llibertats de la persona interessada o el tractament sigui necessari per formular, exercir o defensar reclamacions.

En el cas del màrqueting directe, la persona interessada té dret a oposar-se en tot moment al tractament de les dades, incloent-hi l'elaboració de perfils relacionada amb el màrqueting esmentat.

Finalment, hi ha el dret a no veure's sotmès a decisions individuals automatitzades. Aquest dret no és nou, però ha adquirit una gran rellevància com a conseqüència de l'ús intensiu de les anomenades "tecnologies emergents".

Les persones tenen dret a no ser objecte d'una decisió basada únicament en el tractament automatitzat de les seves dades (incloent-hi l'elaboració de perfils) quan aquesta produeixi efectes jurídics que l’afectin o que l’afectin significativament de manera similar, tot i que hi ha una sèrie d'excepcions:

• quan la decisió sigui necessària per formalitzar o executar un contracte, o
• quan es basi en el consentiment explícit de la persona interessada (per exemple, bancs per atorgar un crèdit, assegurances per donar una pòlissa o qualsevol entitat que ho utilitzi en la fase de selecció de personal).

De conformitat amb el considerant 71 de l'RGPD, per garantir un tractament lleial i transparent d'aquestes decisions automatitzades, el responsable ha d’utilitzar procediments matemàtics i estadístics adequats, aplicar les mesures tècniques i organitzatives apropiades per corregir factors que generen inexactituds i reduir riscs d'error, assegurar les dades personals de manera que es tinguin en compte els riscos per als interessos i drets de la persona interessada i impedir efectes discriminatoris per raça, ètnia, opinions polítiques, religió, salut, etc.

Per acabar, cal mencionar que si el responsable denega en part o totalment l’exercici dels drets d’autodeterminació informativa o bé si la sol·licitud ha estat desestimada perquè no s’ha atès dins de termini, la persona interessada té dues opcions:

• Adreçar-se al delegat de protecció de dades del responsable de tractament. En aquest cas, el delegat té dos mesos per comunicar la decisió que adopti. Un cop transcorregut aquest termini, si no contesta o si la resposta no satisfà la persona interessada, aquesta pot formular una reclamació davant l’autoritat de control.

• Presentar reclamació directament davant l’autoritat de control. En aquest cas, l’autoritat també pot remetre la reclamació al delegat perquè contesti en el termini d’un mes. Un cop transcorregut aquest termini, tant si el delegat contesta com si no ho fa, l’autoritat ha de continuar la tramitació del procediment de tutela de drets.