Derechos ARCO en protección de datos

Los derechos en materia de Protección de Datos son fundamentales, ya que otorgan a los individuos el control sobre la información que se recopila y utiliza sobre ellos. Con el tiempo, estos derechos han experimentado una evolución significativa, incorporando nuevas posibilidades a raíz de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Este artículo explora en qué consisten estos derechos y cómo pueden ser ejercidos por los ciudadanos para salvaguardar su privacidad y garantizar el uso adecuado de sus datos personales.

Derechos ARCO en la LOPD y el RGPD

Antes de la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante RGPD), era la Ley Orgánica 15/1999, de 13 de diciembre, la que regulaba la protección de los datos personales en España. En esta normativa se establecían los denominados derechos ARCO: derecho de acceso, derecho de rectificación, derecho de cancelación y derecho de oposición.

Con la entrada en vigor del RGPD, junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) se produjeron cambios al respecto. Concretamente, los derechos ARCO se modificaron y ampliaron de la siguiente manera:

• El derecho de cancelación pasó a ser de supresión.
• A los derechos originales de Acceso, Rectificación, y Oposición se añadieron el Derecho de Limitación del Tratamiento, Derecho a la Portabilidad y Derecho a no ser objeto de decisiones automatizadas.
• Importante recalcar que también existe el Derecho a presentar una reclamación ante la autoridad competente.

A continuación explicamos en qué consisten los derechos ARCO junto con los derechos de Limitación del tratamiento, Portabilidad y Derecho a no ser objeto de decisiones automatizadas:

Derecho de acceso:

Es el derecho que tiene una persona a obtener información sobre si se están tratando sus datos personales y, en caso de que así sea, a conocer:

• La finalidad para la que se están tratando.
• Las categorías de datos que se están tratando.
• Los destinatarios de los datos.
• Durante cuánto tiempo se van a conservar los datos o cómo se determinará ese plazo.
• La existencia de otros derechos que puede ejercer el interesado.
• La existencia del derecho a presentar una queja ante la Agencia Española de Protección de Datos.
• Si los datos no se han obtenido del interesado, se le debe informar de dónde provienen.
• Si se están tomando decisiones automatizadas, se debe explicar la lógica que se usa para la toma de estas decisiones.

Derecho de rectificación:

Este derecho supone que, si una persona considera que sus datos son inexactos o incompletos, puede solicitar que se rectifiquen o completen sin dilación indebida.

Derecho de oposición:

Este derecho implica que una persona podrá oponerse a que se traten sus datos, siempre y cuando:

• El tratamiento se base en el interés público o el interés legítimo del Responsable del tratamiento: ahora bien, si el responsable del tratamiento acredita “motivos imperiosos” para seguir tratando los datos, que se superponen a los intereses, derechos y libertades de los interesados, podrán seguir tratándose. Asimismo, podrá también seguir tratándolos para la “formulación, el ejercicio o la defensa de reclamaciones”.
• Cuando los datos se estén tratando con la finalidad la mercadotecnia directa, en cuyo caso dejarán de tratarse para este fin.

Derecho a la supresión:

Permite solicitar que se eliminen los datos personales en las siguientes circunstancias:

• Si los datos ya no son necesarios para los fines originales.
• Si el tratamiento se basaba en tu consentimiento, y este se retira.
• Si la persona ha ejercido su derecho de oposición al tratamiento en los supuestos antes contemplados.
• Si los datos se han tratado de forma ilícita.
• Si deben ser eliminados para cumplir con una obligación legal.
• Si los datos se recogieron en relación con servicios de la sociedad de la información dirigidos a menores.

El derecho al olvido está relacionado con el de supresión, pero enfocado al ámbito de internet. Concretamente, se refiere al derecho a solicitar que no se difundan datos personales que carecen de relevancia o están obsoletos, aunque la información sea correcta. Este derecho tiene también limitaciones, concretamente “ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones”.

Derecho a la limitación del tratamiento:

Permite solicitar que se restrinja el tratamiento de los datos personales (a excepción de su conservación) en una serie de supuestos:

• Si existe una duda sobre si los datos son exactos, hasta que se verifique.
• Si se ejerce el derecho de oposición, hasta que se compruebe que no existe un interés imperioso del responsable que prevalezca.
• Si el tratamiento es ilegal pero se solicita que se limite su uso en vez de ejercer el derecho de supresión.
• Si los datos ya no son necesarios para el responsable, pero el titular de los mismos los necesita para formular o defender reclamaciones.

Derecho a la portabilidad de los datos:

Permite que una persona reciba sus datos personales de un Responsable en un formato estructurado, común y legible por máquina, y transmitir así esos datos a otro Responsable del tratamiento. Ahora bien, este derecho tiene una serie de limitaciones, y es que para poder ejercer este derecho, el tratamiento de datos debe basarse en el consentimiento o en la ejecución de un contrato. Además, debe haberse realizado por medios electrónicos.

Derecho a no ser objeto de decisiones automatizadas:

Supone que una persona no debe ser sometida a decisiones que se basen exclusivamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, si estas decisiones tienen efectos jurídicos sobre él o le afectan de manera similar. No obstante, hay limitaciones:

• Cuando se haya dado el consentimiento o cuando sea necesario para ejecutar un contrato del que el interesado es parte: en estos casos la persona tiene derecho a que exista intervención humana y a impugnar la decisión.
• Cuando el Derecho de la UE o de los Estados miembro lo permita.

Derecho a presentar una reclamación ante la autoridad competente:

Supone el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si la persona considera que la entidad no ha tratado sus datos correctamente.

Cómo solicitar el acceso, rectificación o cancelación de datos

Para ejercer tus derechos ARCO (Acceso, Rectificación, Supresión, Oposición) además de los derechos de Limitación del tratamiento, Portabilidad y el derecho a no ser objeto de decisiones automatizadas, hay que tener en cuenta lo siguiente:

1. No es obligatorio aportar documento de identificación: la Agencia Española de Protección de Datos se ha pronunciado al respecto, indicando que no es correcto que el Responsable del tratamiento pida copia del documento de identidad a la persona que ejerce un derecho. Solo en caso de que no haya otra medida menos invasiva para acreditar la identidad se podrá solicitar.

1. Ejercer estos derechos es totalmente gratuito: salvo si se considera que se han llevado a cabo solicitudes repetitivas o excesivas, en cuyo caso el responsable podría cobrar una tarifa proporcional a los costos administrativos o negarse a actuar.
2. Medios a través de los cuáles ejercerlos: es el propio responsable quien debe indicar los medios para ejercer los derechos (facilitando información como dirección postal, un email al que escribir…). Ahora bien, siempre debe ser de manera sencilla, y si la solicitud se hace por medios electrónicos, la respuesta se debería dar por el mismo medio, salvo que se solicite lo contrario.
3. Plazos de respuesta: cuando se ejerce un derecho, el responsable debe responder en un plazo máximo de un mes. Si la solicitud es compleja, este plazo puede extenderse hasta dos meses más.
4. Notificación de no actuación: aunque el responsable de los datos personales decida no atender al ejercicio del derecho, debe informar de la razón dentro de un mes. Asimismo, deberá informar sobre el derecho a presentar una reclamación ante la Autoridad de Control.
5. No es necesario ejercer los derechos personalmente: si bien son derechos personalísimos, y por tanto deben ser ejercidos por el propio titular, se puede ejercer también a través de un representante legal o voluntario.

Los derechos Arco mencionados son una herramienta fundamental para la protección de la privacidad y la autonomía de los individuos en el contexto de la era digital. Gracias a la evolución normativa, ahora los titulares de los datos tienen un control más amplio y detallado sobre cómo se tratan sus datos personales. Además, la legislación garantiza que estos derechos sean accesibles de manera sencilla y gratuita, permitiendo a las personas ejercer su derecho a la privacidad de forma efectiva.