Como concreción individual de los
principios que enuncia la Ley Orgánica de Protección de Datos de Carácter
Personal (LO 15/1999, de 13 de diciembre), existen una serie de derechos por
parte del titular de los datos. En estos derechos deben distinguirse dos
categorías: la primera, que está integrada por los derechos que constituyen el
contenido esencial del derecho fundamental a la protección de datos, esto es, a
saber, los derechos de acceso, rectificación, cancelación y oposición al
tratamiento de los datos por parte de su titular; y, la segunda, que comprende
el derecho a la impugnación, el derecho a la indemnización y el derecho a la
consulta del Registro General de Protección de datos.
El ejercicio de estos derechos tiene
carácter personalísimo, pues sólo podrán ser ejercidos por su titular.
Excepcionalmente, podrán ser ejercidos por el representante legal del
interesado cuando éste se encuentre en una situación de incapacidad o minoría
de edad que le imposibilite el ejercicio personal de los mismos (art. 23 del
Reglamento –RD 1720/2007-).
Por otra parte, estos derechos se
califican como independientes, de suerte que no podrá entenderse que el
ejercicio de cualquiera de ellos sea requisito previo para el ejercicio del
otro.
El procedimiento para el ejercicio
de los derechos se determina en el art. 25 del Reglamento (nombre y apellidos
del interesado, petición en que se concreta la solicitud, dirección a efectos
de notificaciones, fecha y firma del solicitante, y, en su caso, documentos
acreditativos de la petición que formula). Cuando el responsable del fichero
reciba la solicitud, deberá contestarla, independientemente de que figuren o no
datos del solicitante en sus ficheros, utilizando cualquier medio que permita
acreditar el envío y la recepción (por el mismo medio ha de enviarse la
solicitud). Si la solicitud no reúne los requisitos exigidos legalmente, el
responsable del fichero deberá requerir al solicitante para que subsane la
deficiencia detectada. Y, para el caso de que no se atienda la solicitud de
acceso, rectificación, oposición y cancelación, el ejercicio de estos derechos
podrá ser reclamado ante la Agencia Española de protección de datos, que abrirá
un procedimiento de tutela de derechos a fin de determinar la posible
vulneración de los mismos.
DERECHO DE ACCESO (art. 15 LOPD y 27
del Reglamento):
Consiste, esencialmente, en la
posibilidad que tiene el interesado para dirigirse al titular del fichero par
solicitar y obtener gratuitamente información sobre sus datos de carácter
personal que están siendo sometidos a tratamiento, sobre su origen y las
comunicaciones realizadas o que se prevean realizar de los mismos; al propio
tiempo en la solicitud deberá constar el fichero o ficheros que se pretenden
consultar.
El titular del fichero deberá
proporcionar la siguiente información (ex art. 29 del Reglamento): los datos de
base del afectado y los resultantes de cualquier elaboración o proceso
informático, el origen de los datos, los cesionarios de los mismos y la
especificación de los concretos usos y finalidades para los que se almacenaron
los datos.
El responsable del fichero deberá
adoptar las medidas necesarias para garantizar que todas las personas de su
organización que tienen acceso a datos de carácter personal, puedan informar
del procedimiento a seguir por el afectado para el ejercicio de sus derechos.
En tal sentido, el responsable del fichero está obligado a proporcionar la
información solicitada de forma gratuita en el plazo máximo de 1 mes, a contar
desde la recepción de la solicitud. Si en tal plazo no se ha resuelto de forma
expresa, se entenderá el silencio como denegatorio de la solicitud, pudiendo en
tal caso el afectado dirigirse a la Agencia Española de Protección de Datos; y,
si aquélla fuera estimada, el acceso se hará efectivo en el plazo de los 10
días siguientes a su notificación (art. 29 del Reglamento).
El derecho de acceso podrá
ejercitarse a intervalos no inferiores a 12 meses, salvo que se acredite un
interés legítimo por parte del interesado, pudiendo en tal caso ejercitarse
antes. A salvo la excepción temporal señalada, sólo se denegará el acceso
cuando la solicitud sea formulada por persona distinta del afectado.
DERECHO DE RECTIFICACIÓN Y CANCELACIÓN
:
Es la posibilidad que tiene el
titular de los datos cuando éstos sean inexactos o incompletos, o cuando el
tratamiento a que están siendo sometidos no se ajuste a lo dispuesto en la
LOPD, en particular cuando tales datos resulten inadecuados o excesivos.
Ahora bien, la posibilidad que tiene
el ciudadano de ejercitar estos derechos, no implica necesariamente que el
titular del fichero tenga la obligación de rectificar o cancelar los datos,
pues sólo tendrá que hacerlo cuando legalmente proceda su rectificación o
cancelación.
Una vez recibida la solicitud el
responsable del fichero podrá estimarla o no. En caso afirmativo, deberá hacer
efectivo la cancelación o rectificación en el plazo de 10 días desde la
recepción de la solicitud; y, en caso contrario, deberá también notificarlo
motivadamente dentro del mismo plazo de 10 días. Para el caso de que transcurra
el plazo de 10 días sin que el titular del fichero se pronuncie de forma
expresa, se entenderá el silencio como desestimatorio de la solicitud.
Para el caso de que los datos
rectificados o cancelados hubieran sido previamente comunicados o cedidos, el
responsable del tratamiento deberá notificar en el mismo plazo de 10 días la
rectificación o cancelación efectuada a quien se hayan comunicado o cedido
tales datos en el supuesto de que se mantenga el tratamiento por este último,
que deberá también proceder a la rectificación y cancelación.
Por lo demás, hay que tener en
cuenta que la cancelación no supone en modo alguno la eliminación o borrado de
los datos, sino su bloqueo, pues en caso de posterior conflicto podrán ser
requeridos. Se procederá a su cancelación definitiva una vez cumplidos los
plazos de prescripción derivados de las obligaciones o responsabilidades
nacidas del tratamiento, quedando, mientras tanto y a tales efectos, a
disposición de las Administraciones Públicas y Tribunales, para que, una vez
transcurrido el plazo de prescripción,
se opere su efectiva supresión o destrucción.
DERECHO DE OPOSICIÓN:
Es la facultad que tiene el
ciudadano para que sus datos no lleguen a ser tratados con una finalidad
determinada o introducidos en un fichero.
Podemos distinguir dos clases de
derecho de oposición, a saber las siguientes:
a).- Posibilidad que tienen los
titulares para oponerse a que sus datos sean tratados con la finalidad de
marketing y prospección comercial.
b).- En los supuestos en que no es
necesario el consentimiento del afectado para el tratamiento de sus datos, éste
podrá oponerse al tratamiento de los mismos cuando existan motivos fundados y
legítimos relativos a una concreta situación personal, siempre que la ley no
disponga lo contrario.
El responsable del fichero habrá de
resolver sobre la solicitud de oposición, en ambos casos, en el plazo máximo de
10 días a contar desde la recepción de aquélla. Si transcurre el plazo sin
responder expresamente a la solicitud, ésta podrá entenderse desestimada a los
efectos de interponer la reclamación a que se contrae el art. 18 de la LOPD.
La LOPD considera como infracciones
leves no atender por motivos formales la solicitud del interesado de rectificación
o cancelación de los datos personales objeto de tratamiento cuando legalmente
proceda (sanción: multa de 900 a 40.000 euros). Asimismo, considera que
constituye infracción grave el impedimento o la obstaculización del ejercicio
de los derechos de acceso y oposición y la negativa a facilitar la información
que sea solicitada (sanción: multa de 40.001 a 300.000 euros). Y considera
infracción muy grave no atender u obstaculizar de forma sistemática el
ejercicio de los derechos de acceso, rectificación, cancelación u oposición
(sanción: multa de 300.001 a 600.000 euros).
Finalmente, además de los derechos
comentados, se reconoce a los ciudadanos los derechos de consulta al Registro
General de Protección de Datos, consistente en la posibilidad de acudir a tal
Registro para obtener información sobre los ficheros, tanto de titularidad
pública como privada, inscritos en él, el nombre del responsable del fichero y
la finalidad del mismo (el Registro es de consulta pública y gratuita, sin que
exista limitación alguna para las consultas efectuadas por el interesado); al
propio tiempo, también existe el derecho de impugnación de valoraciones, que
permite impugnar las decisiones que tengan efectos jurídicos, basadas
únicamente en una evaluación de sus características o personalidad resultado de
un tratamiento de datos de carácter personal (igualmente, podrán ser impugnados
los actos administrativos o decisiones privadas que impliquen una valoración
del comportamiento del titular de los datos, cuando el único fundamento es un
perfil obtenido a través del tratamiento de los datos de carácter personal. Y,
finalmente, en cuanto al derecho a indemnización, tenemos que la ley establece
esta posibilidad cuando el ciudadano sufra daño o lesión en sus bienes o
derechos como consecuencia del incumplimiento de lo prescrito en la normativa
sobre protección de datos por parte del responsable del fichero o del encargado
del tratamiento (en tal caso, si el incumplimiento proviene de un fichero de
titularidad privada, habrá que acudir a la Jurisdicción Ordinaria, y si el
fichero fuera de titularidad pública la responsabilidad se exigirá conforme a
lo dispuesto en la legislación reguladora del régimen de responsabilidad de las
Administraciones Públicas.