Avisos de seguridad

Buscador

Citas y datos relevantes

  • "El derecho fundamental de la protección de datos es uno de los más importantes en la sociedad de la información." - Ricard Martínez, coordinador del área de estudios de la Agencia Española de Protección de Datos
  • "Se incrementan significativamente en 2009 las consultas ciudadanas y las reclamaciones para solicitar ante la AEPD el derecho al olvido en Internet, pidiendo la cancelación de sus datos en Internet, y para evitar que sus datos aparezcan en los resultados de los Buscadores." - Resumen de prensa de la Memora de la AEPD 2009
  • Memoria de la AEPD 2009, apartado "La Agencia en cifras": se incrementan en un 50% las solicitudes de Tutela de Derechos en 2009.
  • "Tuenti criba 35.000 menores de 14 años(…) La Red Social continúa con la identificación de jóvenes que no cumplan con la edad mínima exigida y en los primeros cinco meses del año 2010 ya ha eliminado casi 35.000 perfiles de menores por debajo de ese umbral" - Noticia de RTVE.es

Casos reales

Se resume a continuación las partes fundamentales de un Procedimiento Sancionador de la Agencia Española de Protección de Datos, por el que se sanciona a una Entidad financiera por, dicho en breve, haber utilizado datos personales de una persona a la cual ya le había cancelado sus datos (habiendo mandado incluso una comunicación confirmando la cancelación), tras un procedimiento de Tutela de Derechos ante dicha Agencia es que se le requería en tal sentido.

Los hechos más destacados del supuesto fueron:

  • En febrero de 2006 en un Procedimiento de la AEPD se acordó ESTIMAR, por motivos formales, la reclamación formulada por XXXXXX contra YYYYYY.
  • En enero 2007 XXXXXX informó a la Agencia que ha recibido contestación por parte de YYYYYY informándola de que sus datos personales han sido dados de baja de los ficheros de la misma.
  • Sin embargo, YYYYYY comunica a XXXXXX un nuevo número de cuenta en marzo 2007.
  • La AEPD realiza una inspección y constata la existencia y tratamiento de datos de XXXXXX en ficheros de YYYYYY.

La Agencia, a la vista de los hechos, decide sancionar por cuanto la cancelación o el bloqueo de datos no consigue su fin en este caso, cual es impedir que YYYYYY utilice los datos de XXXXXX datos para fines propios, que es la voluntad del ésta. No puede utilizar sus datos. Y si lo hace, infringe las normas sobre ejercicio de derechos establecidas en la normativa sobre datos personales.

En este caso, la sanción a YYYYYY fue de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos).

Temas de interés

¿Dónde y cómo puede ejercer mis derechos?

En este apartado se explican de manera clara y sencilla los distintos canales, medios y entidades que pueden utilizar las personas físicas para ejercitar aquellos derechos que le confiere la normativa sobre protección de datos, así como cualquier otra normativa relevante en cuanto a tratamiento de datos de carácter personal. Igualmente se indicarán aquellos procedimientos que pueden iniciarse en caso de que se entienda que no se ha dado cumplimiento, en todo o en parte, a la solicitud de derechos realizada.

Por otro lado, se propondrán pautas de actuaciones de las Entidades que reciban solicitudes de ejercicio de derechos, así como se indicará qué tipo de sanciones podrían derivarse en caso de que no atención de las solicitudes.

¿Dónde y cómo puede ejercer mis derechos?
Las infracciones por no atender el ejercicio de derechos, puede llegar a aquellas calificadas por la normativa como "muy graves", con sanciones de hasta 600.000 euros.

La Ley Orgánica de Protección de Datos y su Reglamento de desarrollo regula una serie de derechos sobre los propios datos personales. Pero es que además hay otras normas que, de uno u otro modo, vienen a regular derechos que afectan a nuestros datos personales. Por ello, a continuación se va a tratar dónde y cómo se pueden ejercitar los derechos regulados en:

  1. La Ley Orgánica de Protección de Datos y su Reglamento de desarrollo: Acceso, rectificación, cancelación y oposición.
  2. La normativa específica sobre protección de datos referida a videovigilancia.
  3. La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, relativo a comunicaciones comerciales a través de medios electrónicos.
  4. La normativa sobre servicios de telecomunicaciones en lo relativo a la aparición en guías o repertorios de abonados (páginas blancas).

Además, veremos qué tienen que hacer las empresas, en cuanto a pautas generales de actuación, cuando reciben un derecho de los regulados en la Ley.

Entrando en el detalle del ejercicio de cada uno de los derechos señalados:

  1. En cuanto a los derechos de acceso, rectificación, cancelación y oposición:
    • Aspectos comunes:
      1. ¿Dónde dirigirse? A una dirección de la empresa, postal o electrónica, que pueda estar tratando nuestros datos personales y que pueda entenderse como punto de contacto con interesados (dirección de la sede social, dirección indicada en los ficheros inscritos en la Agencia Española de Protección de Datos, sede electrónica o página web si existe una funcionalidad hábil a tal fin, servicio de atención al cliente, oficinas físicas, etc.)
      2. ¿Quién puede ejercitarlo? Sólo el interesado, o en todo caso, su representante legal (menores o incapacitados) o voluntario (persona autorizada por el interesado).
      3. ¿Cómo presentar la solicitud? Por cualquier medio que permita demostrar que efectivamente se ha presentado.
      4. ¿Qué debe incluir la solicitud? Fotocopia de DNI, Pasaporte o Tarjeta de residencia, petición en que se concreta la solicitud, dirección a efectos de notificación y, en su caso, la documentación que haya que acompañar (p.e. si se quieren rectificar datos).
      5. ¿Qué hacer si no hay respuesta o ésta es insatisfactoria? Pueden dirigirse a la Agencia Española de Protección de Datos indicando tal circunstancia. Y si ésta lo considera oportuno, podrá abrir bien Procedimiento de Tutela de Derechos, bien un Procedimiento Sancionador.
    • Especificidades del derecho de acceso:
      1. Es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
      2. Sólo se puede ejercitar ante un mismo destinatario o responsable del fichero en intervalos de doce meses.
    • Especificidades del derecho de rectificación:
      1. Es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
      2. Debe acompañarse a la solicitud la documentación que acredite la rectificación.
    • Especificidades del derecho de cancelación: Es el derecho que da lugar a lugar a que se supriman los datos que resulten ser inadecuados o excesivos, resultando normalmente su bloqueo hasta que pasen los plazos legales, momento en que se producirá su cancelación definitiva (eliminación física).
    • Especificidades del derecho de oposición: Es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal que lo justifique, siempre que una Ley no disponga lo contrario; o cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.
  2. En el caso de la videovigilancia, que por el creciente interés social que suscita se recoge aquí de manera específica, las únicas diferencias con relación al ejercicio normal de los derechos de acceso, rectificación, cancelación y oposición son que:
    • La solicitud deberá ir acompañada de una imagen actualizada del solicitante, para su identificación.
    • Si estamos ante un derecho de acceso, el destinatario podrá facilitar el derecho de acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento.
  3. No recepción de comunicaciones comerciales por medios electrónicos (correo electrónico, SMS, etc.). Hay que decir que este derecho sólo se puede ejercitar ante entidades españolas, por lo que, si lo que queremos es "cortar" las decenas o centenares de mails de spam que podamos recibir…, dependemos de más medios (p.e. software de filtro de spam) que este derecho.

    En todo caso, en principio, sólo se puede enviar publicidad o mensajes comerciales por medios electrónicos si hay consentimiento previo, salvo que el destinatario sea cliente del remitente, y la publicidad sea sobre productos o servicios similares a los que le hubiera contratado.
    Pero es que, aún en el caso de que hubiera dado su consentimiento, podrá revocarlo en cualquier momento con la simple notificación de su voluntad al remitente (p.e. en su servicio de atención al cliente, mail de contacto, etc.). Debe tenerse en cuenta que los procedimientos a tal fin deben ser sencillos y gratuitos.
  4. Exclusión de las guías telefónicas. Hay que hablar de dos vertientes:
    • Aparición en guías telefónicas. Podemos dirigirnos a nuestro operador de telefonía fija (no hay guías que incluyan teléfonos móviles), por ejemplo, a su servicio de atención al cliente, para indicarle que no queremos que aparezcan nuestros datos, total o parcialmente, en las guías telefónicas, bien porque no queremos seguir apareciendo, bien porque desde el momento de contratación del servicio indicamos que no queremos aparecer.
    • En el caso de que sí queramos aparecer en páginas blancas, lo que sí es posible es indicar que no queremos que se utilicen nuestros datos para el envío de publicidad. Realmente, las páginas blancas pueden utilizarse para enviar publicidad sin consentimiento del destinatario, por lo que, si no queremos que eso suceda de nuevo, debemos contactar con nuestro operador de telefonía para indicarle tal voluntad.

En cuanto a qué tienen que hacer las empresas, cuando reciben un derecho de los regulados en la Ley Orgánica de Protección de Datos y su Reglamento de desarrollo, indicar lo siguiente:

  • El plazo para responder al derecho de acceso son 30 días desde su recepción para resolver si se concede o no, y en caso de concesión, 10 días para hacerla efectiva. No obstante, es recomendable que si se concede el ejercicio, la comunicación que se haga en tal sentido al solicitante incluya el resultado del derecho de acceso.
  • En cuanto al contenido de la respuesta positiva al derecho de acceso, deberá incluir todos los datos de base del afectado, los resultantes de cualquier elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.
  • Respecto a los derechos de rectificación, cancelación y oposición, el plazo de respuesta son diez (10) días desde su recepción.
  • En todo caso, lógicamente, es conveniente que la respuesta se realice por un medio acreditable y fehaciente, por si hubiera que demostrar en el futuro que se hizo y los términos en que se hizo.
  • Las infracciones por no atender el ejercicio de derechos, puede llegar a aquellas calificadas por la normativa como "muy graves", con sanciones de hasta 600.000 euros (si la falta de atención es sistemática), aunque normalmente suelen dar lugar a infracciones graves, con sanciones de entre 60.000 y 300.000 euros.