Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

16063
sanciones incumplimiento plazos derecho lopd

Los denominados derechos ARCO son el conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos personales. Estos derechos se regulan en el Título III de la Ley Orgánica de Protección de Datos (LOPD) y en el Título III de su Reglamento de Desarrollo, y son cuatro: Acceso, Rectificación, Cancelación y Oposición.

Nuestros derechos en materia de Protección de Datos

Se trata de derechos cuyo ejercicio es personalísimo, es decir, que sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado, de forma que el responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.

El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos y gratuitos puestos a disposición por el responsable del fichero y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendido en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la Agencia Española de Protección de Datos (AEPD).

Derecho de Acceso

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

  • Justificación:  no es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.
  • Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.
  • Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.

Derecho de Rectificación

Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

  • Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.
  • Plazo: 10 días hábiles.
  • Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.

Derecho de Cancelación

Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos (de aquí surge el llamado “derecho al olvido”).

  • Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación
  • Plazo: 10 días hábiles.
  • Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

Derecho de Oposición

Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, que se trate de ficheros de prospección comerciales o que tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.

  • Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.
  • Plazo : 10 días hábiles.
  • Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.

Características de los derechos ARCO

Las características comunes a todos estos derechos son:

  • Derechos personalísimos: esto supone que solamente pueden ejercerse por el titular de los datos, por su representante legal, en caso de menores o incapacitados, o por su representante voluntario designado específicamente para ejercer uno de estos derechos. Según esto, el responsable del fichero denegará el ejercicio de esos derecho si lo solicita una persona que no sea el titular de los datos o que no acredite adecuadamente que actúa en representación de éste.
  • Derechos independientes: esto significa que no es necesario ejercer ninguno de ellos previamente para ejercer otro, cada uno se ejerce por separado y de forma independiente.
  • Obligaciones del responsable del fichero: el responsable del fichero está obligado a facilitar el ejercicio de estos derechos a los afectados y a responder a su solicitud en los plazos previstos legalmente, con independencia del procedimiento utilizado por el interesado y aunque el responsable del fichero no posea datos personales de aquel.
  • Procedimiento: el ejercicio de estos derechos debe realizarse mediante procedimientos sencillos y gratuitos que el responsable del fichero debe poner a disposición de los ciudadanos.
  • Tutela por la Agencia Española de Protección de Datos: si el responsable del fichero no atiende el ejercicio de estos derechos dentro del plazo legalmente establecido o lo deniega total o parcialmente, los afectados tienen la posibilidad de solicitar tutela ante la AEPD que estudiará los hechos y, si estima la reclamación, dictará resolución exigiendo al responsable del fichero que haga efectivo el derecho concreto en un plazo determinado.

Procedimiento para ejercer los derechos ARCO

El ejercicio de estos derechos debe realizarse mediante solicitud dirigida al responsable del fichero que debe contener:

  1. Nombre y apellidos del interesado; fotocopia de su DNI, de su pasaporte u otro documento válido que permita identificarle y, en su caso, de la persona que le represente, o instrumentos electrónicos equivalentes; así como el documento o mecanismo electrónico justificativo de esa representación. La utilización de firma electrónica identificativa del afectado exceptuará de presentar las fotocopias del DNI o documento equivalente.
  2. Petición en que se concreta la solicitud.
  3. Domicilio a efectos de comunicaciones, fecha y firma del solicitante.
  4. Documentos acreditativos de la petición que formula, en su caso.

El responsable del fichero, al recibir la solicitud, debe comprobar la legitimidad del solicitante y que se cumplan todos los requisitos exigidos. Debe contestar obligatoriamente a todas las solicitudes independientemente de que tenga o no en sus ficheros datos personales del solicitante y debe guardar un justificante de esa respuesta.

Excepciones a los derechos ARCO

Estos derechos pueden ser modulados por razones de seguridad pública con los requisitos establecidos legalmente.

Se limitará el ejercicio de estos derechos cuando sea una medida necesaria para:

  • La salvaguarda de la seguridad del Estado.
  • Defensa y seguridad pública.
  • Prevención, averiguación, detección y castigo de infracciones penales.

Infracciones y sanciones

Impedir u obstaculizar el ejercicio de estos derechos se considera infracción grave, sancionada con multa que va desde los 40.000 a 300.000 €.

En caso de que el responsable del fichero no atienda la solicitud de ejercicio de alguno de estos derechos, podemos interponer una reclamación ante la AEPD.

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
4.43 (88.57%) 7 votos
Compartir

68 Comentarios

  1. Gracias por este blog tan informativo.

    No veo muy claro cómo dirigirme al responsable del fichero para solicitar una cancelación (caso de publicidad por correo postal), visto que tal comunicación debe ser tan «personalísima».

    El anunciante indica al pie de la carta publicitaria el nombre de la empresa que tiene los datos (verificada en la web de AEPD) y sólo ofrece un apartado de correos para ejercer los derechos. Por tanto, ¿bastaría con una carta certificada con la solicitud (siguiendo modelo de la web de AEPD) y copia del DNI para ejercer fehacientemente el derecho de cancelación? ¿O hace falta molestarse más? ¿Es mejor enviar la solicitud a la dirección física que tiene inscrita la empresa de márketing en la AEPD en lugar de enviarla a su apartado de correos?

    Por otra parte, leo que en caso de cancelación, no se admite que la empresa pueda volver a obtener los mismos datos por las mismas vías públicas de donde fueron obtenidos la primera vez. Así pues, aún cancelando, es inevitable que esa empresa mantenga unos datos básicos para evitar reincidir en el futuro con la misma persona…

    Lo digo porque, vale, toda esta legislación y derechos están muy bien y son un avance en positivo, pero no neguemos que la cosa sigue siendo muy asimétrica: una empresa de márketing obtiene del censo electoral o de la guía telefónica miles de datos de un plumazo (y de forma automatizada), y en cambio cada uno de los afectados debe dedicar horas de su vida a enterarse de estos derechos y ejercitarlos de forma estricta para no ser toreado por la empresa en cuestión.

    • Gracias Canduterio por visitarnos y comentar.

      Realmente la legislación sobre privacidad no es perfecta primero porque es relativamente joven (al fin y al cabo datos ha habido siempre y nos se regulaba casi nada al respecto hasta hace poco más de una década) y segundo porque en parte está ligada a un fenómeno como es el avance tecnológico de los últimos años, que es muy difícil de seguir su ritmo.

      Sobre la primera pregunta, en principio lo lógico es seguir las instrucciones que el responsable del fichero ofrezca como sistema para ejercer los derechos ARCO, aunque también es cierto que en ningún caso estas deberían tener una dirección distinta de la que se indique en el Registro General.

      Respecto a la segunda cuestión, se trataría de un procedimiento de bloqueo para efectivamente como dices evitar volver a captar los mismos datos de la misma fuente pública. Digamos que equivale a construir su propia Lista Robinson.

  2. En los primeros días del presente mes -oct 2011- recibí por correo ordinario una circualr de Bankia, dándome la bienvenida y solicitando mi consentimiento para usar mis datos personales y cederlos a otras entidades. De no contestar en 40 días se darían por autorizados.
    En un Email a la dirección que ellos me sugerían les denegué tal consentimiento y les requerí para que me dijeran de dónde habían sacado mis datos.
    Una semana después recibí por email una nueva circular, diciéndome que para atender a mi solicitud había de aportarle un montón de datos personales míos (entre ellos aquellos que yo les había pedido que me acreditasen).
    Les contesté, enfadado, remitiéndoles escaner del primer escrito de ellos, para que pudieran identificar el envío improcedente que habían cursado.
    Otra semana más tarde, me reiteran la circular anterior, sin mover ni una sola coma ¿Será que no saben leer o símplemente que no digieren lo leído?
    Ahora les he anunciado que les denunciaré por acoso si siguen molestandome.
    ¿Qué puedo hacer? ¿Dónde les denuncio?
    Gracias.
    Ramón Ruiz.

  3. Hola, hace unos meses solicite a una empresa la cancelación de mis datos de caracter personal por email. La empresa me contesto tambien por email pero de una forma muy floja, es decir a traves del correo generico del departamento de recursos humanos me dice que se han cancelado los datos, no me envian documento con sello de la empresa y firma del responsable del fichero. ¿Es correcto esta forma de proceder? o dedo exigirles alguna prueba mas contundente que un simple comentario de correo electronico. Gracias.

    Seria conveniente enviarles una carta certificada solicitandoles un derecho de acceso para ver si todavia tienen mis datos alli, porque no me fio mucho de esa empresa.

  4. Hola Jesús, referente a la pregunta de ayer en vez de solicitar un derecho de acceso, se puede volver a pedir una solicitud de cancelación de datos de carácter personal por carta certificada, de este modo si no lo hicieron se ven obligados a contestarme por carta certificada y si lo hicieron me tendran que contestar de igual modo.

    Una pregunta mas: Si una empresa A ha cedido mis datos de carácter personal a otra empresa B por motivos de relación de trabajo, y solicito a la empresa A una cancelación de datos de carácter personal, en su respuesta me tiene que decir que también se ha procedido a la cancelación de los datos de carácter personal en las empresas a las que cedieron los datos.

    Gracias.

    • Yolanda, respecto a la primera cuestión no veo que la empresa esté obligada a responderte por correo certificado porque tu te comuniques así. Lo que sí esta claro es la segunda pregunta: efectivamente A tiene obligación legal de transmitir tu cancelación a B y a cuantos terceros haya entregado tus datos.

  5. Hola Jesús, igual me expresé mal en la segunda pregunta. Me refería a que si en la comunicación de cancelación que me reenvía la empresa A, tiene que indicarme las empresas o entidades en las que la empresa A ha ordenado también la cancelación de datos o al ser una obligación legal se entiende que ha cumplido con la LOPD y no es necesario decirme a que empresas ha cedido mis datos.

    Gracias.

  6. Y esta es, creo la ultima duda que tengo.
    He recibido de la Agencia Española de Protección de Datos una carta indicándome que estimaban una reclamación contra una entidad que no había ejercido mi derecho de cancelación de datos de carácter personal, en ella indica que en un plazo de 10 días hábiles dicha empresa tiene obligación de ejecutar el derecho de cancelación o indicar el motivo por el cual no quiere hacerlo. La pregunta es ¿En el caso de que no reciba ningún tipo de comunicación por parte de la empresa pasados los 10 días hábiles, tengo que comunicárselo a la Agencia de Protección de Datos o esta ya se encarga de todo?

    Gracias.

  7. He recibido de la Agencia Española de Protección de Datos una carta indicándome que estimaban una reclamación contra una entidad que no había ejercido mi derecho de acceso . Ahora he recibido la confirmación de los mismos pero no me queda muy claro de donde han salido. Creeis que Agencia debe volver a contactar con la empresa ? la resolución indica que se ha finalizado la via administrativa . Debe solicitarlo yo directamente a la empresa?

    Gracias consejo

    • Hola Juanma: habría que estudiar los documentos. En principio el derecho de acceso se refiere tanto a los datos como a su origen. Si la empresa te ha comunicado qué datos tiene, pero no de dónde los obtuvo, vuelve a pedirlo haciendo mención explícita a tu derecho a conocer el origen.
      La indicación de que se pone fin a la vía administrativa se refiere a la petición del ejercicio del derecho, pero si éste no se cumple satisfactoriamente, puedes volver a denunciar ante la AEPD el incumplimiento de la tutela.

  8. Buenas tardes,

    Estoy intentando darme de baja en todos los ficheros que puedan tener mis datos por contrato de algún servicio.

    El motivo es que me llaman muchísimo por teléfono a veces incluso sin que conteste nadie al otro lado.

    Tengo dos dudas:
    1- ¿Deben necesariamente atender la baja en el email que publican para tal efecto? o no tengo mas remedio que carta certificada.
    2- Debo indicar además de dirección y DNI los teléfonos que quiero que no utilicen?

    Mil gracias y un saludo.

    • Hola Solecita: son buenas dudas, porque en algunos terrenos las cosas no están claras. En el siguiente reglamento LOPD será obligatorio permitir siempre la baja electrónica, pero a día de hoy la ley habla de “medio equivalentes”, es decir, que si diste datos enviando una carta o firmando un contrato, etc, pueden exigir que la baja sea por carta acompañada de DNI.
      Respecto a los datos, si no está seguro se puede primero pedir derecho de acceso y obtener la información completa de qué datos nuestros tiene la empresa a la que acudimos, y posteriormente la baja, o ésta directamente.
      También se puede solicitar amparo a la Agencia Española de Protección de Datos (es gratis) para que la petición tenga más efectividad ante la empresa.
      Aquí toda la info:
      http://www.agpd.es/portalwebAGPD/canalciudadano/derechosciudadano/index-ides-idphp.php

  9. Gracias por tu respuesta y rapidez Jesús.

    La verdad es que en la compañía de teléfono/internet me dí de alta por teléfono. ¿Es recomendable hacerlo por teléfono? ¿Por correo certificado tendrá mas efecto?

    Por otro lado me dí de alta en LISTA ROBINSON pero, no noto mucha diferencia…

    Saludos.

    • Solecita: aquí hay dos temas distintos. La Lista Robinson sirve para que no se usen tus datos públicos (por ejemplo los de páginas de repertorios telefónicos) por parte de empresas que no han tenido relación previa contigo. Si tu eres cliente de una empresa, sólo puedes ejercer derechos ARCO directamente ante ella. Apuntarte a la Lista Robinson no te borra de bases de datos donde estuvieras previamente, sino que evita que te incluyan en el futuro.
      Respecto a bajas, seguro que el correo certificado tiene siempre mas efecto y además te quedas con la prueba para luego denunciar ante la AEPD si es menester.

  10. Hola,

    Es posible ejercer los derechos de Cancelacion y Opsicion sin tener que justificarlo documentalmente?

    Segun dice la LOPD los datos son mios y no tengo por que justificar que se hagan publicos.

    Gracias,
    David

    • Hola David, no se si entiendo bien tu pregunta. Si te refieres a que si es necesario identificarse previamente a ejercer los derechos citados, lo cierto es que no existe otra forma ya que se trata de derechos personalísimos, que sólo pueden ser exigidos por el afectado o sus representantes legales, condiciones ambas que se han de demostrar documentalmente.

  11. deseo solicitar la cancelacion de mis datos personales a bankia, puedo hacerlo directamente en una oficina, entregando la carta de solicitud o necesariamente debo hacerlo por correo?
    gracias

  12. Hola Jesús, he recibido de la Agencia española de Protección de datos una resolución de una denuncia que había realizado, en ella me indica que el caso ha sido Archivado. Ya se que parece obvio el significado, pero me gustaría que me explicases que significa ese termino de forma más amplia, en términos legales, o que consecuencias tiene para la empresa demandada.

    Gracias y Felices fiestas.

    • Hola Yolanda: precisamente mi labor habitual es la contraria: explicar sin términos legales lo que una resolución significa. En cualquier caso es difícil añadir nada al archivo de un procedimiento. Sencillamente significa que ante la falta de indicios de vulneración de la ley se detiene el procedimiento y se comunica a las partes, sin ninguna consecuencia más allá.

  13. Hola, soy nuevo y os mando un saludo.
    Buemo, mi consulta es la siguiente: Soy Funcionario del Ministerio del Interior. Mi Dirección General para la que trabajo, ha creado un programa informático para el seguimiento de cada uno del personal destinados en las Unidades en el cual se refleja el rendimiento mensual de cada Agente para poder despues determinar, quién cobra una productividad funcional o retirársela en función de su rendimiento, siéndo éste archivo generado a final de cada mes y enviado a los jefes para que ellos tengan conocimiento de la labor de cada uno.
    El Jefe de mi Unidad a dicho programa (que está en el ordenador de la oficina en la cual trabajamos 7 personas mas y yo), le ha puesto una clave de acceso al citado programa, para que no tengamos acceso todos nosotros, por lo que en ningún momento yo sé con respecto a mí, los datos que se están introduciendo que me corresponden, ni yo los puedo contrastar con mis datos que yo entiendo que deberían grabarse.
    Mis preguntas son: ¿Deberían primero haberme solicitado consentimiento mío?, ¿Esos datos míos, tienen que estar al alcance de yo poder tener acceso a ellos? ¿ Es correcto que el Jefe de mi Unidad, haya puesto una clave para no poder tener acceso? ¿Es correcto que esos datos que a mí me afectan, sean importados a mis superiores mensualmente, sin yo tener conocimiento de cuales son? ¿Me deberían de informar a mí de alguna forma, cuáles son esos datos que están enviando sobre mí?.
    Bueno, pues esas son todas las inquietudes que tengo y desearía que me informara sobre éste tema.
    Muchas gracias y un saludo.-

    • Guillermo: la pregunta excede con mucho las posibilidades de un comentario si se pretende ser mínimanente riguroso. Sería necesario ver el programa, estudiar las condiciones de su uso, ver los contratos de los funcionarios, etc…

  14. Pido perdón por haberme excedido tanto, pero son tantas las dudas que tengo y las preguntas que yo mismo me hago, que de forma irremediable me han llevado a realizarlas, no obstante en referencia a ver el programa, es imposible, puesto que es un programa realizado para un ministerio y una de sus Direcciones Generales. En cuanto a estudiar las condiciones de su uso, explico que está determinado para llevar un control de los componentes que trabajan conmigo (yo incluído) de su trabajo realizado, y si no es del agrado de los jefes, quitar un complemento económico a ese personal que según ellos y sus criterios, no hayan superado sus expectativas. En referencia al contrato mío y de mis compañeros, no existen contratos, somos funcionarios de carrera, clase C.-

  15. Yo tengo una franquicia de servicios de estética y la central va a implementar un sistema de venta online, en la que al comprador le pedirán datos, teléfono móvil, nombre y apellidos, dirección electrónica… y estos datos serán propiedad de la central para enviar propaganda de promociones.

    Por otro lado el comprador online para hacer los servicios comprados tiene que acudir a una franquicia y rellenar cuestionario con datos,cuyo fichero es responsabilidad del franquiciado. En dicho cuestionario tenemos una casilla para marcar si quiere propaganda o no.

    ¿Qué pasaría si el comprador recibiese propaganda de la central habiendo marcado la casilla en los datos de la franquicia que no quería propaganda? ¿De quién sería la responsabilidad en caso de demanda del comprador?

    Gracias. Saludos.

    • Cristina: dentro del marco de la LOPD el concepto “franquicia” es irrelevante: cada franquiciado es una persona jurídica independiente con su propias responsabilidades, al igual que ocurre con la central o franquiciador.
      En un caso como el expuesto la responsabilidad ante la AEPD sería exclusivamente de la central.

  16. Hola Jesús, tengo una pregunta. Recientemente me he dado de baja de un centro deportivo y no voy a volver. Al cabo de un mes de irme ejercí mi derecho de cancelación de datos de carácter personal por carta certificada. El mismo día que recibieron la carta me contesta el centro deportivo diciéndome en su respuesta “debemos manifestarle que sus datos personales como socio del club deportivo deberán permanecer bloqueados en nuestros ordenadores, por así disponerlo otras normativas fiscales de aplicación, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, índicándole que pasados dichos plazos serán suprimidos”. La verdad no lo entiendo, mi foto de socio, dni, el móvil y la cuenta bancaria ,no creo que sean necesarios para la fiscalidad del club deportivo, a parte de que no solo tiene información en los ordenadores sino también en formato papel, me gustaría que me aclarases si el proceder del club es correcto.

    Gracias.

    • Hola Manuel: pues en términos generales sí que lo es. Se podría quizás discutir respecto a algún dato en concreto, pero en principio es un requisito impuesto por la LOPD al responsable del fichero, no es una decisión autónoma del centro deportivo.
      Por otro lado el bloqueo bien hecho implica que nunca nadie va a acceder a esos datos salvo los improbables casos que se indican, con lo que afectos prácticos desde la perspectiva del usuario, es casi como si se hubieran destruido.

  17. Buenas tardes, en la entrada de una academia de ingles en la recepción hay colocada una cámara de videovigilancia, la videovigilancia lo gestiona una empresa privada de seguridad. ¿Es normal que el director de la academia acceda a las grabaciones realizadas con dicha videocámara? En el fichero que tiene registrado en la Agencia Española de Protección de Datos indica que el destinatario de los datos son FUERZAS Y CUERPOS DE SEGURIDAD.
    Saludos.

    • Hola Yolanda: si la cámara es de la academia como me parece entender, como responsable del fichero generado tendrá un documento de seguridad donde se indicará quién pude acceder al visionado, pero ese documento sólo debe estar a disposición de la Agencia, así que no puedo responder si el director de la academia está autorizado o no.
      Lo del fichero será un error al dar el alta si es que dice eso.

  18. hola,

    tengo una pregunta para hacerte: si hay que avisar a la gente que figura en un fichero registrado, un abogado debería informar a la parte contraria de que tiene información suya? es más, podría la parte contraria ejercer su derecho de oposición o cancelación para que retirara esa información?

    la lógica dice que no, pero me cuesta encontrar una ley que así lo aclare. solamente he encontrado el informe 2000-0000 de la aepd, pero claro, es un informe y la lopd una ley orgánica… así que no tengo claro que sea todo lo valido que deberia. así que, hay alguna ley que lo deje claro?

    muchas gracias por la respuesta

  19. hola,

    muchas gracias! no entiendo como se me pudo pasar este post, realmente parece hecho para mi duda.

    sin embargo me preocupa un poco que no haya ninguna ley que lo diga explícitamente, porque cuando las cosas quedan a la interpretacion pueden surgir problemas. aunque eso no nos compite a nosotros claro, ya que no podemos cambiar o hacer leyes.

    gracias jesús.

  20. Buenas tardes Jesus:

    He estado leyendo la LOPD y las preguntas que se han ido resolviendo anteriormente, pero sigo teniendo dos dudas:

    –> La LOPD establece en relación con el derecho de cancelación la posibilidad de que “se supriman los datos que resulten ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD”; por tanto, ¿se pueden eliminar plenamente todos los datos del registro objeto de la consulta, o solo es posible borrar parte de ellos? ¿Quien valora que los datos contenidos sean inadecuados o excesivos?

    –> Y en relación con la primera pregunta: si quiero saber que datos tiene un fichero (derecho de acceso) antes de cancelarlos, ¿tendría que enviar dos comunicaciones separadas, o en la misma comunicación puedo ejercer los dos derechos (tanto el de acceso como el de cancelación)?

    Un saludo. Y gracias de antemano.

    • Nicolás: el derecho de cancelación tiene sus límites que en primera instancia deben ser valorados por el responsable del fichero, salvo que una actuación de la AEPD diga otra cosa.
      Respecto a los derechos, yo creo que pueden pedirse el ejercicio de acceso y cancelación en una misma comunicación.

  21. Hola
    En el Instituto de secundaria han puesto un control de acceso dactilar y me dan el nombre y la dirección a los que dirigirme para reclamar, pero el fichero no está en la base de datos de la Agencia, y, cuando insisto, me dicen que lo presente ante la dirección del instituto.
    ¿Cómo puedo ejercer mi derecho de oposición si el fichero no está inscrito?
    Muchas gracias por tu asesoramiento

    • Miguel Ángel: aquí tenemos dos temas distintos. Por una parte los derechos ARCO se ejercen ante el responsable del fichero (o ante quien éste haya designado), es decir, en este caso el colegio. Luego, por otra parte, el fichero debe efectivamente estar inscrito en el Registro de la AEPD, y el mero hecho de no hacerlo ya es una vulneración de la LOPD.
      Sin embargo también hay que saber que el buscador de ficheros inscritos de la AEPD es francamente defectuoso y además muy estricto en la relación “término de búsuqeda – resultados), el hecho de que un fichero no aparezca en las búsquedas no es prueba segura de que no esté inscrito.

  22. Hola
    Muchas gracias por tu respuesta. Te agradecería tu ayuda de nuevo. Si en un fichero inscrito en le AEPD para controlar horarios pone en el apartado TIPOS DE DATOS,ESTRUCTURA Y ORGANIZACIÓN DEL FICHERO,
    Datos de carácter identificativo:DNI/NIF, Nombre y apellidos.
    Otros tipos de datos: detalles del empleo.
    ?Se pueden recoger datos de otro tipo, como por ejemplo código numérico, tarjeta electrónica, Número de registro personal, etc?
    En mi instituto se están recogiendo este tipo de datos cuando el fichero inscrito no los contempla.
    Muchísimas gracias por tu ayuda.

    • Miguel Ángel: sería una infracción leve. Infracción porque efectivamente debería haberse indicado en la inscripción del fichero. Leve porque en cualquier caso se trata de datos de nivel bajo (lo grave sería inscribir un fichero para recoger datos solo identificativos y luego recoger datos de salud, por ejemplo).

  23. Hola Jesús
    perdona q te moleste otra vez ,pero tu consejo y respuestas son una bendición. Verás, presenté una solicitud de oposición para que se trataran mis datos para el fichero “control de acceso y seguimiento de personal”. El nombre del fichero lo dieron en el instituto 2 meses después de haber iniciado la recogida de datos. He recibido la respuesta de la Consejería de Educación hoy mi oposición. En la respuesta hablan todo el rato de este fichero. La cuestión es que este fichero, con ese nombre, no está en la base de datos de la AEPD. Hay un fichero que se llama “control horario y seguimiento de PE, pero no “control de acceso y seguimiento de personal”? ¿Cuál es tu opinión?.¿Hay base para pedir la tutela de la AEPD por esta falsedad en el nombre del fichero?
    Muchas gracias

  24. Hola Jesús
    Gracias por tu respuesta.
    Si tú quisieras “plantar batalla” por el asunto del tipo de datos identificativos que se pueden recoger: el fichero pone nombre,apellidos,DNI CIFRA y ellos están recogiendo código numérico/huella dactilar/tarjeta identificativa. ¿Qué harías?
    muchas gracias de nuevo

    • Miguel Angel: podría discutir lo idóneo de recoger cierto tipo de datos (lo digo en general, en este caso concreto no puedo juzgar porque no conozco todas las circunstancias), pero iniciar un procedimiento ante la AEPD por un mero error administrativo en la inscripción del fichero no creo que tenga mucho sentido.

  25. Hola, ¿alguien sabe si hay que comunicar al interesado que se ha llevado a efecto su oposición al envío de comunicaciones comerciales cuando en el acto de la firma de la cláusula informativa ha marcado la casilla de oposición correspondiente, o solo es necesario cuando se ejerce dicho derecho con posterioridad a la firma de la cláusula?
    Gracias,
    Natalio Girela

  26. Buenas,

    Antes que nada gracias por su atención y por una información tan útil. He leído tanto el artículo como todos los comentarios; y, si bien en algún caso se me ha resuelto alguna duda con la que partía, también tengo algunas sin resolver.

    Creo que lo mejor será ir a lo concreto:

    Estoy recibiendo llamadas todos los meses de una entidad bancaria. Para avisarme de una “posición irregular en mis cuentas” (vamos que estoy en números rojos, ¿y quién no?) y siempre les digo que a final de mes, al cobrar la nómina se regulariza. Al principio se quedaba ahí, pero de un tiempo a esta parte, insisten e insisten e insisten… hasta cinco llamadas diarias (incluso en fin de semana) Uno de esos días de tanto recibir llamadas ya me cabreé y le pedí tanto al que me llamaba como a la SubDirectora de mi oficina, que dejaran de llamarme al móvil; pero siguen en sus trece.

    Y aquí viene mi duda: por lo que veo, he de justificar documentalmente mi deseo de cancelar mis datos u oponerme a su uso; y yo lo que quiero es que dejen de llamarme por teléfono. ¿Cómo justifico documentalmente que borren todos mis teléfonos de sus bases de datos? Ya si quieren pueden contactarme vía postal, email y hasta por correspondencia virtual en el espacio WEB del banco.

    Insisto, gracias por la ayuda.

    • Berto: los derechos ARCO tienen sus límites: no se puede pedir cancelación de datos a una entidad de la que se es cliente, salvo que se deje de serlo, y aún así con los límites previstos respecto a conservación documental. Si las llamadas fuesen de tipo comercial (para venderle un seguro por ejemplo) sí podría oponerse a su uso, pero si son para reclamar una deuda legítima sólo podría reclamar en el caso de que entraran en la categoría de acoso, y eso no sería a través de la LOPD

  27. Hola

    Recientemente me he enterado que en mi empresa se me hizo firmar un papel engañándome y sin darme copia en el que yo autorizaba a la misma a ceder mis datos de mi historial clínico.
    Según he leído por internet, en un artículo que habla de mi “modélica” empresa (la llamaremos xxx)dice así: ” xxx comenzó en el presente año, en previsión de la promulgación de la ley de mutuas, a hacer firmar a sus trabajadores un documento con el que, literalmente, ceden sus datos médicos a la empresa para que los médicos de la compañía puedan facilitárselo a las mutuas y almédico de la Seguridad Social con el fin de gestionar las posibles bajas. En el documento se autoriza a la compañía a ceder estos datos también a cualquier institución o persona. XXX podría conocer, con el consentimiento del trabajador, todo el historial médico confidencial de su plantilla. Desde la empresa aseguran que la iniciativa tan sólo se debe al cumplimiento de la Ley Orgánica de Protección de Datos”

    Al enterarme me he cabreado mucho y quiero acceder y cancelar esta cesión de datos porque no quiero que sepan mi historial. La cosa es que no sé si debo dirigirme a mi empresa, al servicio médico de la empresa, a la mutua o a dónde. Además, si las cosas me salen bien voy a empezar en otro sitio y no me gustaría que la empresa anterior continuase teniendo mis datos médicos. ¿Qué puedo hacer?
    Gracias

    • Raquel: el ejercicio de los derechos ARCO debe dirigirse al responsable del fichero, es decir, a la empresa, pidiendo en su caso que tal ejercicio se extienda a todos los terceros a los que se hubieran cedido los datos.

  28. Hola,
    ¿Sabría alguien si el hecho de que se alguien se conecte por skipe con nosotros en nuestro puesto de trabajo (un proveedor, cliente, etc.) se consideraría un tratamiento de datos por parte de nuestra empresa y, por tanto, habría que declarar un fichero y con qué finalidad específica?
    Es que me parece excesivo, ya que sería como si quisiéramos declarar un fichero por el tratamiento de la voz que hacemos de las llamadas que recibimos.
    Gracias

    • Natalio: no se trataría de un fichero específico, puesto que no se van a utilizar datos distintos de otros que ya se tengan ni la finalidad es diferente a la que se pretende por otros medios comerciales. Por tanto ese tratamiento estaría incluido dentro del fichero general de gestión comercial.

  29. Hola me gustaria elaborar una carta a mi empresa para que apliquen la ley de proteccion de datos y derecho arco, a raiz de que se esta formando comite sincical y en particular hay un par de miembros que no son de mi agrado y confianza y no quiero que tenga plena libertad de acceso a mi datos personales, y ademas querria saber los datos minimos que necesitan para ejercer sus funciones como comite de trabajadores.

  30. Quiero cancelar todas las cuentas de facebook y google directamente gracias derechos arco gracias señores. Ya intente mandar por correo postal y me dijeron que solo es publicidad lo que se gestiona en España gracias.

  31. Los ficheros que continen los datos de control horario, son considerados como datos personales y por tanto tienen que estar dados de alta en la Agencia de proteccion de datos?

    • Buenos días Juan,
      Si esos ficheros contienen datos personales, es decir, datos que permitan identificar a personas físicas, deben inscribirse en la AEPD. Gracias por leer nuestro blog y por tu consulta

Dejar respuesta