Derechos ARCO. Nuevos ARCO-POL ¿Qué son y como ejercerlos?
Los denominados derechos ARCO son aquellos a través de los cuales una persona física puede ejercer el control sobre sus datos personales. En concreto se trata de los derechos de Acceso, Rectificación, Cancelación, Oposición. Sin embargo, ahora a estos se les añaden los de supresión, portabilidad y limitación del tratamiento. ¿Quieres saber en qué consisten esos derechos? A continuación te lo contamos.
¿Qué son los derechos ARCO?
Se trata de derechos cuyo ejercicio es personalísimo. Es decir, que sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado, de forma que el responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.
El ejercicio de estos derechos se debe llevar a cabo a través de medios propios o con la ayuda de empresas de protección de datos, mediante canales sencillos y gratuitos puestos a disposición por el responsable del fichero. Y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendido en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la Agencia Española de Protección de Datos (AEPD).
Cabe decir que no existe una Ley ARCO como tal, y que estos derechos están recogidos tanto en el RGPD como en la LOPDGDD.
Nuevos derechos ARCO-POL
Los antiguos derechos ARCO han sido ampliados con la adición de los derechos de Portabilidad, Oposición y Limitación del tratamiento. Asimismo, el derecho de Cancelación ha sido sustituido por el de supresión, por lo que a estos derechos ahora se les denomina ARCO-POL, o también derechos ARSULIPO (Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición. Sin embargo, en muchos casos se sigue haciendo referencia a ellos como derechos ARCO por el uso y la costumbre
Derechos ARCO LOPDGDD
A continuación vemos en qué consisten los principales derechos ARCO en España recogidos en la LOPDGDD, esto es, los derechos de Acceso, Rectificación, Cancelación y Oposición.
Derecho de Acceso
El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
- Justificación: no es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.
- Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.
- Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.
Derecho de Rectificación
El derecho de rectificación es un derecho ARCO que consiste en la potestad del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
- Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.
- Plazo: 10 días hábiles.
- Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.
Derecho de Cancelación
El derecho de cancelación de datos personales es el derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos (de aquí surge el llamado «derecho al olvido«).
- Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación
- Plazo: 10 días hábiles.
- Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.
Derecho de Oposición
El derecho de oposición consiste en el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que:
- No sea necesario su consentimiento para el tratamiento,
- Se trate de ficheros de prospección comerciales.
- Tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.
- Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.
- Plazo : 10 días hábiles.
- Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.
Derechos ARCO en el RGPD
El RGPD (Reglamento General de Protección de Datos) que entró en vigor en 2018 añadió una serie de nuevos derechos que asisten a los individuos para la protección de sus datos personales. Estos son el derecho de Portabilidad, el de Limitación del tratamiento y el de Supresión o derecho al olvido, que sustituye al de Cancelación.
Derecho de portabilidad
El interesado tendrá derecho a que el Responsable transmita sus datos a otro Responsable del tratamiento o al mismo interesado, mediante un formato estructurado de uso habitual y lectura mecánica, cuando el tratamiento se efectúe por medios automatizados y se base en:
- El consentimiento del interesado para fines específicos.
- La ejecución de un contrato o precontrato con el interesado.
El derecho de portabilidad no se aplicará cuando:
- Sea técnicamente imposible la transmisión.
- Pueda afectar negativamente a los derechos y libertades de terceros.
- El tratamiento tenga una misión de interés público fundamentado en la legislación vigente.
El plazo para contestar a la solicitud de portabilidad es de un mes, exceptuando aquellos casos más complejos para los que se concede un plazo de tres meses, pero siempre informando dentro del primer mes de las razones para dicho retraso.
Derecho de olvido o supresión
El usuario tendrá derecho a solicitar al responsable del tratamiento la supresión de sus datos personales cuando concurra alguna de las siguientes circunstancias:
- Los datos ya no son necesario para cumplir la finalidad para a cual fueron recabados.
- El interesado retire su consentimiento.
- El interesado se oponga el tratamiento y no existan otros motivos legítimos para llevarlo a cabo.
- Los datos se hayan tratado de forma ilícita.
- Los datos deben ser suprimidos para el cumplimiento de una obligación legal incluida en las normativas de los Estados miembros de la UE.
Por otro lado, hay que referirse al derecho al olvido, como uno de los nuevos derechos digitales más importantes que asisten a los individuos. Este derecho establece que toda persona podrá solicitar a eliminación de sus datos personales de páginas web o motores de búsqueda, en caso de que la información esté desfasada, sea inexacta o pueda ocasionar un perjuicio a la persona.
Derecho de limitación
Se trata de un nuevo derecho introducido por el RGPD que supone que los afectados puedan solicitar su derecho a la limitación del tratamiento de sus datos personales.
«Limitación» significa que sus datos personales solo pueden ser tratados con su consentimiento para:
- La formulación, el ejercicio o la defensa de reclamaciones con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público.
Este derecho existe en los casos siguientes:
- Cuando la exactitud de los datos de que se trate esté en duda.
- Si no queremos que se borren nuestros datos.
- Cuando los datos ya no sean necesarios para el fin original, pero no se pueden borrar por motivos jurídicos
- En caso de que la decisión de su objeción al tratamiento esté pendiente.
- Plazo : 10 días hábiles.
- Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.
Características de los derechos ARCO
Ahora ya sabes cuáles son los derechos ARCO, pero también resulta importante conocer sus características. En este sentido, los rasgos comunes a todos los derechos ARCO son:
Derechos personalísimos
Los derechos ARCO en protección de datos son personalísimos, esto supone que solamente pueden ejercerse por
- El titular de los datos
- Su representante legal, en caso de menores o incapacitados
- Su representante voluntario designado específicamente para ejercer uno de estos derechos.
Según esto, el responsable del fichero denegará el ejercicio de esos derecho si lo solicita una persona que no sea el titular de los datos o que no acredite adecuadamente que actúa en representación de éste.
Derechos independientes
Esto significa que no es necesario ejercer ninguno de ellos previamente para ejercer otro, cada uno se ejerce por separado y de forma independiente.
Obligaciones del responsable del fichero
El responsable del fichero está obligado a facilitar el ejercicio de estos derechos a los afectados y a responder a su solicitud en los plazos previstos legalmente. Con independencia del procedimiento utilizado por el interesado y aunque el responsable del fichero no posea datos personales de aquel.
Procedimiento
El ejercicio de estos derechos debe realizarse mediante procedimientos sencillos y gratuitos que el responsable del fichero debe poner a disposición de los ciudadanos.
Tutela por la Agencia Española de Protección de Datos
Si el responsable del fichero no atiende el ejercicio de estos derechos dentro del plazo legalmente establecido o lo deniega total o parcialmente, los afectados tienen la posibilidad de solicitar tutela ante la AEPD. Esta estudiará los hechos y, si estima la reclamación, dictará resolución exigiendo al responsable del fichero que haga efectivo el derecho concreto en un plazo determinado.
Procedimiento para ejercer los derechos ARCO
El ejercicio de estos derechos ARCO sobre datos personales debe realizarse mediante solicitud dirigida al responsable del fichero que debe contener:
- Nombre y apellidos del interesado;
- Fotocopia de su DNI, de su pasaporte u otro documento válido que permita identificarle y, en su caso, de la persona que le represente, o instrumentos electrónicos equivalentes. Así como el documento o mecanismo electrónico justificativo de esa representación. La utilización de firma electrónica identificativa del afectado exceptuará de presentar las fotocopias del DNI o documento equivalente.
- Petición en que se concreta la solicitud.
- Domicilio a efectos de comunicaciones, fecha y firma del solicitante.
- Documentos acreditativos de la petición que formula, en su caso.
El responsable del fichero, al recibir la solicitud, debe comprobar la legitimidad del solicitante y que se cumplan todos los requisitos exigidos. Debe contestar obligatoriamente a todas las solicitudes independientemente de que tenga o no en sus ficheros datos personales del solicitante y debe guardar un justificante de esa respuesta.
Excepciones a los derechos ARCO
Estos derechos pueden ser modulados por razones de seguridad pública con los requisitos establecidos legalmente.
Se limitará el ejercicio de estos derechos cuando sea una medida necesaria para:
- La salvaguarda de la seguridad del Estado.
- Defensa y seguridad pública.
- Prevención, averiguación, detección y castigo de infracciones penales.
Infracciones y sanciones
Impedir u obstaculizar el ejercicio de estos derechos se considera infracción grave, sancionada con multa que va desde los 40.000 a 300.000 €.
En caso de que el responsable del fichero no atienda la solicitud de ejercicio de alguno de estos derechos, podemos interponer una reclamación ante la AEPD.
Ejemplos derechos ARCO: solicitud y respuesta
A continuación te contamos cómo se pueden ejercer los derechos ARCO, y cómo han de proceder los responsables de tratamiento cuando el interesado solicita el ejercicio de estos derechos.
Solicitud para ejercer los derechos ARCO
¿Cómo ejercer los derechos ARCO? El responsable del tratamiento debe indicar en su política o aviso de privacidad acerca de las vías que los usuarios pueden usar para ejercer sus derechos ARCO. A ser posible, se debe facilitar la solicitud de los derechos ARCO por los mismos medios por los que fueron recabados los datos. Del mismo modo, el ejercicio de los derechos ARCO sería gratuito, salvo que el interesado solicite el uso de medios o canales que puedan suponer un sobrecoste no proporcionado al responsable del tratamiento, en cuyo caso será el propio interesado quien deberá correr con los costes.
Protocolo de respuesta a la solicitud
Pongamos como ejemplo el caso de un gimnasio. Un cliente se matricula en el centro, este ingresa sus datos en una base de datos y le manda periódicamente información sobre ofertas y promociones.
En este caso, lo primero que tiene que hacer el gimnasio es informar al cliente que al facilitar sus datos (al matricularse), estos van a ser utilizados también con fines publicitarios y requerirle consentimiento para tal fin.
Es importante también darle la opción de desistir de comunicaciones comerciales, es un primer paso cuando se trata de respetar derechos.
Una vez solicitada la baja, el gimnasio debe validar la identidad del cliente que solicita la baja y asegurarse que es el titular de los datos que desea cancelar para evitar la usurpación de identidad. Para ello debe requerirle DNI o documento oficial que acredite su identidad.
Una vez constatada la identidad del cliente le debe enviar un formulario o solicitud de cancelación en donde el interesado deberá indicar a qué datos se refiere, aportando al efecto la documentación que lo justifique, si procediera, aunque no es indispensable.
El gimnasio resolverá sobre la solicitud de cancelación en el plazo máximo de diez días hábiles a contar desde la recepción de la solicitud, aportando al cliente un escrito en donde confirma la cancelación de sus datos.
En caso de que se hubieran cedido los datos a terceros mediante el contrato de tratamiento de datos, por ejemplo, a una asesoría que gestiona las facturas, el gimnasio deberá comunicar la cancelación efectuada a la asesoría, en idéntico plazo, para que esta, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, también, a cancelar los datos.
Si en el plazo de diez días el gimnasio no responde o la respuesta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación.
A partir de allí, es cuando las cosas se complican para el gimnasio, que muy probablemente acabará sancionado por incumplir la normativa de Protección de Datos.
Esperamos haberte ayudado a entender cada uno de los derechos en materia de protección de datos. Si tienes cualquier duda estaremos encantados de ayudarte.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.