Hay cosas que son tan “blanco y en botella”, que no se entiende cómo siguen sucediendo. Nos referimos a las multas por infringir los derechos de protección de datos establecidos en el RGPD, que constituye uno de los errores más comunes en la gestión de la privacidad.
Para muestra un ejemplo: Mercadona fue multada en 2022 con 170 mil euros por no permitirle a un cliente el acceso a sus datos personales. Aunque la sanción fue rebajada posteriormente, para un negocio digital de menor tamaño, cualquier multa, sea cual sea el monto, es dolorosa.
¿Cómo responder al ejercicio de los derechos RGPD?
Desde nuestro punto de vista, esto sucede porque muchas veces los responsables o encargados del tratamiento desconocen su existencia o no comprenden sus dimensiones. También porque, aunque en teoría saben que deberían respetarlos, no han encontrado la manera de adaptarse a su cumplimiento.
Si alguno de estos es tu caso, en el siguiente artículo te daremos la información y orientación que necesitas para evitar que te suceda como a Mercadona.
Cuáles son los derechos de protección de datos
Son ocho los derechos de protección de datos establecidos en el RGPD. Sin embargo, aunque tu negocio debe considerarlos todos, algunos no son aplicables en todas las situaciones. Cómo verás más más adelante, muchos tienen limitaciones para ejercerse. Veámoslo a detalle:
Derecho a la información
Se podría decir que este es uno de los derechos fundamentales que establece el RGPD. Porque tanto sus bases legales como sus principios se desarrollan en la necesidad de que las personas puedan acceder a información sobre el tratamiento.
Por lo tanto, si no cumples con informar al usuario o cliente adecuadamente, es probable que también estés infringiendo muchos otros aspectos de la normativa de privacidad. Así que tanto si tratas los datos con su consentimiento, como sin él, debes informarle acerca del tratamiento.
Pero entonces ¿qué debes informar? Pues lo siguiente:
- Los datos personales recolectados y tratados, y cómo se obtuvieron si no los entregó la propia persona.
- El tiempo que se conservarán.
- Con qué fin los utilizarás.
- Cuál es la base legal para tratarlos.
- Quién o quiénes son los responsables y encargados del tratamiento de los datos. Así como sus datos de contacto.
- Con quiénes se comparten sus datos, personas o empresas.
- Si los datos se transferirán a países fuera de la UE y qué garantías de privacidad ofrecen.
- Información sobre sus derechos de acceso, rectificación, cancelación, oposición, olvido, supresión y limitación del tratamiento.
- Información sobre su derecho a presentar un reclamo ante la AEPD.
- Si se toman decisiones de forma automatizada con sus datos y cuáles serían las consecuencias de esto.
Debes considerar que estarás obligado a ofrecer esta información cada vez que cambien los fines del tratamiento. Y, en general, si los datos personales los obtuviste mediante la transferencia de terceros, tendrás un mes desde que los obtuviste para informar a los usuarios sobre el tratamiento.
Las únicas excepciones a este derecho son casos extremos en los que informar requiera un esfuerzo desproporcionado o cuando la ley así lo permita.
Derecho de acceso
Un derecho que está muy relacionado con el de información es el de acceso. Este, les permite a las personas cuyos datos personales son tratados conocer detalles del tratamiento.
Habitualmente, se usa cuando existe un tratamiento que no se ha basado en el consentimiento, para conocer si se está realizando tal actividad. Pero puede ser requerido también cuando lo hay.
La información que te puede solicitar tu cliente o usuario en base a este derecho es bastante similar a la del derecho de información.
Además, en este caso, pueden solicitarte una copia de los datos personales tratados, que deberás proveer sin costo alguno. Y debe hacerse por medios electrónicos o físicos, dependiendo de cómo te lo solicite el cliente.
El caso de Mercadona es un ejemplo de una persona solicitando la aplicación de su derecho de acceso. En concreto, solicitó una copia de las grabaciones de la cámara de seguridad, para demostrar que el accidente que sucedió en la tienda ameritaba una compensación por daños.
Derecho de rectificación
Este derecho se aplica de manera contingente, en situaciones en las que los datos personales que puedes estar tratando de un cliente están errados o desactualizados. En ese momento, dicha persona podrá solicitar la rectificación de la información que tienes de ella. Tu obligación será entonces cambiar los datos incorrectos por los adecuados y, en el caso de que los hayas transferido a otras empresas, informarle para que ellas puedan hacer lo mismo.
Un ejemplo típico en el que el derecho de rectificación aplica es cuando recabas el correo electrónico para enviar factura electrónica, pero cometes un error de tipo al anotarlo. Si el cliente identifica el error, puede pedirte que lo corrijas invocando sus derechos de protección de datos a fin de que le llegue la facturación adecuadamente.
Derecho de oposición
Por otra parte, cuando el tratamiento de los datos de una persona no se está realizando con su consentimiento, sino basándose en intereses legítimos o interés público, esta puede oponerse a él. Tu obligación ante esta solicitud será atender a esta solicitud, evaluando si las razones de tu cliente son más importantes que los intereses por los que requieres los datos.
Pero, si la información recolectada la utilizas para acciones marketing directo, como envío de correos electrónicos con promociones de productos similares, primará siempre la voluntad de la persona en cuestión.
Derecho de supresión
Llamado también derecho al olvido. Relacionado con el derecho de oposición, el de supresión posibilita que las personas puedan pedir que su información personal sea eliminada de tus bases de datos, si ya no se está tratando. Esto puede suceder también:
- Luego de que el usuario retirara el consentimiento.
- Cuando los datos personales ya no se requieran para cumplir la finalidad para la cual fueron recabados.
- Cuando el tratamiento se ha desarrollado de forma ilegal.
- Cuando existe una obligación legal de borrar los datos.
- Si se trata de datos de menores.
Sin embargo, si existe una obligación legal, interés público (como la salud pública o la libertad de expresión) o necesidad de atender a reclamaciones, que te lo impide, no deberás suprimir la información.
Ten en cuenta que, si compartiste los datos con otras personas o empresas o los hiciste públicos, deberás informar a quienes los estén tratando del ejercicio del derecho de oposición de tu cliente. Así, ellos podrán hacer lo mismo.
Derecho de portabilidad
También es posible que tus clientes te pidan entregar los datos que recolectaste de ellos en un archivo reconocible por otros sistemas de gestión de la información. Esto es, archivos con formato XML, JSON y CSV.
De esta manera, las personas podrán entregar sus datos a otras empresas, facilitando algunos procedimientos que requieran esa información. Los usuarios pueden pedirte también que hagas tú la transferencia directa a dichas empresas y deberás hacerlo.
No estarás en la obligación de hacerlo, cuando haya una obligación legal de por medio, un interés vital (como el riesgo de muerte de un paciente), o tengas un interés legítimo.
Por ejemplo, si un alumno de una universidad desea trasladarse a otra, podrá pedirle a la institución en la que estudió primero que transfiera su información académica a la nueva.
Derecho de limitación del tratamiento
Está relacionado con otros tres derechos de protección de datos: el de oposición, supresión y rectificación. Permite suspender el tratamiento temporalmente, solo inmovilizando la información personal hasta que se rectifiquen los datos, se eliminen o su uso se detenga definitivamente. También puede utilizarse para evitar que los datos que ya no son tratados se supriman y solo se conserven para proceder a una reclamación.
Del mismo modo que en los derechos mencionados, en este caso también debes comunicar de la limitación a las empresas a las que les transferiste los datos. Como consecuencia, ellas deberán también limitar el tratamiento.
Tras terminar el período de limitación tu empresa debe notificar a la persona solicitante, que volverás a usar los datos.
Un caso en el que puede ser invocado este derecho es cuando una financiera, por error, asigna un score crediticio incorrecto a una persona. Esta, al solicitar la rectificación, también pide que se limite el uso de sus datos financieros hasta que se corrija el score adjudicado.
Derecho a no ser objeto de una decisión basada en el tratamiento automatizado
Este derecho está relacionado al uso de tecnologías como los sistemas CRM, el píxel de Meta, inteligencias artificiales o similares que pueden usar información de las personas para luego tomar decisiones que les afectan.
Sin embargo, como hemos explicado en este artículo, esto es algo que el RGPD y la LOPD prohíben, salvo circunstancias en las que haya consentimiento o excepciones legales de por medio.
Usando el ejemplo anterior, si el score financiero de una persona lo asignó un sistema CRM y se le negó el acceso a un crédito hipotecario, entonces ella podría invocar este derecho.
¿Sabías que la voz es un dato personal? Pues sí y debe ser protegida también. Mira este vídeo en el que contamos cómo la IA puede infringir el RGPD al crear canciones con la «voz» de personas famosas.
¿Cómo atender a estos derechos?
Los derechos de protección de datos deben ser atendidos no solo por tu empresa o negocio, como responsable del tratamiento, sino también por aquellos a quienes encargues actividades relacionadas con el uso de datos personales. Además, debes considerar que no todos se atienden de la misma manera. Algunos, como el derecho a la información, deben considerarse desde el diseño de tus procesos internos.
Sin embargo, sí hay algunos lineamientos generales para atender a estos derechos:
- Su ejercicio es gratuito. Tu empresa no debe cargarles ningún costo a las personas por la atención de sus solicitudes de ejercicio de sus derechos. Las excepciones a esta regla son cuando hayan pedidos claramente infundados, que se realicen demasiadas veces o cuando se pida más de una copia de sus datos en el derecho al acceso. Pero inclusive en estos casos, el cobro debe ser equivalente al costo mínimo de los recursos que se requieren para atender a estas solicitudes.
- El plazo de atención es de un mes. Aun cuando tu respuesta a su solicitud sea negativa, como ante una oposición, deberás responder a tus usuarios avisándoles de tu decisión dentro de un mes. Pero, si necesitas más tiempo para atender la solicitud, debido a su complejidad, puedes extender el plazo por dos meses más. E informando al usuario de la extensión dentro del primer mes.
- Deben responderse por escrito. El medio escrito es el preferente para atender a estas solicitudes. La razón es que servirá de prueba para ambas partes en caso de que existan controversias.Lo que sí puede variar es el canal por el que respondes a esa solicitud, debiendo preferir el mismo por el cual se te hizo llegar. Es decir, si te enviaron un correo electrónico, debes responder por la misma vía.
Recomendaciones para atender a los derechos de protección de datos adecuadamente
Como hemos dicho, algunas de las razones por las que muchos negocios no atienden a los derechos es por no tener una estructura adecuada para ello. Para evitar que tu negocio digital sea como muchos otros, multados por no atender a los derechos de protección de datos de sus usuarios, te damos cinco recomendaciones:
Elabora un RAT.
Un RAT te ayudará a conocer todas las actividades de tratamiento que realiza tu empresa, bajo qué bases legales y otras características. Por lo tanto, te permitirá tener mapeados los interesados a los que deberás responder y cómo responder a ellos fácilmente.
Evita las dark patterns.
Utilizar patrones oscuros que dificulten que los usuarios puedan acceder al ejercicio de sus derechos de protección de datos, solo te granjeará una multa segura de la AEPD. Por el contrario, facilítales que conozcan y puedan ejercer estas potestades.
Usa gestores de tareas.
Sí, una empresa tiene muchos procedimientos internos, y sumarles las obligaciones de privacidad, puede originar descuidos en la atención de los derechos de los usuarios. Pero usando gestores de tareas, puedes tener la claridad de cuándo, a quién y cómo contestar en estos casos.
Usa plantillas de respuestas.
Teniendo claras cuáles son las actividades de tratamiento de datos que realizas, a quién y cómo les afecta, es fácil elaborar plantillas predeterminadas de respuestas. Te permitirán responder de forma rápida a las solicitudes y adaptarlas en caso de necesidad.
Destina personal a atender solicitudes de derechos de protección de datos.
Si no tienes a una persona específica que se dedique a atender las solicitudes de los usuarios, probablemente, nadie lo haga. Esta persona, capacitada adecuadamente, podrá responder dentro del marco de la ley y conforme a las particularidades de tu empresa, evitándote multas por incumplimiento.
Contrata a un abogado.
Un profesional experto en derecho de privacidad podrá orientar tus actividades para responder a los derechos de protección de datos de forma adecuada no solo a la ley, sino a las necesidades de tu empresa. Pide una cita con nuestros abogados ahora.
Foto de Tim van der Kuip en Unsplash
