Derechos reforzados de las personas frente a las empresas

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

Se supone que las normas de las sociedades democráticas garantizan un equilibrio entre intereses que pueden ser contradictorios. Sin embargo, la mayoría de los textos importantes contienen una orientación —mencioné antes la filosofía— que favorece a una parte en detrimento de otra, ya sea porque la autoridad que impone estos textos desea dar un nuevo rumbo, o porque se ha sentido la necesidad de un reequilibrio tras algunas desviaciones en una dirección, que han llevado a una relación asimétrica entre las partes. El RGPD es, sin duda, una herramienta para restaurar los derechos de las personas frente a las empresas todopoderosas que ya no se preocupaban por respetar la privacidad.  

El Capítulo III del reglamento está dedicado íntegramente a los "Derechos del interesado". Es el responsable del tratamiento quien se encarga de facilitar el ejercicio de estos derechos. Debe responder "lo antes posible y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. En caso necesario, este plazo podrá prorrogarse dos meses, teniendo en cuenta la complejidad y el número de solicitudes" (art. 12-3). Por lo tanto, se podría deducir que se dispone de tres meses para responder a una solicitud y que este plazo por sí solo puede disuadir a muchos solicitantes. De hecho, no; por un lado, porque esta prórroga debe justificarse por una "necesidad" o "complejidad"; por otro, porque la persona que realiza la solicitud debe ser informada, en el plazo de un mes, de los motivos de la misma (art. 12-3 de nuevo). Y si el responsable del tratamiento considera que la solicitud es infundada, le corresponde demostrar dicha infundación (art. 12-5).

El Artículo 13 enumera toda la información que debe proporcionarse al recopilar datos sobre una persona. Se trata de un avance revolucionario: no podemos aceptarlo sin antes garantizar la integridad de las disposiciones del reglamento. Nadie podrá basarse en su tamaño, reputación o antigüedad para persuadir a los usuarios de internet a que se revelen.

Por tanto, la empresa deberá proporcionar con antelación lo siguiente:

– la identidad y los datos de contacto del responsable del tratamiento de datos;

– los datos de contacto del responsable de protección de datos (en las estructuras en las que sea obligatorio, lo haremos);

– los fines del tratamiento a que se destinan los datos, así como la base jurídica de dicho tratamiento;

– los destinatarios de los datos, incluso cuando esté prevista una transferencia a un tercer país.

Tras la recepción de los datos (el texto indica “en el momento de…”), se deberá notificar lo siguiente:

– la vida útil;

– el derecho de rectificación, supresión, limitación del tratamiento, oposición al tratamiento, portabilidad de los datos (volveremos sobre cada uno de estos derechos);

– el derecho a presentar una reclamación ante las autoridades de control;

– las consecuencias de la falta de suministro de datos;

– las consecuencias de facilitar datos, en particular en términos de toma de decisiones automatizada o de elaboración de perfiles.

Cuando los datos no se hayan obtenido del interesado, las obligaciones son las mismas, a lo que se añade «la fuente de la que proceden los datos personales». Esta información no es necesaria cuando los datos se tratan con fines de archivo, investigación o estadísticos de interés público.  

Una vez que el interesado transmite los datos, estos no se le escapan (¡qué cambio con respecto a las prácticas actuales, una vez más!). De hecho, el RGPD (re)crea primero el derecho de acceso (art. 15). Este derecho de acceso ya existe en Francia, pero es poco conocido y complejo de implementar. En este caso, abarca toda la información mencionada en el artículo 13. El acceso se materializa mediante la transmisión, previa solicitud simple: «El responsable del tratamiento proporciona una copia de los datos personales objeto de tratamiento» (art. 15-3). Esta copia es gratuita (se pueden cobrar tarifas razonables por una copia adicional). Cuando la solicitud se presenta electrónicamente, la respuesta se proporciona en el mismo formato, a menos que la solicitud sea diferente.

Segundo derecho expresamente consagrado: el derecho de rectificación (art. 16). Este derecho se refiere a los datos inexactos e incompletos respecto a la finalidad del tratamiento.

La importancia del tercer derecho se ha hecho cada vez más evidente en los últimos diez años, desde la aparición de la Web 2.0 y las redes sociales. Es precisamente desde entonces que hemos tomado conciencia de la importancia de los datos y que las recopilaciones se han organizado y multiplicado. Dado que la información sobre nosotros está en manos desconocidas, la exigencia del derecho al borrado (o derecho al olvido) se ha formalizado. Francia lo intentó en 2010 con la adopción de las Cartas sobre el Derecho al Olvido, pero Facebook y Google se negaron a firmarlas. Fue el Tribunal de Justicia de la Unión Europea quien dio origen a este derecho al olvido en junio de 2014, tras lo cual los principales actores digitales, incluido Google, tuvieron que establecer procedimientos, incluida la publicación de un formulario en línea, que permitiera a los usuarios de internet ejercer este derecho. Gracias a este formulario, cientos de miles de personas pudieron solicitar la eliminación de sus resultados de su base de datos.

El RGPD consagra este derecho a nivel europeo y lo establece de forma sencilla (artículo 17). A petición del interesado, el responsable del tratamiento está obligado a suprimir, a la mayor brevedad posible, los datos personales:

– si los datos ya no son necesarios para los fines para los que fueron recogidos;

– si se retira el consentimiento;

– si se opone al tratamiento.

El interesado no tiene que justificar su solicitud. Las únicas restricciones a este derecho de supresión son:

– el cumplimiento de una obligación legal derivada del Derecho de la Unión o del de un Estado miembro;

– el ejercicio de derechos legales;

– razones de archivo público, de investigación científica o de estadística, así como de salud pública;

– finalmente, «el ejercicio del derecho a la libertad de expresión e información» (art. 17-3a). Cabe preguntarse qué tiene que ver la libertad de expresión e información con esto. ¿Tuvieron alguna influencia los grupos de presión que transmitían los intereses de los medios de comunicación? ¿O fue simplemente la omnipotencia de los medios —tan fuerte como la de los datos— la que se impuso a los redactores del texto?

También se prevé el derecho a la limitación del tratamiento, en particular mientras se verifica la exactitud de los datos o cuando el tratamiento es ilícito pero el interesado se opone a su supresión (art. 18). La limitación, al igual que el tratamiento, debe notificarse al interesado (art. 19).        

Con el "derecho a la portabilidad", el RGPD permite a una persona recuperar los datos que ha proporcionado a una organización en un formato estructurado, de uso común y legible por máquina (art. 20-1). Puede hacerlo para su uso personal o para transferirlos a otra organización. Incluso puede solicitar que sus datos se transfieran directamente de un responsable del tratamiento a otro. La CNIL especifica que los datos "derivados, calculados o inferidos", es decir, creados por la organización, no pueden exigirse (esto es distinto del derecho de acceso). Sin embargo, los datos recuperados pueden contener, de forma secundaria, información relativa a terceros.

El Grupo de Trabajo Europeo (GT29), creado en virtud del Artículo 29 de la Directiva Europea de 1995 y que trabaja para clarificar el RGPD antes de su transformación en el Comité Europeo de Protección de Datos, recomienda el mecanismo de carga para la transmisión de datos en el marco del derecho a la portabilidad. En todos los casos, la prestación debe ser fácilmente accesible y segura. Por el momento, no se indica un formato específico, pero «el GT29 anima a los actores del sector y a las asociaciones profesionales a trabajar en un conjunto de estándares y formatos interoperables para respetar estos requisitos previos del derecho a la portabilidad».

Se insta al responsable del tratamiento a comunicar claramente el derecho a la portabilidad, a implementar un procedimiento de autenticación antes de transferir los datos solicitados y a prestar este servicio de forma gratuita, salvo que la solicitud sea manifiestamente infundada o excesiva, en particular debido a su carácter repetitivo. Cabe señalar que los datos transferidos en virtud del derecho a la portabilidad no tienen que eliminarse del archivo original.

Toda persona tiene derecho a oponerse en cualquier momento (art. 21). Esta objeción puede referirse a cualquier tratamiento, o más concretamente a la prospección (art. 21-2), e incluso a la investigación científica o histórica, «salvo que el tratamiento sea necesario para el cumplimiento de una misión de interés público» (art. 21-6). Es posible que este derecho se utilice principalmente para oponerse a fines comerciales.

Finalmente, el RGPD regula la elaboración de perfiles. «El interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar» (art. 22). Está permitido en el marco de un contrato o si se basa en un acuerdo explícito. En estos casos, el responsable del tratamiento garantiza la salvaguardia de los derechos, libertades e intereses legítimos del interesado.