6. El dret fonamental a la Protecció de Dades

El RGPD reconeix els següents drets fonamentals a les persones interessades, que els permeten tenir control sobre les seves dades personals. Aquests drets són:

1. Dret d’accés (art. 15 RGPD)

2. Dret de rectificació (art. 16 RGPD)

3. Dret de supressió (“dret a l’oblit”) (art. 17 RGPD)

4. Dret a la limitació del tractament (art. 18 RGPD)

5. Dret a la portabilitat de les dades (art. 20 RGPD)

6. Dret d’oposició (art. 21 RGPD)

7. Dret a no ser objecte de decisions individuals automatitzades (art. 22 RGPD)

6.1. Procediment General per a l'Exercici de Drets

L'exercici dels drets està subjecte a unes regles procedimentals clares (Art. 12 RGPD ):  

• Caràcter personalíssim: Els drets els pot exercir l'interessat o el seu representant legal o voluntari degudament acreditat .

• Facilitació: El responsable ha de facilitar l'exercici dels drets, utilitzant mitjans accessibles i senzills, preferentment els mateixos que s'utilitzen per a la recollida de dades (p. ex., formularis electrònics si les dades es van recollir en línia).

• Termini de resposta: La resposta s'ha de donar sense dilació indeguda i, com a màxim, en el termini d'un mes a comptar des de la recepció de la sol·licitud. Aquest termini es pot prorrogar dos mesos més en casos de complexitat o gran nombre de sol·licituds, informant l'interessat de la pròrroga i els motius dins del primer mes.  

• Manca d'actuació: Si el responsable no dona curs a la sol·licitud, ha d'informar l'interessat, en el termini màxim d'un mes, dels motius de la seva no actuació i de la possibilitat de presentar una reclamació davant l'autoritat de control o el DPD i d'exercir accions judicials.  

• Gratuïtat: L'exercici dels drets és gratuït. No obstant això, si les sol·licituds són manifestament infundades o excessives, especialment per ser repetitives, el responsable pot:

  • Cobrar un cànon raonable en funció dels costos administratius.

  • Negar-se a actuar sobre la sol·licitud. El responsable té la càrrega de demostrar el caràcter manifestament infundat o excessiu. L'accés repetitiu (més d'una vegada en 6 mesos) pot considerar-se excessiu, tret que hi hagi una causa legítima .   

• Identificació: Si el responsable té dubtes raonables sobre la identitat de qui exerceix el dret, pot sol·licitar informació addicional per confirmar-la.  

• Prova: La càrrega de provar que s'ha respost a la sol·licitud d'exercici de drets recau sobre el responsable.

6.2. Dret d'Accés (Art. 15 RGPD)

És el dret de l'interessat a obtenir del responsable del tractament :  

1. Confirmació de si s'estan tractant o no dades personals que el concerneixen.

2. En cas afirmatiu, accés a aquestes dades personals.

3. Una còpia de les dades personals objecte de tractament.

4. Informació addicional sobre el tractament, incloent:

   • Finalitats del tractament.

   • Categories de dades personals tractades.

   • Destinataris o categories de destinataris (especialment en transferències internacionals).

   • Termini previst de conservació o els criteris per determinar-lo.

   • Existència dels drets de rectificació, supressió, limitació i oposició.

   • Dret a presentar una reclamació davant una autoritat de control.

   • Origen de les dades, si no es van obtenir de l'interessat.

   • Existència de decisions automatitzades (incloent perfils), la lògica aplicada i les conseqüències previstes.

   • Garanties adequades en cas de transferències internacionals.

El responsable pot facilitar l'accés mitjançant un sistema segur que permeti a l'interessat consultar directament les seves dades. La còpia s'ha de proporcionar preferentment en format electrònic d'ús comú si la sol·licitud es fa per mitjans electrònics, tret que l'interessat sol·liciti una altra cosa. El dret a obtenir còpia no pot afectar negativament els drets i llibertats d'altres persones.  

6.3. Dret de Rectificació (Art. 16 RGPD)

L'interessat té dret a obtenir del responsable, sense dilació indebuda, la rectificació de les dades personals inexactes que el concerneixin.  

També té dret a que es completin les dades personals que siguin incompletes, fins i tot mitjançant una declaració addicional. Cal aportar documentació justificativa de la inexactitud o la necessitat de completar les dades. Mentre el responsable verifica l'exactitud de les dades impugnades, l'interessat pot sol·licitar la limitació del tractament (Art. 18.1.a RGPD ). Si el responsable considera que les dades ja són exactes i no escau la rectificació, ha d'informar motivadament l'interessat.

6.4. Dret de Supressió ("Dret a l'Oblit") (Art. 17 RGPD)

L'interessat té dret a obtenir del responsable la supressió de les seves dades personals sense dilació indebuda ("dret a l'oblit"), i el responsable té l'obligació d'esborrar-les, quan concorri alguna de les circumstàncies següents :  

• Les dades ja no són necessàries per a les finalitats per a les quals van ser recollides.

• L'interessat retira el consentiment en què es basava el tractament (i no hi ha cap altra base legal).

• L'interessat s'oposa al tractament (segons Art. 21.1 o 21.2) i no prevalen motius legítims per al tractament (en el cas de l'Art. 21.1).

• Les dades han estat tractades il·lícitament.

• Les dades s'han de suprimir per complir una obligació legal aplicable al responsable.

• Les dades s'han obtingut en relació amb l'oferta de serveis de la societat de la informació a menors (Art. 8.1 RGPD).

Si el responsable ha fet públiques les dades personals i està obligat a suprimir-les, haurà de prendre mesures raonables, tenint en compte la tecnologia disponible i el cost, per informar altres responsables que estiguin tractant aquestes dades que l'interessat ha sol·licitat la supressió de qualsevol enllaç a aquestes dades, o de qualsevol còpia o rèplica.  

Aquest dret no és absolut i no s'aplica quan el tractament sigui necessari (Art. 17.3 RGPD ):  

• Per exercir el dret a la llibertat d'expressió i informació.

• Per complir una obligació legal o una missió realitzada en interès públic o en exercici de poders públics.

• Per raons d'interès públic en l'àmbit de la salut pública.

• Amb finalitats d'arxiu en interès públic, investigació científica o històrica, o finalitats estadístiques, si el dret de supressió pot fer impossible o obstaculitzar greument l'assoliment d'aquests objectius.

• Per a la formulació, l'exercici o la defensa de reclamacions legals.

La LOPDGDD regula específicament el "dret a l'oblit" en cerques d'Internet (Art. 93 ) i en serveis de xarxes socials (Art. 94 ).  

6.5. Dret a la Limitació del Tractament (Art. 18 RGPD)

Consisteix en el dret de l'interessat a obtenir del responsable la limitació del tractament de les seves dades. Implica que, durant un període determinat, les dades personals només podran ser conservades ("marcades" per limitar el seu tractament futur), però no tractades per a altres finalitats, excepte amb el consentiment de l'interessat o per a la formulació, exercici o defensa de reclamacions, la protecció de drets d'altres persones o per raons importants d'interès públic.  

Es pot sol·licitar la limitació quan :  

• L'interessat impugna l'exactitud de les dades (mentre el responsable verifica l'exactitud).

• El tractament és il·lícit i l'interessat s'oposa a la supressió i sol·licita la limitació en el seu lloc.

• El responsable ja no necessita les dades per a les finalitats del tractament, però l'interessat les necessita per a reclamacions legals.

• L'interessat s'ha oposat al tractament (Art. 21.1 RGPD) mentre es verifica si els motius legítims del responsable prevalen sobre els de l'interessat.

El responsable ha d'implementar mesures tècniques o organitzatives per assegurar aquesta limitació, com ara moure temporalment les dades a un altre sistema, impedir l'accés dels usuaris o retirar temporalment les dades d'un lloc web . Abans d'aixecar la limitació, el responsable ha d'informar l'interessat.  

6.6. Dret a la Portabilitat de les Dades (Art. 20 RGPD)

Aquest dret permet a l'interessat :  

1. Rebre les dades personals que el concerneixen i que hagi facilitat a un responsable del tractament, en un format estructurat, d'ús comú i lectura mecànica.

2. Transmetre aquestes dades a un altre responsable del tractament sense que el responsable inicial ho impedeixi.

3. Que les dades personals es transmetin directament de responsable a responsable quan sigui tècnicament possible.

Aquest dret només s'aplica quan es compleixen dues condicions acumulatives :  

• El tractament es basa en el consentiment (Art. 6.1.a o 9.2.a) o en l'execució d'un contracte (Art. 6.1.b).

• El tractament s'efectua per mitjans automatitzats.

És important destacar que aquest dret no s'aplica al tractament necessari per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable (Art. 20.3 RGPD , . Això limita significativament la seva aplicabilitat en l'àmbit de les administracions públiques, ja que la majoria dels seus tractaments es basen en aquestes darreres bases jurídiques. El dret a la portabilitat tampoc pot afectar negativament els drets i llibertats de tercers. La LOPDGDD (Art. 95 ) regula específicament aquest dret en l'àmbit dels serveis de xarxes socials.  

6.7. Dret d'Oposició (Art. 21 RGPD)

L'interessat té dret a oposar-se en qualsevol moment, per motius relacionats amb la seva situació particular, al tractament de les seves dades personals quan aquest es basi en :  

• El compliment d'una missió realitzada en interès públic o en l'exercici de poders públics (Art. 6.1.e RGPD).

• La satisfacció d'interessos legítims perseguits pel responsable o un tercer (Art. 6.1.f RGPD).

Això inclou el dret a oposar-se a l'elaboració de perfils basada en aquestes disposicions.  

Quan l'interessat exerceix aquest dret, el responsable ha de deixar de tractar les dades personals, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, drets i llibertats de l'interessat, o per a la formulació, l'exercici o la defensa de reclamacions. La càrrega de la prova recau sobre el responsable, que ha de realitzar una ponderació entre els seus motius i la situació particular de l'interessat.  

A més, l'interessat té un dret absolut i incondicional a oposar-se al tractament de les seves dades amb finalitats de màrqueting directe, incloent l'elaboració de perfils relacionada amb aquest màrqueting. Si s'exerceix aquest dret, les dades personals deixaran de ser tractades per a aquestes finalitats immediatament.  

El dret d'oposició s'ha de comunicar a l'interessat de manera explícita, clara i separada d'altra informació, com a màxim en el moment de la primera comunicació.  

6.8. Dret a No Ser Objecte de Decisions Individuals Automatitzades (Art. 22 RGPD)

L'interessat té dret a no ser objecte d'una decisió basada únicament en el tractament automatitzat, inclosa l'elaboració de perfils, que produeixi efectes jurídics sobre ell o l'afecti significativament de manera similar.  

Aquest dret busca protegir les persones dels riscos derivats de decisions preses per algoritmes sense intervenció humana significativa, que poden ser opaques, errònies o discriminatòries.

El dret no s'aplica si la decisió (Art. 22.2 RGPD ):  

• (a) És necessària per a la subscripció o execució d'un contracte entre l'interessat i el responsable.

• (b) Està autoritzada pel Dret de la UE o de l'Estat membre aplicable al responsable (i que estableixi mesures adequades per salvaguardar els drets, llibertats i interessos legítims de l'interessat).

• (c) Es basa en el consentiment explícit de l'interessat.

Fins i tot en aquests casos d'excepció (a i c), el responsable ha d'implementar mesures adequades per salvaguardar els drets, llibertats i interessos legítims de l'interessat, com a mínim el dret a obtenir intervenció humana per part del responsable, a expressar el seu punt de vista i a impugnar la decisió (Art. 22.3 RGPD ).  

A més, les decisions automatitzades no es poden basar en categories especials de dades (Art. 9.1), tret que s'apliqui l'excepció del consentiment explícit (Art. 9.2.a) o la d'interès públic essencial (Art. 9.2.g), i existeixin mesures adequades de salvaguarda (Art. 22.4 RGPD ).  

La clau d'aquest dret rau en l'expressió "basada únicament en el tractament automatitzat". Si hi ha una intervenció humana significativa en el procés de decisió, que pugui revisar i modificar el resultat proposat per l'algoritme, aquest article no s'aplicaria directament, tot i que els principis de transparència i informació continuarien sent exigibles.

6.9. Obligació de Notificació del Responsable (Art. 19 RGPD)

Per garantir l'efectivitat dels drets de rectificació, supressió i limitació, l'article 19 del RGPD estableix una obligació addicional per al responsable del tractament:  

"El responsable del tractament comunicarà qualsevol rectificació o supressió de dades personals o limitació del tractament efectuada d'acord amb l'article 16, l'article 17, apartat 1, i l'article 18 a cadascun dels destinataris als quals s'hagin comunicat les dades personals, tret que sigui impossible o exigeixi un esforç desproporcionat."

A més, "El responsable informarà l'interessat sobre aquests destinataris, si l'interessat ho sol·licita".  

Aquesta obligació assegura que les correccions, eliminacions o restriccions aplicades a les dades en poder del responsable es propaguin a altres entitats que també les puguin estar tractant, evitant la persistència d'informació incorrecta, il·lícita o restringida. Complir aquesta obligació requereix que el responsable mantingui un registre adequat de les comunicacions de dades realitzades. La invocació de l'"esforç desproporcionat" com a excepció ha d'estar degudament justificada i documentada.

6.10. Presentació de Reclamacions (DPD, Autoritats de Control)

El RGPD i la LOPDGDD ofereixen als interessats diverses vies per defensar els seus drets si consideren que han estat vulnerats:

1. Contactar amb el Responsable o l'Encarregat: La primera via és exercir els drets directament davant l'entitat que tracta les dades.

2. Contactar amb el Delegat de Protecció de Dades (DPD): Si l'entitat compta amb un DPD, l'interessat pot dirigir-