Derecho de Acceso
El derecho de acceso juega un papel central en el Reglamento General de Protección de Datos (RGPD). Por un lado, porque solo el derecho de acceso le permite al sujeto de los datos ejercer más derechos (como la rectificación y el borrado). Por otro lado, porque una divulgación omitida o incompleta está sujeta a multas.
Conoce nuestra solución de grabación de interacciones que cumple con RGPD
La respuesta a una solicitud de derecho de acceso incluye dos etapas. Primero, el controlador debe verificar si los datos personales de la persona que busca información se están procesando. En cualquier caso, uno debe reportar un resultado positivo o negativo. Si la respuesta debería ser positiva, la segunda etapa implica toda una gama de información.
El derecho de acceso incluye información sobre los fines de procesamiento, las categorías de datos personales procesados, los destinatarios o las categorías de destinatarios, la duración planificada del almacenamiento o los criterios para su definición, información sobre los derechos del interesado, como rectificación, borrado o restricción del procesamiento, derecho a objetar, instrucciones sobre el derecho a presentar una queja ante las autoridades, información sobre el origen de los datos, siempre y cuando no se hayan recopilado del mismo sujeto de los datos, y haya existencia de un proceso de toma de decisiones automatizado, incluido el análisis de perfiles, con información significativa sobre la lógica involucrada, así como las implicaciones y los efectos previstos de dichos procedimientos. Por último, pero no menos importante, si los datos personales se transmiten a un tercer país sin un nivel de protección adecuado, los interesados deben ser informados de todas las garantías apropiadas que se hayan tomado.
La información se puede proporcionar al sujeto de los datos por escrito, electrónica o verbalmente, según la circunstancia. Según el artículo 12 la información RGPD se debe proporcionar sin demoras indebidas pero a más tardar dentro de un mes. Solo en casos razonados se puede superar excepcionalmente este plazo de un mes. Como regla general, la información debe ser proporcionada de forma gratuita. Si, además, se solicitan copias adicionales, se puede solicitar un pago razonable que refleje los costes administrativos. El controlador también puede rechazar las solicitudes del titular de los datos al derecho de acceso si no está justificado o es excesivo.
Aspectos básicos del Derecho de Acceso en RGPD y LOPD
¿Qué es el derecho de acceso?
El derecho de acceso, comúnmente denominado acceso de sujeto, otorga a las personas el derecho a obtener una copia de sus datos personales, así como otra información complementaria. Ayuda a las personas a comprender cómo y por qué está utilizando sus datos, y verificar que lo está haciendo legalmente.
¿A qué tiene derecho una persona?
Las personas tienen el derecho de obtener de usted lo siguiente:
- Confirmación de que está procesando sus datos personales;
- Una copia de sus datos personales; y
- Otra información complementaria: esto corresponde en gran medida a la información que debe proporcionar en un aviso de privacidad.
Datos personales del individuo
Un individuo solo tiene derecho a sus propios datos personales, y no a la información relacionada con otras personas (a menos que la información también sea sobre ellos o actúen en nombre de alguien). Por lo tanto, es importante que establezca si la información solicitada se encuentra dentro de la definición de datos personales.
Otra información sobre el Derecho al Acceso
Además de una copia de sus datos personales, también debe proporcionar a las personas la siguiente información:
- Los propósitos de su procesamiento;
- Las categorías de datos personales en cuestión;
- Los destinatarios o las categorías de destinatarios a los que divulga los datos personales;
- Su período de retención para almacenar los datos personales o, cuando esto no sea posible, sus criterios para determinar por cuánto tiempo los almacenará;
- La existencia de su derecho a solicitar la rectificación, cancelación o restricción u objeción a dicho procesamiento;
- El derecho a presentar una queja ante la LOPG u otra autoridad de supervisión;
- Información sobre la fuente de los datos, donde no se obtuvo directamente del individuo;
- La existencia de una toma de decisiones automatizada (incluida la elaboración de perfiles); y
- Las garantías que proporciona si transfiere datos personales a un tercer país u organización internacional.
Es posible que esté proporcionando gran parte de esta información en su aviso de privacidad.
¿Podemos cobrar una tarifa por el Derecho de Acceso?
En la mayoría de los casos, no pueden cobrar una tarifa para cumplir con una solicitud de acceso de sujeto. Sin embargo, cuando la solicitud es manifiestamente infundada o excesiva, se puede cobrar una «tarifa razonable» por los costes administrativos de cumplir con la solicitud.
También pueden cobrar una tarifa razonable si una persona solicita copias adicionales de sus datos después de una solicitud. Deben basar la tarifa en los costes administrativos de proporcionar copias adicionales.
¿Cuánto tiempo tenemos que cumplir?
Debe actuar en la solicitud de acceso del sujeto sin demoras indebidas y, a más tardar, dentro del mes siguiente a la recepción.
Debe calcular el límite de tiempo desde el día después de recibir la solicitud (ya sea que el día posterior sea un día hábil o no) hasta la fecha del calendario correspondiente en el mes siguiente.
Si esto no es posible porque el mes siguiente es más corto (y no hay una fecha de calendario correspondiente), la fecha de respuesta es el último día del mes siguiente. Si la fecha correspondiente cae en un fin de semana o un día festivo, tiene hasta el siguiente día hábil para responder.
Esto significa que la cantidad exacta de días que tiene para cumplir con una solicitud varía, dependiendo del mes en que se realizó la solicitud. Por motivos prácticos, si se requiere un número constante de días (por ejemplo, para fines operativos o del sistema), puede ser útil adoptar un período de 28 días para garantizar el cumplimiento siempre dentro de un mes calendario.
¿Podemos extender el tiempo para una respuesta?
Puede extender el tiempo de respuesta otros dos meses si la solicitud es compleja o si ha recibido varias solicitudes individuales. Debe informar a la persona dentro del mes posterior a la recepción de su solicitud y explicar por qué es necesaria la extensión.
Sin embargo, el LOPD considera que es poco probable que sea razonable extender el límite de tiempo si:
- Es manifiestamente infundado o excesivo;
- Se aplica una exención; o
- Usted está solicitando prueba de identidad antes de considerar la solicitud.