Como ya hemos indicado en otros artículos de nuestro blog (pincha aquí), tanto el Reglamento General de Protección de Datos (RGPD) en sus artículos 15 a 22, como la ley orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD) en sus artículos 13 a 18, reconocen a los titulares de datos de carácter personal el ejercicio de una serie de derechos (conocidos como ARSOPOL) ante el responsable del tratamiento de sus datos:
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de oposición.
- Derecho de supresión (conocido como derecho “al olvido”).
- Derecho a la limitación del tratamiento.
- Derecho a la portabilidad.
- Derecho de oposición al tratamiento de decisiones automatizadas.
Si bien es cierto que la mayoría de las entidades a las que les aplica la normativa en materia de protección de datos conocen en mayor o menor medida los derechos ARSOPOL, existen determinados aspectos relacionados con el ejercicio de estos por parte del interesado, que a día de hoy siguen generando dudas.
¿Qué cuestiones es imprescindible tener en cuenta en este sentido? (Art.12 LOPDGDD):
- Su ejercicio ha de ser gratuito.
- Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:
- Cobrar un canon proporcional a los costes administrativos soportados.
- Negarse a actuar.
- Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
- El responsable del tratamiento está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. (Correo electrónico, carta certificada, etc.)
- Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
- Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
- El interesado puede ejercer los derechos directamente o por medio de su representante legal o voluntario.
Por otro lado, también estimamos necesario hacer referencia a los requisitos que ha de cumplir el interesado a la hora de solicitar el ejercicio de sus derechos, que la propia AEPD incluye en los formularios de ejercicio de derechos (acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad, oposición al tratamiento de decisiones automatizadas), disponibles en su página web:
a) Nombre, apellidos del interesado. En los casos que existan dudas acerca de la identidad del interesado, se solicitará fotocopia de su documento nacional de identidad o pasaporte (art. 12.6 RGPD) y, en los casos que se admita, de la persona que le represente, así como del documento acreditativo de tal representación. La fotocopia del documento nacional de identidad o del pasaporte podrá ser sustituida por copia de documento equivalente que acredite su identidad conforme a derecho.
b) Petición en que se concreta la solicitud.
c) Domicilio a efectos de notificaciones, fecha y firma del solicitante.
d) Documentos acreditativos de la petición que formula, en su caso.
Como regla general y tal y como nos indica la Agencia Española de Protección de Datos (AEPD), esta sería la forma y los datos que deben de acompañar la solicitud. Sin embargo, hace unos meses se publicaba una resolución de la propia AEPD (R/00540/2019) que puede suponer un cambio a la hora de gestionar y tramitar determinadas solicitudes de ejercicio de derechos:
Se trata de una reclamación formulada por un particular contra el partido político Ciudadanos por no haber atendido su derecho de supresión.
El interesado se había dado de alta en una plataforma propiedad del partido, pero unos meses después decide darse de baja y solicitar la supresión de sus datos de la indicada plataforma web. Al proceder al ejercicio de su derecho, el responsable del tratamiento le solicita una fotocopia de su DNI para poder acreditar su identidad y hacer efectivo su derecho, negándose a aportar tal documentación el interesado. A su vez, este es el motivo que la entidad reclamada alega como justificante para no dar respuesta a la solicitud.
¿Qué resuelve la AEPD al respecto?
Pues bien, como hemos indicado, hasta ahora siguiendo la tónica general y las pautas marcadas por la propia autoridad de control española, en los casos en los que existan dudas acerca de la identidad del interesado se podrá solicitar fotocopia de su DNI, pasaporte o documento equivalente, en aras de cumplir con el considerando 64 del RGPD:
“El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea.”
Pero, por el contrario, en la indicada resolución, la AEPD basa su fundamento jurídico para entender que no es necesaria la identificación del afectado a través del DNI para la supresión de sus datos, en el artículo 11 RGPD (Tratamiento que no requiere identificación), que dispone lo siguiente:
“Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento”.
Por lo que, atendiendo al pie de la letra a lo indicado en este artículo y su interpretación por parte de la AEPD, si no se solicitó la identidad del reclamante para darse alta, no se requerirá acreditación para que este ejercite su derecho de supresión. Bastará en el presente caso con la comprobación del correo electrónico desde el que fue solicitada el alta en la plataforma, la cual figura en los registros del partido.
Indica la AEPD que “carece de sentido que sea mayor el rigor para dar de baja que el rigor para dar de alta”. Por lo tanto, estima la reclamación, instando a la entidad reclamada a que, en el plazo de los diez días hábiles siguientes a la notificación de la citada resolución, remita a la parte reclamante certificación en la que haga constar que ha atendido el derecho de supresión ejercido por éste o se deniegue motivadamente indicando las causas por las que no procede la supresión solicitada.
En todo caso estaremos atentos a posibles futuros pronunciamientos de la AEPD al respecto, en aras de determinar si tomar como base para un criterio general esta resolución, o por el contrario tomarla como un caso concreto y aislado por las características de la reclamación.