Sanción de 20.000 € a una empresa por poner trabas a la supresión de datos personales.

Protección de Datos., , , , , , , , , , ,

Uno de los temas del RGPD a los que hay que prestar una especial atención, por parte, sobre todo, de las empresas que trabajen con un volumen, más o menos, importante de datos personales, es dar solución a las solicitudes de los derechos que nos puedan llegar por parte de los afectados, sobre todo a los tres que más se ejercen:

Derecho de AccesoDerecho de RectificaciónDerecho de Supresión (Derecho al Olvido)

El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.

Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:

  1. los fines del tratamiento;
  2. las categorías de datos personales de que se trate;
  3. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
  4. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
  5. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
  6. el derecho a presentar una reclamación ante una autoridad de control;
  7. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
  8. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  9. cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.

Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

  1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
  2. el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
  3. el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
  4. los datos personales hayan sido tratados ilícitamente;
  5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
  6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:

  1. para ejercer el derecho a la libertad de expresión e información;
  2. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
  3. por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
  4. con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,
  5. para la formulación, el ejercicio o la defensa de reclamaciones.

En el caso que nos ocupa, la sanción viene dada porque una empresa puso muchas trabas a la solicitud derecho de supresión de un afectado. Los hechos son que el afectado recibió una llamada telefónica por parte de una inmobiliaria que había obtenido sus datos, los de su hijo y los de todos los habitantes del inmueble a través de una fuente publica de Movistar. El hijo del afectado llamó a la inmobiliaria para que suprimiesen los datos de su padre de su archivo, pero le dijeron que necesitaban una imagen del DNI de su padre para poder hacerlo. Al final le dieron varios correos donde debía dirigir su solicitud hasta que finalmente le enviaron un correo diciendo que ya habían suprimido sus datos, aunque más tarde la AEPD comprobó que esto no era cierto, tras una reclamación del afectado.

Por ello la AEPD sanciona con de 10.000 euros por cada una de las infracciones: vulneración del artículo 6, Licitud del Tratamiento, y del 17 del RGPD, Derecho de Supresión.

*Recordar que en All In Solutions For Business, hacemos todos los tramites para dar respuesta a la solicitud de derechos por parte de los afectados. Podéis contactar con nosotros para obtener más información a través del formulario de contacto o llamando al 900 929 806.

Fuente: Economistjurist.

Comparte la entrada.