¿Debe una empresa responder a un ejercicio de derechos en todos los casos?
El Reglamento General de Protección de Datos permite que los interesados puedan ejercer ante los responsables del tratamiento (empresas públicas o privadas, organizaciones sin ánimo de lucro, asociaciones, fundaciones, entidades públicas, etc.) determinados derechos relativos a sus datos personales: derecho de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
Estos derechos se caracterizan por lo siguiente:
- Su ejercicio es gratuito.
- Las solicitudes deben responderse siempre en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
- Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
- Se puedes ejercer los derechos directamente o por medio de un representante legal o voluntario.
Cuáles son las consecuencias si no se responde correctamente a una solicitud de ejercicio de derechos
Recientemente, una pequeña empresa de moda madrileña ha recibido una sanción de 6.000 euros por no hacer efectivo un ejercicio de derechos de una persona interesada.
En este caso, el reclamante envió un correo electrónico a la empresa, solicitando el borrado de sus datos personales para que no volvieran a enviarle más comunicaciones comerciales. A los tres meses, el interesado vuelve a escribir a la marca de ropa porque aún no han borrado sus datos personales, pues aún tiene acceso al sistema con sus datos y sus claves, contestándole que el borrado de sus datos se realizará inmediatamente. Pese a ello, vuelve a recibir otros dos correos electrónicos publicitarios.
A pesar de todo lo anterior y de que el responsable escribió al interesado para confirmar el borrado de sus datos, este recibió dos correos publicitarios más de forma posterior.
En definitiva, el interesado solicitó la supresión de sus datos personales, derecho recogido en el RGPD como el “derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales […]”
Sin embargo, la AEPD consideró que esta solicitud no fue atendida, pues incluso, después de haber declarado que los datos personales del reclamante habían sido borrados, se volvieron a utilizar para enviarle un nuevo correo electrónico publicitario, por lo que procedió a imponer una sanción de 6.000 euros al responsable.
Qué medidas pueden tomar las empresas para evitar sanciones similares
Cualquier interesado puede formalizar un ejercicio de derechos: empleados, clientes, proveedores, personas de contacto… por lo que es preciso que cualquier organización se dote de las siguientes medidas para cumplir correctamente con sus obligaciones:
- Formación de los empleados: los empleados deben de conocer qué es un ejercicio de derechos para poder distinguirlo, por lo que deben de tener unos conocimientos básicos de protección de datos.
- Establecer protocolos para dar respuesta a los ejercicios de derechos: se debe implementar en la organización un protocolo para poder responder en tiempo y forma a cualquier ejercicio de derechos. Todo el personal debe conocer este procedimiento para saber cómo actuar ante un ejercicio de derechos.
- Establecer un canal único: establecer un canal para el ejercicio de derechos de protección de datos facilita al responsable poder llevar un control de una forma más efectiva.
La mejor forma de estar tranquilo y no correr riesgos es solicitando una consultoría personalizada para tu empresa. Esperamos tu llamada.