Si, como organizaciones, recogemos, guardamos, tratamos, usamos o gestionamos algún tipo de dato de los ciudadanos estamos obligados por el RGPD. A sensu contrario, si como ciudadanos se usan nuestros datos, tenemos más derechos y más mecanismos de defensa de nuestros intereses gracias al RGPD.
Con el RGPD se crean nuevos derechos (derecho al olvido, por primera vez reglamentado, derecho a la portabilidad) y se implementan herramientas para control de los datos. El derecho a la portabilidad refuerza el control de nuestros datos personales, ya que cuando el tratamiento se realiza por medios automatizados, hemos de recibir nuestros datos personales en un “formato estructurado, de uso común, de lectura mecánica e interoperable”, y podamos transmitirlos a otro responsable del tratamiento, bajo la condición de que el tratamiento se legitime “en base al consentimiento o en el marco de la ejecución de un contrato”. No obstante, estos derechos, por su propia naturaleza, no se pueden aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.
Por otra parte, y como usuarios, tenemos derecho a no ser objeto de decisiones individuales automatizadas. Se pretende garantizar que no seamos objeto de una decisión basada únicamente en el tratamiento de nuestros datos, de forma individualizada, incluyendo la elaboración de perfiles, que produzca efectos jurídicos sobre cualquiera de nosotros o nos afecte significativamente de forma similar.
Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de nuestros datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo, situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.
El derecho a no ser objeto de decisiones individuales automatizadas presenta dos excepciones:
- Cuando sea necesario para la celebración o ejecución de un contrato entre el individuo y el responsable;
- y cuando el tratamiento se fundamente en el consentimiento individual, prestado previamente.
A pesar de estas dos excepciones, “el responsable deber garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión”.
Recientemente, Leonardo Cervera-Navas, director del Supervisor Europeo de Protección de Datos, insistía, durante el acto de celebración del XXV aniversario de la Agencia Española de Protección de Datos, en la relevancia de la protección de datos para «favorecer el empoderamiento de los ciudadanos en un entorno cada vez más digital». Aludía entonces a que la creciente robotización de los mercados laborales se basaba en datos, muchos de los cuales son de carácter personal.
En próximas participaciones seguiremos adentrándonos en el Marco Legal de la Protección de Datos de Carácter Personal.
Ricardo Vidal
Director de Seguridad Dpto. nº 967
