Ley de protección de datos personales. Cómo ampara a los consumidores

En nuestro día a día, los consumidores facilitamos una gran cantidad de información personal a distintas empresas privadas y organismos públicos. Actividades tan cotidianas como comprar por Internet, contratar un servicio, apuntarse a alguna actividad o rellenar un formulario para solicitar un catálogo, requieren facilitar datos personales como nuestro nombre, DNI, correo electrónico o teléfono y algunos casos números de tarjetas de crédito o cuentas bancarias, por lo que debemos estar seguros de que se encuentran en buenas manos.

Como consumidores es muy importante conocer cuál es el tratamiento que las empresas privadas y las instituciones públicas hacen de esos datos, así como saber cuáles son los derechos que nos amparan en el caso de querer eliminar, modificar o restaurar esa información.

El reglamento europeo que ha sido adaptado por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, contempla aspectos como el derecho de los consumidores a suprimir sus datos personales o el deber de las empresas de describir cuál es la finalidad para la que se utilizan. A continuación, detallamos los más importantes:

1. El consentimiento en el tratamiento. El reglamento exige que el consentimiento que debe dar al tratamiento de sus datos como consumidor sea expreso, una “clara acción afirmativa” y no un mero consentimiento tácito.

2. Protección de datos y menores de edad. Los menores podrán dar consentimiento al uso de sus datos a partir de los 16 años, sin perjuicio de que esta edad pueda rebajarse hasta los 13 cuando los países miembros lo establezcan en sus normativas.

3. Deber de información y transparencia. El reglamento establece varios niveles de información, una más básica y otra más detallada. En concreto, se debe informar, entre otros, acerca de:

• Responsable del tratamiento de los datos. Incluyendo su identidad y sus datos de contacto.
• La finalidad del tratamiento. Que incluya una descripción detallada sobre para qué se van a usar esos datos.
• Legitimación. Información sobre la base jurídica del tratamiento, en los casos de obligación legal o interés público, y la obligación o no de facilitar esos datos así como las consecuencias de no hacerlo.
• Derechos de las personas interesadas. Debe haber una referencia al ejercicio de los derechos de acceso, rectificación, supresión, portabilidad, u oposición al tratamiento de sus datos.

4 . El derecho a la supresión y a la portabilidad de los datos. En este apartado se incluye el conocido como derecho al olvido, con el que se da respuesta, en especial, a la creciente preocupación de los ciudadanos por la utilización y cesión de sus datos en Internet. Las personas consumidoras pueden solicitar la supresión de sus datos personales en varios supuestos, que incluyen que estos datos se utilicen de manera ilícita o bien haya desaparecido la finalidad que motivó el tratamiento o recogida. En esos casos, está en su derecho de solicitar que se borren definitivamente del sistema.

En el caso del derecho de portabilidad, este se refiere al derecho de portar nuestros datos de una empresa a otra cuando cambiemos de suministradora de servicios, de tal manera que la empresa anterior deba borrarlos de su base de datos, una vez nos hayamos dado de baja de este servicio.

5. Derecho a estar informados de los fallos de seguridad. Las empresas tendrán la obligación de informar al consumidor, con un máximo de 72 horas, de que se ha producido un fallo en la seguridad de sus datos personales.

Principios generales, obligaciones de las empresas y derechos de los ciudadanos

Varios son los principios y obligaciones que las empresas y los responsables de los ficheros de datos tienen que cumplir con los consumidores cuando recogen y tratan nuestra información y los derechos que nos amparan en el caso de querer eliminar o modificar dicha información:

• Información. En primer lugar, es obligatorio informar al consumidor sobre la existencia de un fichero de datos personales, sobre los destinatarios de esos datos, la manera de ejercitar los derechos de acceso, rectificación, oposición o cancelación, así como la finalidad sobre la que se recaban tus datos.
• Calidad. Estos datos sólo podrán usarse para una finalidad determinada. No podrán usarse por tanto, para otro propósito y su recogida debe ser proporcional a ella.
• Legitimación del tratamiento de datos. Es importante tener en cuenta que el tratamiento de los datos personales solo puede hacerse si el consumidor da el consentimiento para ello. Aunque existen algunas excepciones a este principio, como por ejemplo cuando los datos se recojan para las Administraciones Públicas para el ejercicio de su competencia, nuestros datos solo pueden ser tratados, recogidos o cedidos a terceros cuando así lo consintamos.
• Seguridad. Las empresas deben garantizar la seguridad y confidencialidad de los datos que cedemos.
• Cesión de datos. De igual forma que en el tratamiento de datos, los datos personales sólo pueden ser cedidos a terceros si previamente se nos ha solicitado su consentimiento.

Además de las obligaciones que las empresas o instituciones públicas tienen para con nuestros datos personales, los consumidores podemos ejercer nuestro derecho de acceder, rectificar o eliminar nuestros datos de un fichero en el que ya no queramos aparecer.

Cualquier ciudadano puede consultar gratuitamente el Registro General de Protección de datos de la Agencia Española de Protección de datos, donde las empresas tienen inscritos sus ficheros de datos,. Aquí podrá consultar la información que tienen habilitada para dirigirse a ellos en el caso que, como consumidor, necesite ejercer su derecho de acceso, rectificación, cancelación y oposición:

• Derecho de acceso. Permite al ciudadano solicitar y obtener información gratuita sobre los datos personales sometidos a tratamiento y el origen de esos datos. La solicitud tiene que ir dirigida al responsable del fichero que tendrá de plazo un mes para contestarla y darle acceso a ellos.
• Derecho de rectificación. Cuando los datos personales son inexactos, incompletos o se han tratado de forma ilegal, puede pedir que el responsable que los está tratando los rectifique. Deben contestar en un plazo máximo de 10 días hábiles.
• Derecho de oposición. Los ciudadanos tienen derecho a oponerse a aparecer en un determinado fichero o a que sus datos sean comunicados a terceros con fines de publicidad y de prospección comercial, salvo que una ley disponga lo contrario.

Para ejercer estos derechos, deberá enviar una comunicación dirigida al responsable del fichero con su nombre y su DNI, solicitando la oposición a aparecer en un determinado fichero o la rectificación de sus datos. Es responsabilidad de la empresa encargada de esos datos, darle contestación a su petición. 

Más información

Puede consultar más información sobre protección de datos en el apartado de información jurídica y legislación de la Comunidad de Madrid. 

En la sección Publicaciones de la página web de la Agencia Española de Protección de Datos puede consultar y descargar sus guías, entre ellas, las siguientes: Guía para el ciudadano, Guía sobre protección de datos para centros educativos, Protección de Datos y Administración de Fincas, Código de Buenas Prácticas en protección de datos para proyectos Big Data.

También está disponible la guía editada por Confianza Online sobre protección de datos personales.

Si ha visto vulnerado sus derechos, puede poner una denuncia en la Agencia Española de Protección de Datos.