Sería comprensible que si nos suscribimos a un servicio voluntariamente, no tendría mucho sentido que preguntásemos al responsable del servicio sobre que datos tiene. Es obvio, los datos que nosotros mismos dimos.
Pero esta simplicidad no exime ni responsabilidades ni la posibilidad de preguntar por parte del usuario.
Partamos del siguiente escenario: el usuario U_Pedro se da de alta al servicio S_Reja que la empresa E_Beige dispone de forma on-line a través de su página web. Para darse de alta, utiliza un formulario on-line que le solicita su nombre y su correo electrónico.
A través de ese momento, existen ciertas obligaciones y responsabilidades de E_Beige sobre los datos de U_Pedro.
E_Beige deberá tener inscrito en la Agencia Española de Protección de Datos un fichero con la finalidad del servicio S_Reja. No entraremos en este post sobre las medidas de seguridad que necesitaría el fichero, así como otros conceptos vinculantes.
Imaginemos que llegado un momento, el U_Pedro decide realizar una petición de acceso a sus datos. Derecho que la LOPD le otorga.
La ley describe que las peticiones de acceso deben ser personales, por lo que uno debe identificarse al realizar la petición.
TÍTULO III Derechos de acceso, rectificación, cancelación y oposición
CAPÍTULO I Disposiciones generales
Artículo 23. Carácter personalísimo.
1. Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado.
2. Tales derechos se ejercitarán:
a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.
…
Artículo 25. Procedimiento.
…
1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.
….
Entonces la vía correcta sería a través del correo ordinario con una copia de nuestro DNI o a través de un correo electrónico firmado con nuestra firma reconocida y con el documento de petición también firmado electrónicamente. Siempre dirigido al responsable del fichero.
Como habíamos dicho, U_Pedro decide realizar un acceso a sus datos sobre el servicio S_Reja. Como quiere hacerlo correctamente, se prepara el modelo de petición de acceso de la AEPD y busca en la página web de
E_Beige su política de Privacidad, y esto es lo que encuentra: «Si es usuario de nuestros servicios puede ejercer los derechos de acceso, rectificación, cancelación y oposición poniéndose en contacto con nuestro administrador web». ¿El administrador del sitio web es el responsable del fichero? Puede ser 
Y un link hacia un formulario…
Sorprende como algunas organizaciones han entendido los artículos citados: un formulario web que nos da la oportunidad de realizar una petición de nuestros derechos. Imaginemos que esas peticiones acabarán llegando al responsable del fichero. ¿Pero como garantizamos nuestra identidad si el formulario sólo nos deja ingresar nombre, apellido y comentario? Sin comentarios… De todas formas, ellos han especificado esa vía gratuita, así que nosotros podemos utilizarla. En otro post veremos que soluciones ofrece PRiSE para empresas y organizaciones para resolver este problema.
Aún así, U_Pedro quiere hacer las cosas correctamente, así que busca en las agencias competentes los ficheros declarados por E_Beige para buscar el responsable del fichero y poder traspasar su petición. Otra sorpresa para U_Pedro, ninguno de los ficheros declarados hace referencia a la finalidad del servicio S_Oreja. Legalmente no existe tal responsable del fichero. Menos mal que nos queda utilizar ese formulario de la web. También veremos en otro post qué hacer si nuestros datos acaban en un fichero no declarado en ninguna de las agencias competentes.
Así que a U_Pedro no le queda otra opción que utilizar el formulario. Envía un comentario solicitando que datos tienen sobre él y en que fichero de la Agencia está inscrito. Sorpresa positiva: sólo tardan un día en responderle desde E_Beige. Sorpresa negativa: le contestan a través de un correo electrónico: «Usted mismo fue quien solicitó darse de alta. Si quiere le podemos dar de baja.» Y en otro correo: «Los datos que tenemos son los que facilitó a través de nuestro formulario».
CAPÍTULO II Derecho de acceso
Artículo 27. Derecho de acceso.
1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
U_Pedro no cree conveniente tal respuesta a su petición, por lo que así se lo hace saber a E_Beige, y como ésta no le ofrece ninguna otra respuesta que darse de baja, decide ponerse en contacto con la Agencia para comenzar el trámite de tutela de derechos, en particular, el de acceso.
Así que se descarga documento de tutela que la Agencia tiene publicado
- Rellena todos los datos necesarios: sus datos de contacto, los datos de la empresa E_Beige (haciendo referencia al servicio S_Reja)
- Marca la documentación aportada
Imprime una copia y la firma manualmente, e imprime también los correo de la respuesta de la empresa E_Beige.
Envía la documentación junto a una fotocopia de su Documento de Identidad a través de correo ordinario, para que su firma manual sea válida.
CAPÍTULO II Procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición
Artículo 117. Instrucción del procedimiento.
…
2. Recibida la reclamación en la Agencia Española de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinentes.
Esperaremos la resolución de la Agencia sobre la tutela de U_Pedro.
En otro post veremos cómo realizar la tutela de derechos a través de un canal totalmente telemático.
Atentos a PRiSE, que un simple acceso da mucho de que hablar…
Si eres el responsable de una empresa o organización y al leer este post te han surgido dudas sobre tu gestión de datos personales, ponte en contacto con nosotros para que te ayudemos.
You must be logged in to post a comment.