derechos de autodeterminación informativa

No se si habéis escuchado hablar de los derechos de autodeterminación informativa o los derechos ARCO. La actual normativa sobre protección de datos supuso un avance para los derechos de las personas interesadas, surgiendo así el denominado derecho a la autodeterminación informativa.

El derecho a la autodeterminación informativa surge como respuesta a la posibilidad de un tratamiento masivo de datos. Fue construido y elaborado a partir de la sentencia del Tribunal Constitucional Federal alemán de 15 de diciembre de 1983.11. En dicha sentencia, el Tribunal configura, a partir del derecho general de la personalidad recogido en el artículo 2.1 de la Ley Fundamental de Bonn, la facultad del individuo, derivada de la autodeterminación, de decidir básicamente por sí mismo, cuándo y dentro de qué límites, procede revelar situaciones referentes a la vida propia. Surge la necesidad de establecer jurídicamente mecanismos de protección de los datos personales frente a su uso informatizado, no tanto por el carácter estrictamente privado de éstos, sino por el peligro que supone la utilización que se haga de los mismos.

En todo caso, el derecho no comporta una patrimonialización de los datos personales, sino que es la garantía de una serie de facultades individuales que permitirán al titular llevar a cabo el control y seguimiento de la información personal registrada en soportes informáticos.

En palabras del Tribunal Constitucional español, «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionará a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o no»

Podemos definir la autodeterminación informativa como la capacidad del individuo para determinar la divulgación y el uso de sus datos personales, controlar y determinar lo que los demás pueden, en cada momento, saber sobre su vida personal. Este derecho ayuda a las y los ciudadanos a proteger sus datos personales y, en ejercicio de este derecho, a autodefinirse y modular su imagen pública y reputación.

El RGPD reconoce el “derecho a la autodeterminación informativo” y lo concreta en la posibilidad de ejercer ante el responsable del tratamiento los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Vamos a ver en qué consiste cada derecho:

- Derecho a la rectificación: supone el derecho a obtener, sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan o que se completen, según los fines, mediante una declaración adicional. Se deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Además, deberán acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
- Derecho de supresión: derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
  1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
  2. el interesado retire el consentimiento y este no se base en otro fundamento jurídico;
  3. el interesado se oponga al tratamiento;
  4. los datos personales hayan sido tratados ilícitamente;
  5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el derecho de la unión o de los estados miembros que se aplique al responsable del tratamiento;
  6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información

- Derecho a la limitación del tratamiento: derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

1. 1. se impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
  2. el tratamiento sea ilícito y las/los interesados se opongan a la supresión de los datos personales y soliciten en su lugar la limitación de su uso;
  3. el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
  4. se haya ejercido el derecho de oposición al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

Derecho a la portabilidad: derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

1. 1. el tratamiento esté basado en el consentimiento y
  2. el tratamiento se efectúe por medios automatizados.

Derecho de oposición: derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

EJERCICIO DE LOS DERECHOS.

Es importante señalar que el ejercicio es gratuito, sólo si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:

- Cobrar un canon proporcional a los costes administrativos soportados
- Negarse a actuar

Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más. El responsable está obligado a informar sobre los medios para ejercitar estos derechos y estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que se opte por otro medio.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control. Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule

Se pueden ejercer los derechos directamente o por medio de tu representante legal o voluntario. Si el responsable tiene dudas sobre tu identidad, podrá solicitar información adicional para confirmar la misma como la fotocopia del DNI o pasaporte u otro documento válido que identifique a persona solicitante. Se puede utilizar la firma electrónica y si se ejercitan a través de un representante se deberá aportar el documento o instrumento electrónico que acredite la representación.

En la solicitud debe incluirse la petición, la dirección a efectos de notificaciones, fecha y firma, así como los documentos acreditativos de la petición si fuesen necesarios.

Se acercan las primeras reuniones con las familias y el encuentro con nuestro alumnado mayor de edad, por ello he querido hacer esta entrada en la que resumo nuestras obligaciones de información en relación a la normativa vigente de protección de datos que espero que os sea de utilidad.

Es importante recordar que los centros educativos van a realizar tratamientos de datos legitimadas por tres circunstancias diferentes y esto va a suponer que se desplieguen distintos efectos jurídicos (obligaciones y derechos).

Vamos a repasar las distintas posibilidades:

- Tratamiento de datos legitimado por una norma con rango legal. La mayoría de las actividades de tratamiento de datos que desarrollan los centros educativos se realizan bajo la legitimación que le ofrece una norma con rango legal, por lo tanto, no requieren consentimiento expreso e informado. El artículo 27.1 de la Constitución Española reconoce el derecho fundamental a la educación y este derecho implica una necesaria actividad administrativa y su consecuente tratamiento de datos personales. Los centros educativos, ya sean de titularidad pública o privada, pueden tratar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa y orientadora, así lo establece la Ley Orgánica de Educación, que habilita el tratamiento de los datos del alumnado con este fin desde el momento en que el alumnado se incorpora al sistema educativo. Igualmente, habilita a los centros educativos, en su caso, para que ceda datos del alumnado en caso de cambio de centro. Asimismo, la Ley Orgánica de Educación habilita a las escuelas para el tratamiento de datos de categorías especiales de datos cuyo conocimiento sea necesario para la educación y la orientación del alumnado. La Ley Orgánica de Educación legitima el tratamiento de datos personales relacionados con el origen y ambiente familiar del alumnado y su familia, características o condiciones personales, datos relativos a la patria potestad y la custodia, datos sobre resultados de la función docente y orientadora, características o condiciones personales del alumnado en cuanto sean necesarios para la función educativa, datos de matriculación del alumnado, discapacidades, enfermedades crónicas, TDAH, intolerancias alimentarias, alergias o tratamientos médicos.
- Tratamiento de datos por consentimiento expreso e informado. Para todas aquellas otras funciones que no formen parte de la función docente y orientadora de los centros, será necesario contar con la base jurídica para tratar los datos correspondientes (consentimiento, contrato, interés público, etc.). (Para saber más del consentimiento informado: Consentimiento expreso e informado en protección de datos )
- Tratamiento de datos legitimado por la relación contractual existente. No se requiere el consentimiento cuando se trata de datos necesarios para mantener o cumplir la relación laboral o administrativa que mantengan con el centro. Si bien, es importante señalar que rige el principio de proporcionalidad en el tratamiento (art. 5 RGPD), esto significa que se deberán tratar los datos estrictamente necesarios y proporcionales a la finalidad perseguida.

Los diferentes supuestos que legitiman el tratamiento van a generar diferentes obligaciones para los centros educativos.

En el caso de que tratemos datos por la competencia atribuida por una norma con rango de ley (función docente y orientadora, relación jurídica derivada de la matriculación, etc) deberemos informar a las familias o alumnado mayor de edad en los siguientes extremos:

- - de la existencia de un fichero o tratamiento de datos personales,
  - de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
  - de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse,
  - de los destinatarios de los datos,
  - de los derechos de los interesados y dónde ejercitarlos,
  - de la identidad del responsable del tratamiento: el centro o la administración educativa.

Es importante recordar el principio de proactividad que exige que las instituciones que tratan datos informen adecuadamente de estos aspectos, así como, el hecho de que es la institución la que deberá contar con medios probatorios de la existencia de esta comunicación de la información y de que se ha realizado en los términos que legalmente se establecen.

¿Y a efectos prácticos sobre qué deberíamos informar a las familias o al alumnado mayor de edad al principio de curso? A menos deberíamos informar con un documento que incluyera los siguientes puntos:

1. 1. Se van a tratar sus datos personales. Este tratamiento, cuando se refiere a la función docente y orientadora, responde al cumplimiento de una obligación legal por lo que no requieren su consentimiento, si bien tendrán a su disposición los derechos de autodeterminación informativa que reconoce la normativa. Si se negaran al tratamiento NO podrían obtener el servicio público que ofrecemos.
  2. En el caso de tratamientos no contemplados en el apartado anterior, les solicitaremos el consentimiento expreso e informado. Deben saber que el consentimiento será requerido a mayores de 14 años o a tutores legales de los menores de 14.
  3. El centro va hacer uso de las siguiente APPs y plataformas educativas que cumplen los estándares de ciberseguridad……………… con la finalidad de llevar a cabo el proyecto educativo.
  4. Se podrán ejercitar los derechos relacionados con la protección de datos en este correo electrónico: ………… (o indicar otro método, recordando que debe ser fácil y ágil)
  5. Recordarles que la normativa les reconoce los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
  6. Así mismo, no olvidar que están obligados a mantener actualizados los datos personales, con especial mención a los relacionados con la guardia y custodia y la patria potestad, que deberán ser comunicados de manera inmediata al centro para velar por l@s menores implicad@s.

Y recordad debéis obtener prueba de que se ha procedido a informar de todos estos aspectos.

¡Espero que os sea de utilidad!

Etiqueta: derechos de autodeterminación informativa

DERECHOS DE LA AUTODETERMINACIÓN INFORMATIVA.

OBLIGACIÓN DE INFORMACIÓN POR PARTE DE LOS CENTROS EDUCATIVOS